20145317《网络对抗》shellcode注入&Return-to-libc攻击深入
学习任务
- shellcode注入:shellcode实际是一段代码,但却作为数据发送给受攻击服务器,将代码存储到对方的堆栈中,并将堆栈的返回地址利用缓冲区溢出,覆盖成为指向 shellcode 的地址。
- Return-to-libc 攻击实验:即使栈有不可执行的能力,无法将shellcode放入堆栈中运行,但我们却可以直接让漏洞程序调转到现存的代码来实现我们的攻击。(本次实验所用的是已经载入内存的 libc 库中的 system()函数等)
基础知识
- ps -ef | grep pwn1:
ps:将某个进程显示出来
ps:将某个进程显示出来
ps参数:-A 显示所有程序;-e 此参数的效果和指定"A"参数相同;-f 显示UID,PPIP,C与STIME栏位
ps显示进程结果格式:UID PID PPID C STIME TTY TIME CMD
UID 程序被该 UID 所拥有
PID 就是这个程序的 ID
PPID 则是其上级父程序的ID
C CPU 使用的资源百分比
STIME 系统启动时间
TTY 登入者的终端机位置
TIME 使用掉的 CPU 时间。
CMD 所下达的指令为何
本条命令意为:查找与pwn1有关的进程,并用-ef格式显示出来 - (gdb) attach: GDB可以对正在执行的程序进行调度,它允许开发人员中断程序并查看其状态,之后还能让这个程序正常地继续执行。在GDB中使用“attach”命令是一个方法。
- (gdb) disassemble foo: 反汇编一段内存地址,
- (gdb) c: 继续执行被调试程序,直至下一个断点或程序结束,Continue的简写
-
(gdb) x/16x : 使用x命令(examine的简写)来查看内存地址中的值。
* x命令的语法:x/<n/f/u> - ln -s 源文件 目标文件 :为某一个文件或目录在另外一个位置建立一个同步的链接
- chmod u+s 文件 :对文件设置强制位,即SET-UID,可以使非文件拥有者或文件所属群组的用户具有执行该文件的权限
- export [-fnp][变量名称]=[变量设置值] : 设置或显示环境变量。(比如我们要经常使用到一个命令时,而这个命令的执行文件又不在当前目录,这时可以在代码中先执行export,即告诉程序,要执行什么东西时,需要的文件就在这些目录里)
- echo : 在显示器上显示一段文字
- gdb -q : -q用以使得gdb不输出gdb程序的版本等信息
-
system :是一个函数,用于运行其它外部程序
注入Shellcode并执行
-
先将环境设置为:堆栈可执行、地址随机化关闭
-
以 anything+retaddr+nops+shellcode 的结构来构造,先估计返回地址所在位置,并且找到 shellcode 所在地址
-
要验证返回地址所在位置以及找到 shellcode 地址,需要使用GDB调试
* 先运行 20145317pwn1 可执行文件
(先不输入“回车”,在后面的调试过程中需要继续运行的时候再回车,到时候就会显示如图的字符部分)
* 再找到正在执行的 20145317pwn1 的进程号
* 进入GDB,联系上该进程号
* 在 ret 处设置断点,接着运行到断点处,显示当前esp的值并依照此位置显示接下来的内存地址内容,并由此分析出返回地址位置的正确性以及shellcode的地址
(红色方框为返回地址处,红色椭圆为 shellcode 代码,由此推算出 shellcode 地址为 “x31xd3xffxff”)
* 继续运行,再次检测是否跳到覆盖的返回地址所表示的地方
(如红框所示,已经可以确认返回地址是被 x10x20x30x40 所覆盖的)
-
将作为输入的 input_shellcode 处的 “x10x20x30x40” 换为上面所找到的 shellcode 地址 “x31xd3xffxff”
-
执行 20145317pwn1 ,成功注入 shellcode
-
Return-to-libc攻击深入
基础知识
-
缓冲区溢出的常用攻击方法是用 shellcode 的地址来覆盖漏洞程序的返回地址,使得漏洞程序去执行存放在栈中的 shellcode。为了阻止这种类型的攻击,一些操作系统使得系统管理员具有使栈不可执行的能力。这样的话,一旦程序执行存放在栈中的 shellcode 就会崩溃,从而阻止了攻击。
-
现在存在一种缓冲区溢出的变体攻击,叫做 return-to-libc 攻击。这种攻击不需要一个栈可以执行,甚至不需要一个 shellcode。取而代之的是我们让漏洞程序调转到现存的代码来实现我们的攻击。攻击者在实施攻击时仍然可以用恶意代码的地址(比如 libc 库中的 system()函数等)来覆盖程序函数调用的返回地址,并传递重新设定好的参数使其能够按攻击者的期望运行。这就是为什么攻击者会采用return-into-libc的方式,并使用程序提供的库函数。这种攻击方式在实现攻击的同时,也避开了数据执行保护策略中对攻击代码的注入和执行进行的防护。
实践过程
- 输入如下命令,安装一些用于编译32位C程序的东西。(因为这一步忘了截图,所以用的是老师的图~)
-
输入命令“linux32”进入 32 位 linux 环境。输入“/bin/bash”使用 bash。
-
Ubuntu 和其他一些 Linux 系统中,使用地址空间随机化来随机堆和栈的初始地址,这使得猜测准确的内存地址变得十分困难,而猜测内存地址是缓冲区溢出攻击的关键。因此本次实验中,我们要关闭这一功能。
-
linux 系统中,/bin/sh 实际是指向/bin/bash 或/bin/dash 的一个符号链接。为了重现这一防护措施被实现之前的情形,我们使用另一个 shell 程序(zsh)代替/bin/bash。
- 把以下代码(漏洞程序)保存为“retlib.c”文件,保存到 /tmp 目录下。代码如下:
- 编译该程序,并设置 SET-UID,命令如下。“gcc -z execstack -o test test.c” 表示栈可执行;"gcc -z noexecstack -o test test.c"表示栈不可执行。GCC 编译器有一种栈保护机制来阻止缓冲区溢出,所以我们在编译代码时需要用 “–fno-stack-protector” 关闭这种机制。
- 我们还需要用到一个读取环境变量的程序,再编译一下。
- 把以下代码(攻击程序)保存为“exploit.c”文件,保存到 /tmp 目录下。代码如下。
- 代码中“0x11111111”、“0x22222222”、“0x33333333”分别是 BIN_SH、system、exit 的地址。
- 需要我们接下来获取。用刚才的 getenvaddr 程序获得 BIN_SH 地址。
- gdb 获得 system 和 exit 地址。
- 修改 exploit.c 文件。
- 删除刚才调试编译的 exploit 程序和 badfile 文件,重新编译修改后的 exploit.c,然后先运行攻击程序 exploit,再运行漏洞程序 retlib,可见攻击成功,获得了 root 权限
-