20145301《网络对抗》shellcode注入&Return-to-libc攻击深入

Shellcode注入

shellcode是什么?

  • Shellcode是指能完成特殊任务的自包含的二进制代码,根据不同的任务可能是发出一条系统调用或建立一个高权限的Shell,Shellcode也就由此得名。它的最终目的是取得目标机器的控制权,所以一般被攻击者利用系统的漏洞送入系统中执行,从而获取特殊权限的执行环境,或给自己设立有特权的帐户。

  • Linux下有两种基本构造攻击buf的方法:retaddr+nop+shellcode,nop+shellcode+retaddr。

  • 实验的目标是找到返回地址的位置和shellcode的地址。然后通过修改返回地址使其自动执行shellcode

  • apt-get install exestack安装exestack

实践过程

  • 实验用的是老师上课用的shellcode:
  • 将环境设置为:堆栈可执行、地址随机化关闭
  • 使用anything+retaddr+nops+shellcode的结构构造攻击buf,猜测返回地址所在位置,并且找到shellcode所在地址
  • 在终端注入攻击buf
  • 注意在此时先输入一次“回车”,在后面的调试过程中需要继续运行的时候再输入一次“回车”。 打开另外一个终端,用gdb来调试进程,先找到该进程的进程ID,再打开gdb,用attach指令对该进程进行调试:
  • 对foo函数进行反汇编:
  • 在ret处设置断点,接着继续运行到断点处(也就是要在这是输入第二次回车),查看当前esp的值并依照此位置显示接下来的内存地址内容,来推断shellcode的地址:
  • 由图推断出shellcode地址为:0xffffd42c 继续运行,可以推断返回地址是输入的\x01\x02\x03\x04所覆盖的,于是修改之:
  • 将返回地址修改为0xffffd42c,重新注入,成功获得了shell

Return-to-libc攻击深入

相关知识

  • 缓冲区溢出的常用攻击方法是用shellcode的地址来覆盖漏洞程序的返回地址,使得漏洞程序去执行存放在栈中shellcode。于是为了阻止这种类型的攻击,一些操作系统(比如Fedora)使得系统管理员具有使栈不可执行的能力。这样的话,一旦程序执行存放在栈中的shellcode就会崩溃,从而阻止了攻击。
  • 但这种保护方式并不是完全有效的,return-to-libc攻击是一种缓冲区溢出的变体攻击。这种攻击不需要一个栈可以执行,甚至不需要一个shellcode。取而代之的是我们让漏洞程序调转到现存的代码(比如已经载入内存的libc库中的system()函数等)来实现我们的攻击。

实践过程

  • 添加一个用户(但是做到后面突然进不去Linux32环境了。。。索性后面改在root用户做):
  • 进入32位linux环境,将地址随机化关闭,并且把/bin/sh指向zsh:
  • 将漏洞程序保存在/tmp目录下,编译该代码,使用–fno-stack-protector来关闭阻止缓冲区溢出的栈保护机制,并设置给该程序更高权限:
  • 读取环境变量的程序gentenvaddr
  • 将攻击程序保存在/tmp目录下:
  • 通过getenvaddr程序获得BIN_SH地址(0xffffde6d)
  • 通过gdb获得system(0xfe36840)和exit地址(0xfe2a7f0)
  • 将找到的三个内存地址改写在exploit.c中:
  • 删除刚才调试编译的exploit程序和badfile文件,重新编译修改后的exploit.c,接着运行exploit、retlib,攻击成功,获得了root权限:

深入思考 :将/bin/sh重新指向/bin/bash时的攻击

  • 首先,我们将/bin/sh重新指向/bin/bash,运行漏洞程序:
  • 发现无法获取root权限,因为bash内置了权限降低的机制。
  • setuid()用来重新设置执行目前进程的用户识别码,其有效的用户识别码必须为0(root)。利用函数setuid(0)可以实现我们的目标,在调用系统函数之前,先调用系统函数setuid(0)来提升权限。 我们先要对攻击程序进行修改,在bof的返回地址处写入setuid()的地址,setuid的地址通过gdb来获得:
  • setuid的参数0写在buf[32]
  • 修改完成后,编译运行,攻击成功!!!

实验总结

  • 这次实验,零零总总出了不少的问题,大多由于自己的不够细致,而恰恰细节决定成败,自己需要反思进步的还有不少。另外从中学会了如何去猜测并验证推断出地址应该所放的位置,当然前提是在地址随机关闭的情况下,如果地址随机,显然再去攻击就没有这么容易了。还是比较佩服黑客或相关技术人员的聪明才智的。希望自己能在这么课程中学到更多。

20145301《网络对抗》shellcode注入&Return-to-libc攻击深入的更多相关文章

  1. 20145307陈俊达《网络对抗》shellcode注入&return to libc

    20145307陈俊达<网络对抗>shellcode注入 Shellcode注入 基础知识 Shellcode实际是一段代码,但却作为数据发送给受攻击服务器,将代码存储到对方的堆栈中,并将 ...

