20145236《网络对抗》进阶实验——Return-to-libc攻击

最新推荐文章于 2021-12-12 18:38:13 发布
最新推荐文章于 2021-12-12 18:38:13 发布
阅读量231 收藏
点赞数
文章标签: 操作系统
原文链接:http://www.cnblogs.com/feng886779/p/8618154.html
版权

20145236《网络对抗》进阶实验——Return-to-libc攻击

基础知识

  • Return-into-libc攻击方式不具有同时写和执行的行为模式,因为其不需要注入新的恶意代码,取而代之的是重用漏洞程序中已有的函数完成攻击,让漏洞程序跳转到已有的代码序列(比如库函数的代码序列)。攻击者在实施攻击时仍然可以用恶意代码的地址(比如libc库中的system()函数等)来覆盖程序函数调用的返回地址,并传递重新设定好的参数使其能够按攻击者的期望运行。这就是为什么攻击者会采用return-into-libc的方式,并使用程序提供的库函数。这种攻击方式在实现攻击的同时,也避开了数据执行保护策略中对攻击代码的注入和执行进行的防护。

  • 攻击者可以利用栈中的内容实施return-into-libc攻击。这是因为攻击者能够通过缓冲区溢出改写返回地址为一个库函数的地址,并且将此库函数执行时的参数也重新写入栈中。这样当函数调用时获取的是攻击者设定好的参数值,并且结束后返回时就会返回到库函数而不是 main()。而此库函数实际上就帮助攻击者执行了其恶意行为。更复杂的攻击还可以通过 return-into-libc的调用链(一系列库函数的连续调用)来完成。

实验步骤

一、配置实验环境

  1. 在自己的虚拟机上输入命令安装一些用于编译32位C程序的东西,输入命令linux32进入32位linux环境,输入/bin/bash使用 bash
sudo apt-get update
sudo apt-get install lib32z1 libc6-dev-i386
sudo apt-get install lib32readline-gplv2-devsudo apt-get install lib32readline-gplv2-dev
  1. 这个攻击最终的目标是要获取root权限,因此在做之前,我先另外添加了一个用户:
    886779-20180321174422143-848115542.png
  2. 进入32位linux环境,将地址随机化关闭sudo sysctl -w kernel.randomize_va_space=0,并且把/bin/sh指向zsh:
    886779-20180321174857967-9888058.png

二、漏洞程序

  1. 将漏洞程序保存在/tmp目录下,编译该程序:
    886779-20180321182204865-1744646438.png

  2. 编译该代码,使用–fno-stack-protector来关闭阻止缓冲区溢出的栈保护机制,并设置给该程序的所有者以suid权限,可以像root用户一样操作:
    886779-20180321182734303-564245392.png

三、在/tmp文件夹下编写getenvaddrexploit

  1. getenvaddr用来读取环境变量:
    886779-20180321183322179-1711291058.png
  2. 将攻击程序"exploit.c"保存在/tmp目录下:
    886779-20180321183803081-60822349.png
  3. 在root用户下编译:
    886779-20180321184435104-953144910.png
  4. 用刚才的getenvaddr程序获得BIN_SH地址:
    886779-20180321184819823-407303708.png
  5. 利用gdb获得systemexit地址:
    886779-20180321185431500-726976925.png
  6. 将上述三个地址修改入"exploit.c"文件:
    886779-20180321190118169-213358456.png
  7. 删除刚才调试编译的exploit程序和badfile文件,重新编译修改后的"exploit.c"文件:(由于exploit文件受保护无法用命令删除,所以在图形化界面tmp文件夹下直接手动删除)
    886779-20180321191428585-116610729.png

四、攻击

  • 先运行攻击程序exploit,再运行漏洞程序retlib,攻击成功,获得了root权限:
    886779-20180321191935684-1013865772.png

五、深入思考

将/bin/sh 重新指向/bin/bash(或/bin/dash),观察能否攻击成功,能否获得 root 权限。
  • 首先,我们将/bin/sh重新指向/bin/bash,运行漏洞程序:
    886779-20180321205810459-725272074.png

  • 发现无法获取root权限,因为bash内置了权限降低的机制,虽然我们可以使得bof返回时执行system(“/bin/sh”),但是我们也依旧获取不到root权限。

  • 如果我们要想在/bin/sh指向/bin/bash时获取root权限,那我们就要想办法在调用/bin/bash之前提升正在运行的进程的Set-UID至root权限,那么我们就可以绕过对bash的权限限制。

  • 之后在查资料时发现了Linux下一个setuid()函数,查看其帮助文档:
    886779-20180321205904702-1085333459.png

  • 从帮助文档中可以得知setuid()用来重新设置执行目前进程的用户识别码,不过,要让此函数有作用,其有效的用户识别码必须为0(root)。在Linux 下,当root 使用setuid()来变换成其他用户识别码时,root 权限会被抛弃,完全转换成该用户身份,也就是说,该进程往后将不再具有可setuid()的权利。

