20145317《网络对抗》shellcode注入&Return-to-libc攻击深入

20145317《网络对抗》shellcode注入&Return-to-libc攻击深入

学习任务

  • shellcode注入:shellcode实际是一段代码,但却作为数据发送给受攻击服务器,将代码存储到对方的堆栈中,并将堆栈的返回地址利用缓冲区溢出,覆盖成为指向 shellcode 的地址。
  • Return-to-libc 攻击实验:即使栈有不可执行的能力,无法将shellcode放入堆栈中运行,但我们却可以直接让漏洞程序调转到现存的代码来实现我们的攻击。(本次实验所用的是已经载入内存的 libc 库中的 system()函数等)
      
      

基础知识

  • ps -ef | grep pwn1:
      ps:将某个进程显示出来
      ps:将某个进程显示出来
      ps参数:-A  显示所有程序;-e  此参数的效果和指定"A"参数相同;-f  显示UID,PPIP,C与STIME栏位
      ps显示进程结果格式:UID PID PPID C STIME TTY TIME CMD
         UID 程序被该 UID 所拥有
         PID 就是这个程序的 ID
         PPID 则是其上级父程序的ID
         C CPU 使用的资源百分比
         STIME 系统启动时间
         TTY 登入者的终端机位置
         TIME 使用掉的 CPU 时间。
         CMD 所下达的指令为何
      本条命令意为:查找与pwn1有关的进程,并用-ef格式显示出来
  • (gdb) attach: GDB可以对正在执行的程序进行调度,它允许开发人员中断程序并查看其状态,之后还能让这个程序正常地继续执行。在GDB中使用“attach”命令是一个方法。
  • (gdb) disassemble foo: 反汇编一段内存地址,
  • (gdb) c: 继续执行被调试程序,直至下一个断点或程序结束,Continue的简写
  • (gdb) x/16x : 使用x命令(examine的简写)来查看内存地址中的值。
    * x命令的语法:x/<n/f/u>

  • ln -s 源文件 目标文件 :为某一个文件或目录在另外一个位置建立一个同步的链接
  • chmod u+s 文件 :对文件设置强制位,即SET-UID,可以使非文件拥有者或文件所属群组的用户具有执行该文件的权限
  • export [-fnp][变量名称]=[变量设置值] : 设置或显示环境变量。(比如我们要经常使用到一个命令时,而这个命令的执行文件又不在当前目录,这时可以在代码中先执行export,即告诉程序,要执行什么东西时,需要的文件就在这些目录里)
  • echo : 在显示器上显示一段文字
  • gdb -q : -q用以使得gdb不输出gdb程序的版本等信息
  • system :是一个函数,用于运行其它外部程序
      
      

注入Shellcode并执行

  • 先将环境设置为:堆栈可执行、地址随机化关闭
    20145317《网络对抗》shellcode注入&Return-to-libc攻击深入

  • 20145317《网络对抗》shellcode注入&Return-to-libc攻击深入
  • 以 anything+retaddr+nops+shellcode 的结构来构造,先估计返回地址所在位置,并且找到 shellcode 所在地址
    20145317《网络对抗》shellcode注入&Return-to-libc攻击深入

  • 要验证返回地址所在位置以及找到 shellcode 地址,需要使用GDB调试
    * 先运行 20145317pwn1 可执行文件

  (先不输入“回车”,在后面的调试过程中需要继续运行的时候再回车,到时候就会显示如图的字符部分)

    * 再找到正在执行的 20145317pwn1 的进程号

20145317《网络对抗》shellcode注入&Return-to-libc攻击深入

     *  进入GDB,联系上该进程号

20145317《网络对抗》shellcode注入&Return-to-libc攻击深入

    *  在 ret 处设置断点,接着运行到断点处,显示当前esp的值并依照此位置显示接下来的内存地址内容,并由此分析出返回地址位置的正确性以及shellcode的地址

20145317《网络对抗》shellcode注入&Return-to-libc攻击深入

  (红色方框为返回地址处,红色椭圆为 shellcode 代码,由此推算出 shellcode 地址为 “\x31\xd3\xff\xff”)

    *  继续运行,再次检测是否跳到覆盖的返回地址所表示的地方

20145317《网络对抗》shellcode注入&Return-to-libc攻击深入

  (如红框所示,已经可以确认返回地址是被 \x10\x20\x30\x40 所覆盖的)

