20145208 蔡野《网络对抗》shellcode注入&Return-to-libc攻击深入

20145208 蔡野《网络对抗》shellcode注入&Return-to-libc攻击深入

Shellcode注入

shellcode的获取代码

我使用了许心远同学博客中的代码：



得到shellcode如下

\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\

对环境进行设置，设置为堆栈可执行，并关闭地址随机化：



在Linux下有两种攻击buf的构造方法，这里选择

nops+shellcode+retaddr

的方法来构造攻击，对返回地址进行猜测，尝试找到shellcode的地址：



然后在终端注入上面的

input_shellcode

来攻击buf，先不用着急按回车，新开一个终端查看进程pid：



使用gdb调试程序，然后设置断点，查看注入buf的内存地址：



然后在ret的地址位置设置断点后回到之前的终端回车，之后回到gdb进行调试：



现在找到了01020304了，后面的信息明显不对，所以继续往前找：



找到9090310c后再往前找：



可以看出来这里开始就是shellcode了，所以找到了位置，并且返回地址也是对的，所以可以算出shellcode是在

0xffffd400

位置，将返回地址修改为

0xffffd400

，重新注入：



成功了！

Return-to-libc攻击深入

使用如下命令安装用于编译 32 位 C 程序的东西：

```

sudo apt-get update

sudo apt-get install lib32z1 libc6-dev-i386

sudo apt-get install lib32readline-gplv2-dev

```

但是第三个安装失败，先暂时忽略：



结果是不影响进入32位环境：



进入32位linux环境之后，将地址随机化关闭，使用命令

ln -s zsh sh

把

/bin/sh

指向

zsh

：



将漏洞程序代码保存到

/tmp

文件夹下：



编译程序并设置

SET-UID

:



编译的时候遇到错误，检查代码后发现原来是实验楼原代码调用头文件的时候没有

#

符号，纠正后成功：



同样在

/tmp

文件夹下建一个读取环境变量的程序：



和一个攻击程序（攻击程序暂时如下，要根据内存修改）：



现在需要用刚才的

20145208_getenvaddr

程序获得

BIN_SH

地址：



通过gdb调试20145208_exploit攻击程序获得 system 和 exit 地址：



把得到的地址填到攻击程序代码的对应位置：



把之前调试用的攻击程序和badfile文件删除后重新编译修改后的攻击程序：



先运行攻击程，再运行漏洞程序，可见攻击成功，获得了 root 权限：



做到最后才发现之前做的有问题，没有新建一个用户，这样没办法知道是不是获取了root权限，因为本来就是root，所以重新做了一遍，过程都一样，所以只修改了最后一张图作为验证。

深入思考

将/bin/sh重新指向/bin/bash时的攻击

按照上面的方法从头开始做一遍，只需要改变重定向：



结果没有获取权限，因为bash内置了权限降低的机制，就使得我们虽然可以让bof返回时执行system(“/bin/sh”)，但是获取不到root权限。

在网上查资料的时候了解到需要修改setuid()函数，就是我们可以利用函数setuid(0)来提升权限，只需要在调用系统函数system(“/bin/sh”)之前，先调用系统函数setuid(0)。

获取setuid的方式和前面system、exit一样可以用gdb来看，得到setuid地址之后要对攻击程序进行修改，在bof的返回地址处（&buf[24]）写入setuid()的地址，setuid的参数0写在buf[32]处，这是因为setuid()执行完毕之后，会跳转到setuid所在地址的下一个位置，所以这个位置应该放入system函数的入口地址，同理system的参数

BIN_SH

的地址放入&buf[36]处：



测试成功获得权限：