实验七

缓冲区溢出漏洞实验
一、实验简介
缓冲区溢出是指程序试图向缓冲区写入超出预分配固定长度数据的情况。这一漏洞可以被恶意用户利用来改变程序的流控制，甚至执行代码的任意片段。这一漏洞的出现是由于数据缓冲器和返回地址的暂时关闭，溢出会引起返回地址被重写。

二、实验准备

系统用户名 shiyanlou

实验楼提供的是 64 位 Ubuntu linux，而本次实验为了方便观察汇编语句，我们需要在 32 位环境下作操作，因此实验之前需要做一些准备。

输入命令安装一些用于编译 32 位 C 程序的软件包：

 

三、实验步骤
3.1 初始设置

3.1.1 Ubuntu 和其他一些 Linux 系统中，使用地址空间随机化来随机堆（heap）和栈（stack）的初始地址，这使得猜测准确的内存地址变得十分困难，而猜测内存地址是缓冲区溢出攻击的关键。因此本次实验中，我们使用以下命令关闭这一功能:

 

 

3.1.2 此外，为了进一步防范缓冲区溢出攻击及其它利用 shell 程序的攻击，许多shell程序在被调用时自动放弃它们的特权。因此，即使你能欺骗一个 Set-UID 程序调用一个 shell，也不能在这个 shell 中保持 root 权限，这个防护措施在 /bin/bash 中实现。

linux 系统中，/bin/sh 实际是指向 /bin/bash 或 /bin/dash 的一个符号链接。为了重现这一防护措施被实现之前的情形，我们使用另一个 shell 程序（zsh）代替 /bin/bash。下面的指令描述了如何设置 zsh 程序：

 

 

3.1.3 输入命令linux32 进入32位linux环境。此时你会发现，命令行用起来没那么爽了，比如不能tab补全了，输入 /bin/bash 使用bash：

 

 

3.2 shellcode
一般情况下，缓冲区溢出会造成程序崩溃，在程序中，溢出的数据覆盖了返回地址。而如果覆盖返回地址的数据是另一个地址，那么程序就会跳转到该地址，如果该地址存放的是一段精心设计的代码用于实现其他功能，这段代码就是 shellcode。

本次实验的 shellcode，就是刚才代码的汇编版本：

3.3 漏洞程序
在 /tmp 目录下新建一个 stack.c 文件：

 

 

按 i 键切换到插入模式，再输入如下内容：

复制代码如果出现缩进混乱可先在 Vim 执行 :set paste 再按 i 键编辑。

 

 

通过代码可以知道，程序会读取一个名为“badfile”的文件，并将文件内容装入“buffer”。

编译该程序，并设置 SET-UID。命令如下：

 

 

GCC编译器有一种栈保护机制来阻止缓冲区溢出，所以我们在编译代码时需要用 –fno-stack-protector 关闭这种机制。 而 -z execstack 用于允许执行栈。

-g 参数是为了使编译后得到的可执行文档能用 gdb 调试。

3.4 攻击程序

我们的目的是攻击刚才的漏洞程序，并通过攻击获得 root 权限。

在 /tmp 目录下新建一个 exploit.c 文件，输入如下内容：

 

 

 

 

 

 

或者也可以直接下载代码：

wget http://labfile.oss.aliyuncs.com/courses/231/exploit.c

 

 

注意上面的代码，\x??\x??\x??\x?? 处需要添上 shellcode 保存在内存中的地址，因为发生溢出后这个位置刚好可以覆盖返回地址。而 strcpy(buffer+100,shellcode); 这一句又告诉我们，shellcode 保存在 buffer + 100 的位置。下面我们将详细介绍如何获得我们需要添加的地址。

现在我们要得到 shellcode 在内存中的地址，输入命令进入 gdb 调试：

 

 

 

结果如图：

 

 

 

 

esp 中就是 str 的起始地址，所以我们在地址 0x080484ee 处设置断点。

地址可能不一致，请根据你的显示结果自行修改。

接下来的操作：

设置断点

 

 

 

 

最后获得的这个 0xffffcfb0 就是 str 的地址。

按 q 键，再按 y 键可退出调试。

根据语句 strcpy(buffer + 100,shellcode); 我们计算 shellcode 的地址为 0xffffcfb0 + 0x64 = 0xffffd014

实际操作中你的地址和我这里的地址可能不一样，需要根据你实际输出的结果来计算。

可以使用 十六进制加法计算器 计算。

现在修改 exploit.c 文件，将 \x??\x??\x??\x?? 修改为计算的结果 \x14\xd5\xff\xff，注意顺序是反的。

 

 

然后，编译 exploit.c 程序：

先运行攻击程序 exploit，再运行漏洞程序 stack，观察结果：

 

 

whoami 是输入的命令，不是输出结果。

可见，通过攻击，获得了root 权限！

如果不能攻击成功，提示”段错误“，那么请重新使用 gdb 反汇编，计算内存地址。

四、练习

1、按照实验步骤进行操作，攻击漏洞程序并获得 root 权限。

2、通过命令 sudo sysctl -w kernel.randomize_va_space=2 打开系统的地址空间随机化机制，重复用 exploit 程序攻击 stack 程序，观察能否攻击成功，能否获得root权限。

经验证发现不能获得

 

 

3、将 /bin/sh 重新指向 /bin/bash（或/bin/dash），观察能否攻击成功，能否获得 root 权限。

 

 

 经验证发现不能获得

 

缓冲区溢出原理

程序员通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。

造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。

避免缓冲区溢出的方fa

1.不要用%n formatter

2.不要把用户的输入作为参数传到格式化字符串处理函数中，例如，printf("%s", argv[1])。

3.字符串处理避免使用strcpy，strcat，sprintf，gets。应该使用strncpy，strncat，snprintf。strlcpy和strlcat都是NULL结尾。尽量使用std::string，MFC::CString

4.使用C++ I/O函数

5.使用安全的C Runtime Time函数*_s function，关于安全函数请看https://msdn.microsoft.com/library/wd3wzwts.aspx

6.检查文件路径的长度，不要超过系统允许的最大值。