• 20145317《网络对抗》shellcode注入&Return-to-libc攻击深入


    20145317《网络对抗》shellcode注入&Return-to-libc攻击深入

    学习任务

    • shellcode注入:shellcode实际是一段代码,但却作为数据发送给受攻击服务器,将代码存储到对方的堆栈中,并将堆栈的返回地址利用缓冲区溢出,覆盖成为指向 shellcode 的地址。
    • Return-to-libc 攻击实验:即使栈有不可执行的能力,无法将shellcode放入堆栈中运行,但我们却可以直接让漏洞程序调转到现存的代码来实现我们的攻击。(本次实验所用的是已经载入内存的 libc 库中的 system()函数等)
        
        

    基础知识

    • ps -ef | grep pwn1:
        ps:将某个进程显示出来
        ps:将某个进程显示出来
        ps参数:-A  显示所有程序;-e  此参数的效果和指定"A"参数相同;-f  显示UID,PPIP,C与STIME栏位
        ps显示进程结果格式:UID PID PPID C STIME TTY TIME CMD
           UID 程序被该 UID 所拥有
           PID 就是这个程序的 ID
           PPID 则是其上级父程序的ID
           C CPU 使用的资源百分比
           STIME 系统启动时间
           TTY 登入者的终端机位置
           TIME 使用掉的 CPU 时间。
           CMD 所下达的指令为何
        本条命令意为:查找与pwn1有关的进程,并用-ef格式显示出来
    • (gdb) attach: GDB可以对正在执行的程序进行调度,它允许开发人员中断程序并查看其状态,之后还能让这个程序正常地继续执行。在GDB中使用“attach”命令是一个方法。
    • (gdb) disassemble foo: 反汇编一段内存地址,
    • (gdb) c: 继续执行被调试程序,直至下一个断点或程序结束,Continue的简写
    • (gdb) x/16x : 使用x命令(examine的简写)来查看内存地址中的值。
      * x命令的语法:x/<n/f/u>

    • ln -s 源文件 目标文件 :为某一个文件或目录在另外一个位置建立一个同步的链接
    • chmod u+s 文件 :对文件设置强制位,即SET-UID,可以使非文件拥有者或文件所属群组的用户具有执行该文件的权限
    • export [-fnp][变量名称]=[变量设置值] : 设置或显示环境变量。(比如我们要经常使用到一个命令时,而这个命令的执行文件又不在当前目录,这时可以在代码中先执行export,即告诉程序,要执行什么东西时,需要的文件就在这些目录里)
    • echo : 在显示器上显示一段文字
    • gdb -q : -q用以使得gdb不输出gdb程序的版本等信息
    • system :是一个函数,用于运行其它外部程序
        
        

    注入Shellcode并执行

    • 先将环境设置为:堆栈可执行、地址随机化关闭

    • 以 anything+retaddr+nops+shellcode 的结构来构造,先估计返回地址所在位置,并且找到 shellcode 所在地址

    • 要验证返回地址所在位置以及找到 shellcode 地址,需要使用GDB调试
      * 先运行 20145317pwn1 可执行文件

      (先不输入“回车”,在后面的调试过程中需要继续运行的时候再回车,到时候就会显示如图的字符部分)

        * 再找到正在执行的 20145317pwn1 的进程号

         *  进入GDB,联系上该进程号

        *  在 ret 处设置断点,接着运行到断点处,显示当前esp的值并依照此位置显示接下来的内存地址内容,并由此分析出返回地址位置的正确性以及shellcode的地址

      (红色方框为返回地址处,红色椭圆为 shellcode 代码,由此推算出 shellcode 地址为 “x31xd3xffxff”)

        *  继续运行,再次检测是否跳到覆盖的返回地址所表示的地方

      (如红框所示,已经可以确认返回地址是被 x10x20x30x40 所覆盖的)

      • 将作为输入的 input_shellcode 处的 “x10x20x30x40” 换为上面所找到的 shellcode 地址 “x31xd3xffxff”

      • 执行 20145317pwn1 ,成功注入 shellcode

    • Return-to-libc攻击深入

      基础知识

      • 缓冲区溢出的常用攻击方法是用 shellcode 的地址来覆盖漏洞程序的返回地址,使得漏洞程序去执行存放在栈中的 shellcode。为了阻止这种类型的攻击,一些操作系统使得系统管理员具有使栈不可执行的能力。这样的话,一旦程序执行存放在栈中的 shellcode 就会崩溃,从而阻止了攻击。

      • 现在存在一种缓冲区溢出的变体攻击,叫做 return-to-libc 攻击。这种攻击不需要一个栈可以执行,甚至不需要一个 shellcode。取而代之的是我们让漏洞程序调转到现存的代码来实现我们的攻击。攻击者在实施攻击时仍然可以用恶意代码的地址(比如 libc 库中的 system()函数等)来覆盖程序函数调用的返回地址,并传递重新设定好的参数使其能够按攻击者的期望运行。这就是为什么攻击者会采用return-into-libc的方式,并使用程序提供的库函数。这种攻击方式在实现攻击的同时,也避开了数据执行保护策略中对攻击代码的注入和执行进行的防护。

      实践过程

      • 输入如下命令,安装一些用于编译32位C程序的东西。(因为这一步忘了截图,所以用的是老师的图~)
      • 输入命令“linux32”进入 32 位 linux 环境。输入“/bin/bash”使用 bash。

      • Ubuntu 和其他一些 Linux 系统中,使用地址空间随机化来随机堆和栈的初始地址,这使得猜测准确的内存地址变得十分困难,而猜测内存地址是缓冲区溢出攻击的关键。因此本次实验中,我们要关闭这一功能。

      • linux 系统中,/bin/sh 实际是指向/bin/bash 或/bin/dash 的一个符号链接。为了重现这一防护措施被实现之前的情形,我们使用另一个 shell 程序(zsh)代替/bin/bash。

      • 把以下代码(漏洞程序)保存为“retlib.c”文件,保存到 /tmp 目录下。代码如下:

      • 编译该程序,并设置 SET-UID,命令如下。“gcc -z execstack -o test test.c” 表示栈可执行;"gcc -z noexecstack -o test test.c"表示栈不可执行。GCC 编译器有一种栈保护机制来阻止缓冲区溢出,所以我们在编译代码时需要用 “–fno-stack-protector” 关闭这种机制。

      • 我们还需要用到一个读取环境变量的程序,再编译一下。

      • 把以下代码(攻击程序)保存为“exploit.c”文件,保存到 /tmp 目录下。代码如下。

      • 代码中“0x11111111”、“0x22222222”、“0x33333333”分别是 BIN_SH、system、exit 的地址。
      • 需要我们接下来获取。用刚才的 getenvaddr 程序获得 BIN_SH 地址。

       

      • gdb 获得 system 和 exit 地址。

      • 修改 exploit.c 文件。

       

      • 删除刚才调试编译的 exploit 程序和 badfile 文件,重新编译修改后的 exploit.c,然后先运行攻击程序 exploit,再运行漏洞程序 retlib,可见攻击成功,获得了 root 权限

       

  • 相关阅读:
    ecshop学习入门
    php跳转页面代码
    PHP验证登录用户名和密码
    使用self关键字调用类体中的静态成员
    PHP中读取文件的几个方法
    MVC5 Entity Framework学习之更新相关数据
    global.asax文件的应用
    DbSet<TEntity> 类
    IDisposable接口详解
    bzoj 3240: [Noi2013]矩阵游戏 矩阵乘法+十进制快速幂+常数优化
  • 原文地址:https://www.cnblogs.com/5317p/p/6622813.html
Copyright © 2020-2023  润新知