shellcode注入
实践是在非常简单的一个预设条件下完成的:
(1)关闭堆栈保护
(2)关闭堆栈执行保护
(3)关闭地址随机化
(4)在x32环境下
(5)在Linux实践环境
shellcode概念:
shellcode是一段用来获取交互式shell的机器指令
- 设置堆栈可执行并关闭地址随机化
- 构造要注入的shellcode
'print "\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x4\x3\x2\x1\x00"' > input_shellcode
\x4\x3\x2\x1为大致估计的数据溢出并将覆盖到堆栈上的返回地址的位置,此处用\x4\x3\x2\x1做标识后面可以据此方便找到并它改为这段shellcode的地址。
打开一个终端注入这段shellcode,此处执行时限不按下回车,等后面调试时再按运行
打开另一终端,ps -ef | grep pwn1:将上一步骤中运行的进程信息显示出来
使用GDB调试进程,用foo函数进行反汇编,查看汇编代码,找到ret
设置断点,继续执行,在另一终端按下回车
查看ESP寄存器的情况
(从图中可以看出esp的值为0x01020304,是我们构造的shellcode中的一部分,此位置即是执行完foo函数后的返回地址,后面是我们注入的shellcode代码,我们需修改0x01020304的值使它指向shellcode的首地址,shellcode地址为紧挨着的地址0xffffd330)接着执行gdb,发生溢出
根据上面调试得出的shellcode地址,重新注入shellcode,成功
体会
指导里面设置了一个坑,让我在实验过程中思考了更多,看指导书,让后阅读别人的博客,最后自己对整个过程的目的、过程、以及为什么掌握了以后,实验就变成了一个结果的学习结果的呈现而不再是学习的过程。
Return-to-lib攻击深入
介绍
return-to-libc 攻击是一种缓冲区溢出的变体攻击。它不需要一个栈可以执行,甚至不需要一个 shellcode。而是我们让漏洞程序调转到现存的代码(如库函数)来实现攻击。
进入32位linux环境,将地址随机化关闭,并且把/bin/sh指向zsh:解除/bin/bash通过使shell程序放弃自己的root权限来防范缓冲区溢出攻击及其他利用shell程序的攻击的防护措施。
编辑漏洞程序“20145329retlib.c”文件,保存在/tmp 目录下
编译“20145329retlib.c”文件,编译时使用–fno-stack-protector 关闭gcc编译器中阻止缓冲区溢出的保护机制。并chmod设置 SET-UID。
编辑读取环境变量的程序“20145329getenvaddr.c”文件
编译
编辑攻击程序“20145329exploit.c”文件,保存到/tmp目录下,0x11111111、0x22222222、0x33333333分别是BIN_SH、system、exit的地址,下面具体执行指令获得实际地址
getenvaddr 程序获得 BIN_SH 地址(0xffffde21)
gdb获得system(0xf7e33850)和exit(0xf7e276c0)地址
修改攻击程序代码里面的BIN_SH、system、exit的地址,修改为上一步中获得的内存地址
删除刚才编译的 20145329exploit 程序和 badfile 文件,重新编译修改后的 20145329exploit.c
运行攻击程序,生成badfile文件,再运行漏洞程序,获得root权限,攻击成功
bin文件夹下删除sh,并将/bin/sh 重新指向/bin/bash,运行攻击程序和漏洞程序,攻击成功,获得 root 权限