  2. 20145327《网络对抗》——注入shellcode并执行和Return-to-libc攻击深入

    20145327<网络对抗>--注入shellcode并执行 准备一段Shellcode 老师的shellcode:\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68 ...

  3. 20145318《网络对抗》注入shellcode及Return-to-libc

    20145318<网络对抗>注入shellcode及Return-to-libc 注入shellcode 知识点 注入shellcodeShellcode实际是一段代码(也可以是填充数据) ...

  4. 20145308 《网络对抗》 注入shellcode+Return-to-libc攻击 学习总结

    20145308 <网络对抗> 逆向及BOF进阶实践 注入shellcode+Return-to-libc攻击 学习总结 实践目的 注入shellcode 实现Return-to-libc ...

  5. 20144303石宇森《网络对抗》注入shellcode和Return-to-libc攻击

    20144303石宇森<网络对抗>PC平台逆向破解 实验1:shellcode注入 实验基础 1.Linux下有两种基本构造攻击buf的方法:retaddr+nop+shellcode,n ...

  6. 20145211《网络对抗》注入Shellcode并执行&&Return-to-libc攻击

    Shellcode注入 基础知识 Shellcode实际是一段代码,但却作为数据发送给受攻击服务器,将代码存储到对方的堆栈中,并将堆栈的返回地址利用缓冲区溢出,覆盖成为指向 shellcode的地址. ...

  7. 20145310《网络对抗》注入shellcode及Return-to-libc

    Shellcode注入 基础知识 Shellcode实际是一段代码,但却作为数据发送给受攻击服务器,将代码存储到对方的堆栈中,并将堆栈的返回地址利用缓冲区溢出,覆盖成为指向 shellcode的地址. ...

  8. 20145315《网络对抗》——注入shellcode以及 Return-to-libc攻击实验

    shellcode 准备一段Shellcode 我用的老师的shellcode:\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3 ...

  9. 20145320《网络对抗》注入Shellcode并执行

    20145320注入Shellcode并执行 准备一段Shellcode 首先先准备一段C语言代码:这段代码其实和我们的shell功能基本一样 为了之后能够看到反汇编的结果,这次采用的静态编译.正常返 ...

  10. 20145305 《网络对抗》注入Shellcode并执行&Return-to-libc 攻击实验

    注入Shellcode并执行 实践指导书 实践过程及结果截图 准备一段Shellcode 我这次实践和老师用的是同一个 设置环境 构造要注入的payload 我决定将返回地址改为0xffffd3a0 ...

随机推荐

  1. 如何搭建本地WordPress

    今天就来介绍一下如何在Windows下搭建本地WordPress. 安装前准备 1.正常的电脑 2.PHPNow  http://www.phpnow.org 这里面的PHPNow环境包其实包含了常见 ...

  2. 【python系列】安装完PyCharm创建项目提示No Python interpreter selected

    安装Python解释器 去python官网下载python的安装包(https://www.python.org/downloads/release/python-361/) 注意安装的时候选择配置p ...

  3. LeetCode——Move Zeroes

    Description: Given an array nums, write a function to move all 0's to the end of it while maintainin ...

  4. 使用CDN的网络访问过程

    CDN是指内容分发网络,在网络各处架设节点服务器,当用户访问时,CDN系统会根据网络流量.到用户的距离等因素将请求导向离用户最近的节点上. 访问过程是: 1.用户向浏览器提供要访问的域名. 2.浏览器 ...

  5. Dropwizard简单入门

    Dropwizard:一个简洁的RESTful Web框架 Dropwizard跨越了开发库与框架的界限,旨在为Web应用所需的功能提供高性能.可靠的实现.Dropwizard将这些功能抽象为可重用的 ...

  6. Swift - 多线程GCD详解

    //  GCD详解 //  目录: //  1. 创建GCD队列(最常用) //  2. 自定义创建队列 //  3. 使用多线程实现延迟加载 //  4. 使用多线程实现重复(循环) //  5. ...

  7. loadrunner多场景的串行执行以及定时执行

    方法一: 既然是脚本串行执行,那在场景设计中必然是要用多个脚本,要注意的是需要将Scenario Schedule中的Schedule by设置为Group的模式.然后按实际需要依次设置每个脚本的Sc ...

  8. postgresql----表分区

    --下面的描述不记得在哪里抄来的了?! 表分区就是把逻辑上一个大表分割成物理上的多个小块,表分区可提供如下若干好处: 1.某些类型的查询性能可以得到极大提升. 2.更新的性能可以得到提升,因为表的每块 ...

  9. SpringBoot使用SpringSecurity搭建基于非对称加密的JWT及前后端分离的搭建

    SpringBoot使用SpringSecurity搭建基于非对称加密的JWT及前后端分离的搭建 - lhc0512的博客 - CSDN博客 https://blog.csdn.net/lhc0512 ...

  10. SDL结合QWidget的简单使用说明(2)

    上篇主要讲了针对yv12流数据的渲染,但有时候我们显示视频还要求加一些信息,比如头像,昵称等等.一般的想法是在渲染窗口之上做一个小控件来负责: 但是很遗憾,你会发现你的控件被SDL的渲染完全遮住了,渲 ...