  • 因此我们可以利用函数setuid(0)来实现我们的目标,在调用系统函数system(“/bin/sh”)之前,先调用系统函数setuid(0)来提升权限。

  • 我们先要对攻击程序进行修改,在bof的返回地址处(&buf[24])写入setuid()的地址,setuid的地址同样可以通过gdb来获得:
    886779-20180321210922084-80770636.png
  • setuid的参数0写在与其入口地址相隔一个字节的位置(即buf[32])处(因为setuid()执行完毕之后,会转向存放setuid入口地址的下一个位置,所以这个位置应该放入system函数的入口地址),同理system的参数放入&buf[36]处。
    886779-20180321212415275-1498296992.png

  • 修改完成后,编译运行,发现攻击成功!
    886779-20180321212446590-282428369.png

转载于:https://www.cnblogs.com/feng886779/p/8618154.html

weixin_30745641
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
return-into-libc 实验(报告)
ATOD
10-22 937
实验说明 return-into-libc 方式(又称 arc injection)的 漏洞利用可以在不注入代码的情况下达到 攻击利用目的 – 使用已经存在代码的地址覆盖返回地址,通常 为一个函数的地址及相应的参数,如 system()、 exec()等 – 当返回时,通过调用 system()、exec()等函数, 执行攻击者指定的系统命令(函数参数中指定) – 利用 return-into-l...
Return-into-libc 攻击及其防御
朝歌
09-09 1337
Return-into-libc 攻击及其防御 本文首先分析了 return-into-libc攻击原理,分别介绍了在不同平台进行传统 return-into-libc 攻击实验过程和结果。然后,本文进一步引入并解释了返回导向编程的攻击方式,这种攻击可以弥补传统 return-into-libc 攻击的不足,使得攻击更灵活、更有效。最后,本文给出了针对这些攻击方法的防御手段
Return into libc attacks used to bypass non-executable stacks
爱.NET
07-30 442
Return into libc attacks used to bypass non-executable stacks BY c0ntex[at]gmail[Dot]com Bypassing non-executable-stack during exploitation using return-to-libc Returning to libc is a method of exploi...
Return-into-libc分析
JD san的博客
05-05 962
经典缓冲区溢出: 利用溢出,攻击者可以将期望数据写入漏洞程序内存中的任意位置,甚至包括控制程序 执行流的关键数据(比如函数调用后的返回地址),从而控制程序的执行过程并实施恶意行为。因此,攻击者通过篡改函数的返回地址以其指向自己纺织的恶意shellcode,这样函数返回时就可以跳转到相应的恶意代码来执行,即将恶意代码注入目标程序,并在以后跳转到此执行此代码。 提出的安全机制: 针对这种先写后执...
20145203盖泽双《网络对抗技术》拓展:注入:shellcode及return-into-libc攻击
03-10 248
20145203盖泽双《网络对抗技术》拓展:注入:shellcode及return-into-libc攻击 一、注入:shellcode 1、编写一段用于获取Shellcode的C语言代码 shellcode就是一段机器指令(code),通常这段机器指令的目的是为获取一个交互式的shell(像linux的shell或类似windows下的cmd.exe),它被用来发送到服务器利用其...
Return-to-libc攻击实验-内含源码以及设计说明书(可以自己运行复现).zip
最新发布
05-08
**Return-to-libc攻击实验详解** 在网络安全领域,Return-to-libc(Ret2libc攻击是一种经典的栈溢出利用技术,常用于绕过数据执行防止(DEP)机制。本实验旨在通过源码分析和实际操作,帮助学习者理解并掌握这种...
Lab2-Return-To-Libc
11-10
网络安全领域,Return-to-libc攻击是一种常见的利用技术,主要用于绕过数据执行防止(DEP)和地址空间布局随机化(ASLR)等安全防护机制。本资料包“Lab2-Return-To-Libc”提供了相关的代码示例、实验说明以及相关...
libc-database:建立libc偏移量数据库以简化开发
04-01
网页界面 libc数据库现在具有Web服务和前端。 访问尝试一下! 如果您对API感兴趣,请阅读 。... $ ./add /usr/lib/libc-2.21.so 在数据库中找到在给定地址上具有给定名称的所有libc。 仅检查最后12位,因为随
复旦大学_软件安全_SEED labs_2-Return_to_libc.zip
06-27
