網(wǎng)絡(luò)攻防溢出漏洞實驗報告

1、網(wǎng)絡(luò)攻擊與防御實驗報告姓名：項中村班級： 信安0803學(xué)號:U200814066扌旨導(dǎo)老師：付才日期：2011.7.6實驗?zāi)康? 掌握緩沖區(qū)溢出的原理；2 掌握緩沖區(qū)溢出漏洞的利用技巧；3 .掌握CCProxy的溢出方法；4 .利用溢出漏洞設(shè)計 Shellcode。二、實驗環(huán)境操作系統(tǒng)： Win dows XP SP2破解軟件：OllylCE v1.10編譯環(huán)境：VC+6.0三、實驗過程及截圖1.驗證漏洞：a.打開CCProxy;b. 命令行輸入 telnet 127.0.0.1 登錄 ccproxy ;c. 發(fā)送一條含超長字符串的ping命令。我使用了大量的0123456789的循環(huán)字符串，

2、如下圖發(fā)生溢出錯誤，證明CCProxy存在溢出漏洞2.定位溢出點：由圖可知溢出點在 0x35343332處，可以知道溢出位置個位為 3,然后 逐步縮主機名字符串的長度，最后結(jié)果是在文件名長度為1013時恰好溢出，并且 EIP的地址被1013-1016位覆蓋。3漏洞分析：同學(xué)通過搜索得知在 CCProxy的消息傳輸機制中有一個十分重要的函數(shù):WSAsend(),在他的指點下，我通過查找WSAsend()函數(shù)得到如下圖所示結(jié)果：kfTJ *fit flftk MTi t* 謝 A 9.0) *J0 ：1?詐&ctest-hart口 EhMTI2V0 41 R ikl2rMl J UK? 3 7_U

3、SQD-ndJC/cMliref!*3X/C/EU12VE UIHM n 巧HUI 2S HF hi西禪 41?5HF*412513 IM 竊 h 從訃” AU12S17 33C9A1CHE7 -Il岫上* BC.V5CB.T5 BE F5Eacu WMa 補 edru*spt llfld*wdr4 plr 旳賈町hort e&*is$2edisi126tJ2aI5HB11口IKHM1IIHEdUvmr mi ninnv戶孑背！ 4林rll (itrf5p+1A19OAhJABnnisaac2 1*1mnau卞世* dwirfll ptr沁仙町UC6IB4Ji*50pushexIB51push

4、cxWpirhfifiJipftRsr.tOWM KleaeciCr iwnrd ptrDflJi2aGI4l-FB DQ il !-!.-r .14時2稠叭WK 恥械張此F 卵山衛(wèi)6總孫 aewM!；*0042657 Utl劃星站5D H眥 AtMDfl4i2W6BDM26fi69 CM2MSh H刪耐P11 ETMNMh 1咖 cz trneo 屮h 他 砂FF dA EKfilllMllfli 4：A1 OBEJOOei 5U*訓(xùn)虧 oaii tare ?rBD4C24 腳 LV 牝WUO丄已刊 call nnv5mninecxri dlwr d ptr | e sp * ?4 J im

5、ucivi6JCt rlmrd plr在0x00426B40處設(shè)斷點，重新跟蹤到call 00430300處，然后按F7進(jìn)入函數(shù)，當(dāng)運行到retn 0c 這條指令時，esp為0x014066F0,如下圖:b - U3S3U3 y3 u3MU3HHdAM393H3 Hn=iHUlwilwiMiFlniEIMHUlw=nitalL?4 fcUAlt*-MTTVO.r-Hfjptr r5*i*|iH-&0Ca , dWrf pr #hf 1崛fj.jj期牙nlnjuillulsml43IBK M I *F9IH NDWI iiNAfltll FFFt：M=| -|_i. |m r|* n| Mvk

6、dlftf4 pr i:Ml)P fct j tFdr m-l.4 H mvf h.yt- pci- *f- i|Hli. r! ;|fJ jQJE:A?：ECX KJICbD? Dh 7C4f-r:h# MMMAh*-.1 AliMKtf* hl.i | jpp HKi! n?4 rxr iMn-i*F8 單步執(zhí)行程序之后馬上發(fā)生溢出。觀察0X014066F0是在哪條指令后被覆蓋，就可以分析出造成溢出的原因了。用OllyDbg重新載入ccproxy ，用客戶端重新發(fā)送超長的ping命令，進(jìn)入call 00430300單步執(zhí)行，觀察堆棧區(qū)：nUURAAFA r|l#Bfl&ECnn-uz is

