20145310《网络对抗》注入shellcode及Return-to-libc

Shellcode注入

基础知识

• Shellcode实际是一段代码，但却作为数据发送给受攻击服务器，将代码存储到对方的堆栈中，并将堆栈的返回地址利用缓冲区溢出，覆盖成为指向 shellcode的地址。Shellcode一般是作为数据发送给受攻击服务器的。 Shellcode是溢出程序和蠕虫病毒的核心，提到它自然就会和漏洞联想在一起，毕竟Shellcode只对没有打补丁的主机有用武之地。漏洞利用中最关键的是Shellcode的编写。
  

实践过程

• 首先写一段shellcode，保存为20145310shellcode.c

• 安装execstack

　　

• 将环境设置为：堆栈可执行、地址随机化关闭
• 用execstack -s 5310pwn命令来将堆栈设为可执行状态
• 用execstack -q 5310pwn命令来查看文件pwn20145333的堆栈是否是可执行状态
• 用more /proc/sys/kernel/randomize_va_space命令来查看地址随机化的状态
• 用echo "0" > /proc/sys/kernel/randomize_va_space命令来关闭地址随机化

　    

• 采取nop+shellcode+retaddr方式构造payload（\x4\x3\x2\x1将覆盖到堆栈上的返回地址的位置，需要将它改为shellcode的地址）

• 注入攻击buf

• 此时在第一个终端，用gdb来调试5310pwn进程，找到该进程的进程ID。

• 启动gdb调试进程，用attach指令对该进程进行调试，设置断点，查看注入buf的内存地址

• 设置断点后，在另一个终端按回车，寻找返回地址，看到01020304表示返回地址的位置，shellcode加四字节为其地址

• 退出gdb，按anything+retaddr+nops+shellcode修改input_shellcode

• 执行5310pwn，成功

Return-to-libc攻击

• 配置环境，输入指令创建32位C语言可编译的环境

　　sudo apt-get update

　　sudo apt-get install lib32z1 libc6-dev-i386

• 进入32位linux环境,并使用bash

• 关闭地址随机化

　　sudo sysctl -w kernel.randomize_va_space=0

• 为了不让/bin/bash的防护程序起作用(为了防止shell攻击，程序被调用时会自动弃权)，使用另一个shell程序(zsh)代替/bin/bash，设置zsh程序

• 在编译时手动设置栈不可执。在tmp文件夹下创建“retlib.c”文件，并编译设置SET-UID

• 我们在编译代码时需要用 “–fno-stack-protector” 关闭GCC 编译器栈保护机制

• 在tmp文件夹下准备读取环境变量的程序“getenvaddr.c”，并编译。

• 把以下代码（攻击程序）保存为“exploit.c”文件，保存到 /tmp 目录下。

• 用刚才的 getenvaddr 程序获得 BIN_SH 地址。

• gdb获得system和exit地址，编译，获得 system 和 exit 地址

• 修改 exploit.c 文件，填上内存地址

• 删除刚才调试编译的exploit程序和badfile文件，重新编译修改后的exploit.c。
• 先运行攻击程序 exploit，再运行漏洞程序 retlib，攻击成功，获得 root 权限。