2. 程式人生 > >構建ROP鏈實現遠端棧溢位

構建ROP鏈實現遠端棧溢位

阿新 發佈:2020-02-21

通常情況下棧溢位可能造成的後果有兩種,一類是本地提權另一類則是遠端執行任意命令,通常C/C++並沒有提供智慧化檢查使用者輸入是否合法的功能,同時程式編寫人員在編寫程式碼時也很難始終檢查棧是否會發生溢位,這就給惡意程式碼的溢位提供了的條件,利用溢位,攻擊者可以控制程式的執行流,從而控制程式的執行過程並實施惡意行為,而微軟的DEP保護機制則可使緩衝區溢位失效,不過利用ROP反導技術依然是可被繞過的,接下來將具體分析如何利用ROP技術繞過DEP保護機制。

課件下載地址:https://pan.baidu.com/s/1WwKp2GTVaCEQOLPUM49dUw 提取碼:nk9h

緩衝區溢位的常用攻擊方法是將惡意 shellcode 注入到遠端服務的堆疊中,並利用 jmp esp

等跳板指令跳轉到堆疊中執行惡意的程式碼片段,從而拿到目標主機的控制權。為了演示攻擊的具體手法以及二進位制漏洞挖掘的思路,這裡作者編寫了遠端服務程式FTP Server該服務執行後會在本機開啟 0.0.0.0:9999 埠,你可以通過nc命令遠端連線到伺服器並可以執行一些命令.

如上圖就是執行後的FTP伺服器,通過nc工具連結服務端的地址nc 192.168.1.8 9999 可以得到一個FTP互動環境,此時可以執行send | hello world命令,來向伺服器傳送一段字串,同時伺服器會返回給你Data received successfully這樣的提示資訊,好了我們開始分析程式並挖掘漏洞吧。

模糊測試與分析

要執行模糊測試的第一步就是要確定傳送資料包中包頭的格式,這裡我們可以使用Wireshark工具監控TCP流,將源地址設定為192.168.1.2,目標地址設定為 192.168.1.8,監控並從中得到資料傳輸的格式資訊,過濾語句 tcp.stream and ip.src_host==192.168.1.2 and ip.dst_host==192.168.1.8 該語句可以精確的過濾出我們所需要的資料。

上圖中我們可以直觀的看出,資料包的格式僅僅是 send | hello lyshark 並沒有新增任何的特殊符號,更沒有加密傳輸,接下來就是要驗證send函式是否存在緩衝區溢位了,這裡我們需要編寫一個模糊測試指令碼來對目標服務進行測試,指令碼內容如下,Python 指令碼執行後會對目標FTP服務進行發包測試。

# coding:utf-8
import socket,time

def initCount(count,Inc):
    buffer = ["A"]
    while len(buffer)<=50:
        buffer.append("A" * count)
        count = count + Inc
    return buffer

def Fuzz(addr,port,buffer):
    try:
        for string in buffer:
            sock = socket.socket(socket.AF_INET,socket.SOCK_STREAM)
            connect = sock.connect((addr,port))
            sock.recv(1024)
            command = b'send |/.:/' + string.encode()
            sock.send(command)
            sock.close()
            time.sleep(1)
            print('Fuzzing Pass with {} bytes'.format(len(string)))
    except Exception:
        print('\n This buffer cannot exceed the maximum {} bytes'.format(len(string)))

if __name__ == "__main__":
    # initCount 10 說明從0開始遞增,每次遞增100
    buff = initCount(0,100)
    Fuzz("192.168.1.8",9999,buff)

上方的程式碼的構造需要具體分析資料包的形式得到,在漏洞模糊測試中上方程式碼中間部分的互動需要根據不同程式的互動方式進行修改與調整,這裡測試指令碼執行後當緩衝區填充為2200bytes時程式崩潰了,說明該程式的send函式確實存在緩衝區溢位漏洞,其次該程式緩衝區的大小應在2200位元組以內。