7、o014077 41CCPflBXJI壬oscI1 rniunAAFnSinJt7ARLi5返回到* 11m U HAAFR B1i066rc niu nT nn 1UB67ODI 4 067 OC aiuoftz 1 nO0O06O& o-IJiazBiiu 0OBG023iSDISO03FF 676C6970 32313R2O 3*35033 3H393R37ns：c t I M i繼續(xù)單步執(zhí)行，發(fā)現(xiàn)執(zhí)行完指令call 00440057 后，堆棧地址 0x014066F0被覆蓋為0x35343332,:通11. H：ltui 二:詩-4 H| 1 TnSufTTiJ*ttFC-OTO*U.

8、 dK3 HJ*1. 仲:皿柯 - ii JU UlFUl *h： ii *1! t1 Mil p-F-iin-Jif- 丁 wii. ：, 氓1阿f tfwrt的 *4uU：M fMjir.fU 理 iFF 対M SC 科 K Vf-AC rm孚n wf NH Mr. fct4 FfFFj-. 4 叫 91 lr.* TI*IH：. lk： !*!-. ! MMu-ilk *Hi*sJMnE lr pHh*W|IFFFFFFFFfdHyt* 冷:rtnI 1 J. Is 4 I J R fFE4M4lf JSIB tu flllflLl!El CiESCt I * t fiat fAMkdl

9、7ttt1334&7*tilh3m?*t|ri21Mri4i!,H9tm4dJurfg.-tiihMA|t.,j|. t.a e出八 pFfi會ftCRM肛HHEHnrIff.411*wr rsawanrr.iiC*? I昨IlffillM*hi1-*5-邛 MM* i 8- “ 8*4c AINCMr aWfe H*種*tt盯 I申血.iwp 社ftKI 1 * 4J . U- Efl4-ttuillHUA4tt4*MVHwuML1 ji.ii-咗Hl-flkiVtAFL -M4UIJVMUM!t4M啊-IiUl.*T WfH!腳科比Clw44CH bh艸EIfrMA|BB：nnrXtfl.

10、V-90,33.474E4i9Tr r /r If h崛尊ncn1 kitM I th氣護(hù)If吐帀ffllSMnd I . Wr Ml41*Qfc-：Ilf1 42tvIV5E池vl41讓W(xué)LIKI-4Uff7Vii rVD-M4bMMftUL；U. Tl JFC .W .tihctfue1理鼻射13 4MIEU -P數(shù)值0x35343332用來覆蓋 EIP的，由此可判斷 CCProxy的緩沖區(qū)溢出正是調(diào)用call00440057造成的，進(jìn)一步跟蹤，可發(fā)現(xiàn)溢出是由于call 00440057的子函數(shù)call 00445923的一段拷貝指令造成的。4. Shellcode :由于學(xué)期末時間緊張，

11、直到考試前夕仍未完成這部分的實驗，在此深深感到自己的能力有限。在課上已經(jīng)聽老師詳細(xì)講述過相關(guān)知識，自己也去網(wǎng)上搜索過不少信息，雖然有大致的實驗思路，但是在付諸于實際的過程中卻困難重重，最后只能無奈放棄。 我的想法是編寫一段非常簡單的彈窗程序：#includeint main()LoadLibrary(msvcrt.dll);system();return 0;然后反匯編得到二進(jìn)制代碼，按步驟獲得所要的 Shellcode ，然后在棧上構(gòu)造字符串以 覆蓋EIP，通過JMPESP跳轉(zhuǎn)到該程序，但是嘗試了很久都無法成功，苦于時間不足，不能 深入尋找問題，無奈之下只能先放棄該部分實驗。四、實驗中的問題及心得 這次實驗的第一部分的大部分工作是在實驗室進(jìn)行的，除了一開始找到軟件后的開始 時有點無頭緒， 在老師和同學(xué)的幫助下大致有了實驗思路后就比較順利了。 因為進(jìn)度慢