    • 将作为输入的 input_shellcode 处的 “\x10\x20\x30\x40” 换为上面所找到的 shellcode 地址 “\x31\xd3\xff\xff”
      20145317《网络对抗》shellcode注入&Return-to-libc攻击深入

    • 执行 20145317pwn1 ,成功注入 shellcode
      20145317《网络对抗》shellcode注入&Return-to-libc攻击深入

  • Return-to-libc攻击深入

    基础知识

    • 缓冲区溢出的常用攻击方法是用 shellcode 的地址来覆盖漏洞程序的返回地址,使得漏洞程序去执行存放在栈中的 shellcode。为了阻止这种类型的攻击,一些操作系统使得系统管理员具有使栈不可执行的能力。这样的话,一旦程序执行存放在栈中的 shellcode 就会崩溃,从而阻止了攻击。

    • 现在存在一种缓冲区溢出的变体攻击,叫做 return-to-libc 攻击。这种攻击不需要一个栈可以执行,甚至不需要一个 shellcode。取而代之的是我们让漏洞程序调转到现存的代码来实现我们的攻击。攻击者在实施攻击时仍然可以用恶意代码的地址(比如 libc 库中的 system()函数等)来覆盖程序函数调用的返回地址,并传递重新设定好的参数使其能够按攻击者的期望运行。这就是为什么攻击者会采用return-into-libc的方式,并使用程序提供的库函数。这种攻击方式在实现攻击的同时,也避开了数据执行保护策略中对攻击代码的注入和执行进行的防护。

    实践过程

    • 输入如下命令,安装一些用于编译32位C程序的东西。(因为这一步忘了截图,所以用的是老师的图~)
    • 输入命令“linux32”进入 32 位 linux 环境。输入“/bin/bash”使用 bash。

    • Ubuntu 和其他一些 Linux 系统中,使用地址空间随机化来随机堆和栈的初始地址,这使得猜测准确的内存地址变得十分困难,而猜测内存地址是缓冲区溢出攻击的关键。因此本次实验中,我们要关闭这一功能。

    • linux 系统中,/bin/sh 实际是指向/bin/bash 或/bin/dash 的一个符号链接。为了重现这一防护措施被实现之前的情形,我们使用另一个 shell 程序(zsh)代替/bin/bash。

    20145317《网络对抗》shellcode注入&Return-to-libc攻击深入

    • 把以下代码(漏洞程序)保存为“retlib.c”文件,保存到 /tmp 目录下。代码如下:

    20145317《网络对抗》shellcode注入&Return-to-libc攻击深入

    • 编译该程序,并设置 SET-UID,命令如下。“gcc -z execstack -o test test.c” 表示栈可执行;"gcc -z noexecstack -o test test.c"表示栈不可执行。GCC 编译器有一种栈保护机制来阻止缓冲区溢出,所以我们在编译代码时需要用 “–fno-stack-protector” 关闭这种机制。

    20145317《网络对抗》shellcode注入&Return-to-libc攻击深入

    • 我们还需要用到一个读取环境变量的程序,再编译一下。

    20145317《网络对抗》shellcode注入&Return-to-libc攻击深入

    • 把以下代码(攻击程序)保存为“exploit.c”文件,保存到 /tmp 目录下。代码如下。

    20145317《网络对抗》shellcode注入&Return-to-libc攻击深入

    • 代码中“0x11111111”、“0x22222222”、“0x33333333”分别是 BIN_SH、system、exit 的地址。
    • 需要我们接下来获取。用刚才的 getenvaddr 程序获得 BIN_SH 地址。

    20145317《网络对抗》shellcode注入&Return-to-libc攻击深入

    • gdb 获得 system 和 exit 地址。

    20145317《网络对抗》shellcode注入&Return-to-libc攻击深入

    • 修改 exploit.c 文件。

    20145317《网络对抗》shellcode注入&Return-to-libc攻击深入

    • 删除刚才调试编译的 exploit 程序和 badfile 文件,重新编译修改后的 exploit.c,然后先运行攻击程序 exploit,再运行漏洞程序 retlib,可见攻击成功,获得了 root 权限

    20145317《网络对抗》shellcode注入&Return-to-libc攻击深入

上一篇:使用loadrunner录制手机脚本


下一篇:程序生成word与PDF文档的方法(python)