經過模糊測試我們可知該函式確實存在漏洞,為了能讓讀者更加深入的理解緩衝區發生的原因和定位技巧,我將具體分析一下其彙編程式碼的組織形式,這裡為了方便演示我將在攻擊主機進行逆向分析。

首先開啟X64dbg將FTP程式載入並執行,接著我們需要使用Netcat連結本機 nc 192.168.1.2 9999 並進入一個可互動的shell環境中,然後輸入待發送的字串不要回車。

接著我們回到X64DBG按下ctrl + G在recv函式上下一個斷點,因為程式接收使用者輸入的功能需要使用recv函式的,所以這裡我們直接下斷,然後執行程式,傳送資料後會被斷下,我們直接回到程式領空,會看到以下程式碼片段,這裡我們需要在 0040148D 這個記憶體地址處下一個F2斷點,然後取消系統領空中recv上的斷點。

通過再次傳送send | hello lyshark程式會被斷下,我們單步向下跟進會發現下面的程式碼片段,這裡正是我們的send函式所執行的區域,此處我們記下這個記憶體地址 004017D5 然後關閉X64dbg

開啟IDA Pro載入程式並按下G鍵,我們來到剛剛的記憶體地址處,這裡已經給大家分析好了,關鍵的變數是分配了3000個位元組的緩衝區,直接傳遞給了_Function3函式。

接著我們繼續跟進這個call _Function3函式,會發現子過程內部並沒有對接收緩衝區大小進行嚴格的過濾,強制將3000byte的資料拷貝到2024byte的緩衝區中,此時緩衝區就會發生溢位,從而導致堆疊失衡,程式崩潰,這和上方的模糊測試指令碼得到的結果是差不多的。

為了能夠更加精確的計算出緩衝區的具體大小,我們還需

控制EIP暫存器

構建漏洞利用程式碼

ROP技術繞過DEP保護

ASLR 如何繞過解析

將指令碼整合到Metasploit

原創作品,轉載請註明出處

相關推薦

構建ROP實現遠端溢位

通常情況下棧溢位可能造成的後果有兩種,一類是本地提權另一類則是遠端執行任意命令,通常C/C++並沒有提供智慧化檢查使用者輸入是否合法的功能,同時程式編寫人員在編寫程式碼時也很難始終檢查棧是否會發生溢位,這就給惡意程式碼的溢位提供了的條件,利用溢位,攻擊者可以控制程式的執行流,從而控制程式的執行過程並實施惡意行

C++中利用實現一個

pop sin 返回 void tac () node bool typedef 在實現棧之前應該思考棧的一些用法: push pop top isempty 想清楚棧頂的組成; 下面是實現代碼: 1 #include<iostream> 2 3 us

數據結構之-表、實現及題目

mem nod 習題 cell class find sla turn creat GitHub : https://github.com/hanxloop/c_dev_library 前幾天碼了鏈表和棧,棧有數組實現和鏈表實現,自己跑了書上的示例,能跑的通,開心,接口、

實現結構。

刪除 clas lin ddl mov new turn linked 功能 原理:鏈表功能強大,可在頭或尾進行插入和刪除。 public class ListToStack { LinkedList<Integer> linkedList = new L

資料結構實驗3:C++實現順序類與

                          

溢位----中級ROP

學習資料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/medium_rop/ 1.ret2__libc_csu_init 這個主要是爭對64位的程式的,和32位的棧傳參不同的是,在 64 位程式中,函式的前 6 個引

溢位----基礎rop

學習文獻:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/basic_rop/ 1. 棧溢位基本原理就不寫了 列舉一下常見的危險函式: 輸入 gets,直接讀取一行,忽略'\x00'

Java程式碼實現順序

Java程式碼實現順序棧和鏈式棧 棧(stack)又名堆疊,它是一種運算受限的線性表。其限制是僅允許在表的一端進行插入或者刪除運算。後進先出(Last In First Out)。 棧中的資料操作主要有push(壓入)和pop(彈出)操作。 實際上,棧就可以用陣列來實現,也可

