20145208 蔡野《网络对抗》shellcode注入&Return-to-libc攻击深刻

20145208 蔡野《网络对抗》shellcode注入&Return-to-libc攻击深刻

Shellcode注入

• shellcode的获取代码
• 我使用了许心远同窗博客中的代码：

• 获得shellcode以下\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\
• 对环境进行设置，设置为堆栈可执行，并关闭地址随机化：

• 在Linux下有两种攻击buf的构造方法，这里选择nops+shellcode+retaddr的方法来构造攻击，对返回地址进行猜想，尝试找到shellcode的地址：

• 而后在终端注入上面的input_shellcode来攻击buf，先不用着急按回车，新开一个终端查看进程pid：

• 使用gdb调试程序，而后设置断点，查看注入buf的内存地址：

• 而后在ret的地址位置设置断点后回到以前的终端回车，以后回到gdb进行调试：

• 如今找到了01020304了，后面的信息明显不对，因此继续往前找：

• 找到9090310c后再往前找：

• 能够看出来这里开始就是shellcode了，因此找到了位置，而且返回地址也是对的，因此能够算出shellcode是在0xffffd400位置，将返回地址修改成0xffffd400，从新注入：

• 成功了！

Return-to-libc攻击深刻

• 使用以下命令安装用于编译 32 位 C 程序的东西：

sudo apt-get update

sudo apt-get install lib32z1 libc6-dev-i386

sudo apt-get install lib32readline-gplv2-dev

• 可是第三个安装失败，先暂时忽略：

• 结果是不影响进入32位环境：

• 进入32位linux环境以后，将地址随机化关闭，使用命令ln -s zsh sh把/bin/sh指向zsh：

• 将漏洞程序代码保存到/tmp文件夹下：

• 编译程序并设置SET-UID:

• 编译的时候遇到错误，检查代码后发现原来是实验楼原代码调用头文件的时候没有#符号，纠正后成功：

• 一样在/tmp文件夹下建一个读取环境变量的程序：

• 和一个攻击程序（攻击程序暂时以下，要根据内存修改）：

• 如今须要用刚才的20145208_getenvaddr程序得到BIN_SH地址：

• 经过gdb调试20145208_exploit攻击程序得到 system 和 exit 地址：

• 把获得的地址填到攻击程序代码的对应位置：

• 把以前调试用的攻击程序和badfile文件删除后从新编译修改后的攻击程序：

• 先运行攻击程，再运行漏洞程序，可见攻击成功，得到了 root 权限：

• 作到最后才发现以前作的有问题，没有新建一个用户，这样没办法知道是否是获取了root权限，由于原本就是root，因此从新作了一遍，过程都同样，因此只修改了最后一张图做为验证。

深刻思考

将/bin/sh从新指向/bin/bash时的攻击

• 按照上面的方法从头开始作一遍，只须要改变重定向：

• 结果没有获取权限，由于bash内置了权限下降的机制，就使得咱们虽然可让bof返回时执行system(“/bin/sh”)，可是获取不到root权限。

• 在网上查资料的时候了解到须要修改setuid()函数，就是咱们能够利用函数setuid(0)来提高权限，只须要在调用系统函数system(“/bin/sh”)以前，先调用系统函数setuid(0)。

• 获取setuid的方式和前面system、exit同样能够用gdb来看，获得setuid地址以后要对攻击程序进行修改，在bof的返回地址处（&buf[24]）写入setuid()的地址，setuid的参数0写在buf[32]处，这是由于setuid()执行完毕以后，会跳转到setuid所在地址的下一个位置，因此这个位置应该放入system函数的入口地址，同理system的参数BIN_SH的地址放入&buf[36]处：

• 测试成功得到权限：