20145316许心远《网络对抗》第一次实验拓展：shellcode注入+return-to-libc

shellcode注入实践

编写shellcode

• 这一部分在我上一篇日志里面已经详细讲过了，这里直接把验证合适的shellcode拿过来。

• \x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\

  准备工作，设置环境

  

  构造要注入的payload

• Linux下有两种基本构造攻击buf的方法：retaddr+nop+shellcode,nop+shellcode+retaddr。因为retaddr在缓冲区的位置是固定的，shellcode要不在它前面，要不在它后面。简单说缓冲区小就把shellcode放后边，缓冲区大就把shellcode放前边。

• 实践证明nop+shellcode+retaddr对于pwn1不是成功的payload，但我们依然决定往这个坑里跳一下。手动微笑。

  payload结构为nop+shellcode+retaddr

  1.编写payload

  

• 特别提醒：最后一个字符千万不能是\x0a。\x0a相当于回车键，若回车了下面的操作就做不了了。

  2.打开一个新终端（终端2），将payload注入到pwn1中（此处有天坑！！！一定要仔细！！！）

• 敲好(cat input_shellcode;cat) | ./pwn1后这里有三种状态，这三种状态中只有一种才能让接下来的实验顺利进行。
  
  
  
• 答案就是第一种。我做实验的时候被这里坑住了很久，一切都正常但到后面查看寄存器的时候上翻了几十行就是找不到shellcode，问题就出在这里，大家在这里千万不要手滑多敲回车（到下面提示的地方再敲），要不然都得重新来过。

• 保持终端2中程序的运行状态。

  3.终端1中查询pwn1进程的UID

  

  4.gdb调试，进入对应UID端口

  

  5.反汇编，设置断点

  

• 注意：continue执行的时候，在终端2敲一下回车，终端1中的continue暂停在断点处。

  6.往上查询找到shellcode，同时找到要覆盖的地址

  

• 要覆盖的地址（返回地址）是0xffffd300

  7.更改payload，测试，不成功

• 用0xffffd300替换0x01020304。
  

  payload结构为retaddr+nop+shellcode

• 重新构造payload
  

• 成功
  

  return-to-libc实验

  配置32位linux环境

• sudo apt-get update
• sudo apt-get install lib32z1 libc6-dev-i386

• sudo apt-get install lib32readline-gplv2-dev

  添加新用户

• 因为我们最后的是要通过看“是否取得root权限”来判断成功与否的，所以攻击对象不能是root用户，要创建一个新用户。
  

  设置实验背景

• 进入32位环境，关闭地址随机化，设置zsh程序代替/bin/bash
  

  在/tmp文件夹下编写漏洞程序retlib

  

• 在root用户下编译，关闭栈保护机制。设置SET-UID
  

  在/tmp文件夹下编写getenvaddr和exploit

• getenvaddr用来读取环境变量
  
• exploit用来攻击
  

• 同样是在root用户下编译
  
  

  获取地址并修改exploit

• 获取BIN_SH地址
  
• 进入gdb设置断点，调试运行获取system和exit地址
  
• 将上述三个地址修改入exploit.c文件
  

• 删除之前生成的exploit和badfile（我的exploit因为有权限无法命令行删除，索性直接在places下面的图形化界面tmp文件夹里手动删除）
  

  攻击，成功

• 先运行exploit再运行retlib即可获得root权限，成功！