溢位學習之bindshell的實現

最近學習《0day安全》一書 記錄一下除錯編碼過程 書中環境XP VC6 本機的環境是server 2008 r2 x64  編譯環境是vs2013  第一步: 首先是寫一個win c版本的bindshell 程式碼如下: #include<winsock2

資料結構-兩個式佇列實現一個

#include<stdio.h> #include<stdlib.h> #include<string.h> typedef struct node { int data; struct node *next

寫程式碼實現溢位、堆溢位、永久代溢位、直接記憶體溢位

棧溢位(StackOverflowError) 堆溢位(OutOfMemoryError:Java heap space) 永久代溢位(OutOfMemoryError: PermGen space) 直接記憶體溢位 一、堆溢位 建立物件時如果沒有可以分配的堆記憶體,

js實現遞迴,尾遞迴(遞迴優化),防止溢位

一、一版的遞迴實現 n!,比如 5!= 5 * 4 * 3 * 2 *1       function fact(n) {             if(n == 1) {

資料結構筆記之用C++實現順序

這裡介紹兩種實現棧的方式:“順序棧”和“鏈式棧”,各有各的優缺點。 不管是“順序棧”還是“鏈式棧”,我們可以先定義一個棧的ADT(抽象資料型別),如下面的“stack.h” #ifndef STACK_H #define STACK_H const int

Android 溢位攻擊—[3]ROP 淺析

在緩衝區溢位攻擊攻防發展過程中ROP技術作為對抗XN的利用技術,一直髮揮著重要的作用,在很多漏洞中其都是關鍵的攻擊手段。本文通過一個簡單的例子來對Android的ARM平臺下ROP技術做一個簡單的分析。 環境 ubuntu 14.04:除錯平臺 AOS

6.6-2-數組與數據結構(用數組及其函數實現等數據結構)

var 元素 shift () span bsp key 數組 數字 9.5.6.1使用數組實現堆棧 實現棧 1. int array_push ( array array ,mixed var [,mixed.] ) 添加參數到數組尾部,key+1 ,返回數組元素個數 即

一、實現一個特殊的,在實現的基本功能的基礎上,再實現返回中最小元素的操作

empty util run print pri ont com res 字符串 請指教交流! 1 package com.it.hxs.c01; 2 3 import java.util.Stack; 4 5 /* 6 實現一個特殊的棧,在實現棧的基本

基於Go語言構建區塊:part1

defined 它的 com 工作 exit ngs slice ret bytes Golang語言和區塊鏈理論學習完畢後,快速入門方法無疑是項目實戰。本文將參考https://jeiwan.cc/tags/blockchain/教程,學習如何基於Go語言構建區塊鏈。 1

基於Java語言構建區塊(一)—— 基本原型

java 分布式 程序員 後端引言 區塊鏈技術是一項比人工智能更具革命性的技術,人工智能只是提高了人類的生產力,而區塊鏈則將改變人類社會的生產關系,它將會顛覆我們人類社會現有的協作方式。了解和掌握區塊鏈相關知識和技術,是我們每位開發人員必須要去做的事情,這樣我們才能把握住這波時代趨勢的紅利。 本文將基於Jav

基於Java語言構建區塊(二)—— 工作量證明

分布式 java引言 在 上一篇 文章中,我們實現了區塊鏈最基本的數據結構模型,添加區塊以及和前一個區塊連接在一起。但是,我們的實現方式非常簡單,而真實的比特幣區塊鏈中,每一個區塊的添加都是需要經過大量的計算才可以完成,這個過程就是我們熟知的挖礦。 工作量證明機制區塊鏈最關鍵的一個思想就是,必須進行大量且困難

基於Java語言構建區塊(三)—— 持久化 & 命令行

java 分布式 編程語言 程序員 引言上一篇 文章我們實現了區塊鏈的工作量證明機制(Pow),盡可能地實現了挖礦。但是距離真正的區塊鏈應用還有很多重要的特性沒有實現。今天我們來實現區塊鏈數據的存儲機制,將每次生成的區塊鏈數據保存下來。有一點需要註意,區塊鏈本質上是一款分布式的數據庫,我們這裏