总的来说,《复旦大学_软件安全_SEED labs_2-Return_to_libc实验是软件安全学习的重要实践环节,它不仅提供了理论知识,也强调了动手实践,使学生能够全面理解和应对Return-to-libc这类高级攻击,提升网络安全防护...
使用网络入侵检测系统防止地址空间布局随机化(ASLR)受到损害和返回libc攻击
02-24
为此,我们概述了如何对派生前的并发服务器进行基于网络的蛮力返回libc攻击,以便获得对Shell的远程访问。 我们将继续证明主流保护方法在预防攻击方面如何有效,然后再证明并证明部署NIDS来减轻攻击所带来的任何...
Lab 2: Return-to-libc
11-26 1917
课程主页: http://staff.ustc.edu.cn/~bjhua/courses/security/2014/labs/lab2/index.html Lab Overview 从这个实验开始, 你将接触linux的一些默认保护机制. 但是实验实验目的明显不是教你来熟悉这些保护机制,那目的是什么呢?==>突破这些保护机制. 如: 栈不可执行, 地址随机化,金丝雀这三种着
20145305 《网络对抗》注入Shellcode并执行&Return-to-libc 攻击实验
weixin_30381317的博客
03-04 96
注入Shellcode并执行 实践指导书 实践过程及结果截图 准备一段Shellcode 我这次实践和老师用的是同一个 设置环境 构造要注入的payload 我决定将返回地址改为0xffffd3a0 跟着老师跳坑失败了 查找原因。同上面步骤运行,gdb调试。 重新开始 看到 01020304了,就是返回地址的位置。shellcode就挨着,所以地址是 0xffffd3c0 终于成功...
20145312 《网络对抗》PC平台逆向破解:注入shellcode和 Return-to-libc 攻击实验
acn19249的博客
03-06 174
20145312 《网络对抗》PC平台逆向破解:注入shellcode和 Return-to-libc 攻击实验 注入shellcode 实验步骤 1. 准备一段Shellcode 2. 设置环境 Bof攻击防御技术 从防止注入的角度来看:在编译时,编译器在每次函数调用前后都加入一定的代码,用来设置和检测堆栈上设置的特定数字,以确认是否有bof攻击发生。 GCC中的编译器有堆栈保护技...
20145330 《网络对抗》PC平台逆向破解:注入shellcode 和 Return-to-libc 攻击实验
angfoyi4419的博客
03-07 145
20145330 《网络对抗》PC平台逆向破解:注入shellcode 实验步骤 1、用于获取shellcode的C语言代码 2、设置环境 Bof攻击防御技术 需要手动设置环境使注入的shellcode到堆栈上可执行。 具体在终端输入如下: root@KaliYL:~# execstack -s pwnyx //设置堆栈可执行 root@KaliYL:~# ...
return-to-libc攻击实验
stonesharp的专栏
08-06 4986
第一部分 实验背景        缓冲区溢出的常用攻击方法是用shellcode的地址来覆盖漏洞程序的返回地址,使得漏洞程序去执行存放在栈中shellcode。于是为了阻止这种类型的攻击,一些操作系统(比如Fedora)使得系统管理员具有使栈不可执行的能力。这样的话,一旦程序执行存放在栈中的shellcode就会崩溃,从而阻止了攻击。        不幸的是上面的保护方式并不是完全有效
【无标题】
weixin_49521763的博客
12-12 191
2021-2022-1 20212825《Linux内核原理与分析》第十二周作业 一.实验描述 缓冲区溢出的常用攻击方法是用 shellcode 的地址来覆盖漏洞程序的返回地址,使得漏洞程序去执行存放在栈中 shellcode。为了阻止这种类型的攻击,一些操作系统使得系统管理员具有使栈不可执行的能力。这样的话,一旦程序执行存放在栈中的 shellcode 就会崩溃,从而阻止了攻击。 不幸的是上面的保护方式并不是完全有效的,现在存在一种缓冲区溢出的变体攻击,叫做 return-to-libc 攻击。这种攻击
Return-to-libc攻击实验
qq_29687403的博客
07-17 5476
Return-to-libc攻击实验 Return-to-libc攻击是一种特殊的缓冲区溢出攻击,通常用于攻击有“栈不可执行”保护措施的目标系统。本实验中我们将用system()地址替换返回地址,用它调用一个root shell。
seedlab:return-to-libc
pang241的专栏
06-20 3122
声明:该教程是根据Seed Lab: return-to-libc实验要求所写的,该教程只是演示了一下return-to-libc的一些基本的攻击原理,由于关了编译器及系统的一些保护措施,所以并不能在实际的情况下实现攻击(′▽`〃)一:背景介绍DEP数据执行保护溢出攻击的根源在于现代计算机对数据和代码没有明确区分这一先天缺陷,就目前来看重新去设计计算机体系结构基本上是不可能的,我们只能靠向前兼容的
return-to-libc attac
09-04
return-to-libc攻击是一种典型的缓冲区溢出攻击方式,它绕过了内存的数据执行保护机制。在执行return-to-libc攻击时,攻击者通过精心构造的恶意输入,将栈溢出造成的缓冲区溢出利用到无法执行任意代码的情况下。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值