首页 > 代码库 > 20145318《网络对抗》注入shellcode及Return-to-libc

20145318《网络对抗》注入shellcode及Return-to-libc

20145318《网络对抗》注入shellcode及Return-to-libc

注入shellcode

知识点

  • 注入shellcodeShellcode实际是一段代码(也可以是填充数据),是用来发送到服务器利用特定漏洞的代码,一般可以获取权限。另外,Shellcode一般是作为数据发送给受攻击服务器的。 Shellcode是溢出程序和蠕虫病毒的核心,提到它自然就会和漏洞联想在一起,毕竟Shellcode只对没有打补丁的主机有用武之地。漏洞利用中最关键的是Shellcode的编写。

实践过程

  •  写一段shellcode,保存为20145318shellcode.c
  •  技术分享

  •  安装execstack

技术分享

  • 设置堆栈可执行,并查询堆栈是否可执行,以便shellcode在堆栈上可以执行

技术分享

  • 关闭地址随机化

技术分享

  •  用more /proc/sys/kernel/randomize_va_space来查询地址随机化是开启状态还是关闭状态,`2`表示开启,`0`表示关闭。
  •  采取nop+shellcode+retaddr方式构造payload(\x4\x3\x2\x1将覆盖到堆栈上的返回地址的位置,需要将它改为shellcode的地址)

技术分享

  • 注入攻击buf

技术分享

  • 再打开一个终端,用GDB调试5318pwn进程,找到进程号2906

技术分享

  • 启动gdb调试进程,设置断点,查看注入buf的内存地址

技术分享

  •  设置断点后,在另一个终端按下回车,并寻找返回地址,看到01020304表示返回地址的位置,shellcode就紧挨着这个地址,加四字节为其地址

技术分享

  •  退出gdb,按anything+retaddr+nops+shellcode修改input_shellcode如下

技术分享

  • 成功

技术分享

 

Return-to-libc攻击

  • sudo apt-get update

 

技术分享

  • sudo apt-get install lib32z1 libc6-dev-i386

 技术分享

  • 进入32位linux环境,并使用bash

技术分享

  • 关闭地址空间随机化

技术分享

  • 使用另一个shell程序(zsh)代替/bin/bash,设置zsh程序

技术分享

  • 在编译时手动设置栈不可执
  • 编写retlib.c

     

技术分享

  • 编译程序,并设置SET-UID

技术分享

 

  • 需要用到一个读取环境变量的程序:getenvaddr.c

技术分享

  • 编译

技术分享

  • 编写exploit.c

技术分享

  • 用刚才的getenvaddr程序获得BIN_SH地址

技术分享

  • gdb获得systemexit地址
  • 编译

技术分享

  • gdb,得到system和exit的地址

技术分享

  • 修改exploit.c文件,填上刚才找到的内存地址

技术分享

  • 删除刚才调试编译的exploit程序和badfile文件,重新编译修改后的exploit.c

技术分享

  • 先运行攻击程序exploit,生成了badfile文件,再运行漏洞程序retlib,可见攻击成功,获得了root权限

技术分享

技术分享

 

20145318《网络对抗》注入shellcode及Return-to-libc