缓冲区溢出实验报告

缓冲区溢出攻击与防范实验报告——计算机网络（2）班——V200748045黄香娥1·缓冲区溢出的概念：缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上,理想的情况是程序检查数据长度并不允许输入超过缓冲区长度的字符,但是绝大多数程序都会假设数据长度总是与所分配的储存空间想匹配,这就为缓冲区溢出埋下隐患.操作系统所使用的缓冲区又被称为"堆栈". 在各个操作进程之间,指令会被临时储存在"堆栈"当中,"堆栈"也会出现缓冲区溢出。

2·缓冲区溢出的危害：在当前网络与分布式系统安全中，被广泛利用的50%以上都是缓冲区溢出，其中最著名的例子是1988年利用fingerd漏洞的蠕虫。

而缓冲区溢出中，最为危险的是堆栈溢出，因为入侵者可以利用堆栈溢出，在函数返回时改变返回程序的地址，让其跳转到任意地址，带来的危害一种是程序崩溃导致拒绝服务，另外一种就是跳转并且执行一段恶意代码，比如得到shell，然后为所欲为。

3·缓冲区溢出原理：由一个小程序来看：//test.c#include "stdio.h"#include "stdlib.h"#include "string.h"void overflow(void){char buf[10];strcpy(buf,"0123456789123456789");}//end overflowint main(void){overflow();return 0;}//end main按F11进入"Step into"调试模式，如下:按F11跟踪进入overflow，让程序停在6，现在再看一下几个主要参数：esp=0x0012ff30，eip发生了变化，其它未变。

缓冲区溢出攻击实验【实验要求】1）基本要求：编写一个能实现缓冲区溢出（整数溢出或堆栈溢出）的程序。

语言不限（c，c++，c#，java等均可），环境也不限（linux或windows等）。

并在调试状态下（如linux的gdb或其他集成开发环境的调试命令）查看寄存器和相应存储单元内容的变化情况。

分析并解释缓冲区溢出的原因。

提交：分析文档（要给出调试过程和运行过程中的一些必要的截图），源代码等。

2）提高要求：在上述溢出的情况下，改写ret地址，增加shellcode代码，实现本地或远程管理员权限的非授权访问。

例：一个简单的shellcode程序：/* linux下的一个程序*/＃include <stdio.h>void main() {char *name[2];name[0]="/bin/sh";name[1]=NULL;execve(name[0]，name，NULL);}也可用gdb对其反汇编（主要分析execve和exit函数调用的机器指令），获得相关的汇编代码，进一步处理为16进制机器代码，形如char shellcode[]="\xeb\xlf.......\bin\sh";然后利用strcpy等脆弱性函数植入shellcode.【实验原理】实验主要是利用strcpy等脆弱性函数在执行时没有检查缓冲区长度的特性，通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，造成程序崩溃或使程序转而执行其它指令，以达到攻击的目的。

1、局部变量与堆栈的关系在一个程序中，会声明各种变量。

静态全局变量是位于数据段并且在程序开始运行的时候被初始化，而局部变量则在堆栈中分配，只在该函数内部有效。

如果局部变量使用不当，会造成缓冲区溢出漏洞。

例如，以下程序将命令行的第1个参数拷贝到buffer局部变量中。

void main(int argc，char **argv){char buf[80];strcpy(buf，argv[1]);}在一次函数调用中，堆栈中将被依次压入：参数、返回地址。

实验六报告如图2所示的Windows 2000系统（虚拟机环境下）的计算机。

显然这2台计算机处于同一个网段中，可以相互通讯，win10系统用作攻击机，下面将在此系统上运行Metasploit进行渗透测试，而Windows 2000系统都是本次任务中需要进行渗透入侵的靶机，保持安装后的默认状态，没有打额外的系统安全补丁。

图1 win10攻击机图2 Windows 2000 靶机2、扫描靶机在正式开始渗透之前，应该对靶机进行扫描探测工作，搞清楚渗透目标的系统类型、开放的端口服务、可能存在的安全漏洞等。

在win10攻击机上运行metasploit console，即可进入Metasploit环境。

现在可以利用MSF框架中集成的Nmap扫描器对渗透测试目标进行扫描，如图3所示，获取了靶机的开放服务和操作系统类型等信息。

图3 windows 2000扫描结果利用扫描器的脚步插件，还有可能直接探测出目标系统的安全漏洞，例如如图4所示，Nmap 利用smb-check-vulns插件扫描探测出了Windows 2000靶机存在MS08_067漏洞，命令执行如下：nmap -script= 。

namap扫描的结果里报告发现MS08-067：DISABLED。

这是在暗示我们或许能够对这台主机进行渗透攻击，然后我们在Metasloit里面找到此漏洞的攻击模块，并尝试攻击目标机器。

MS08-067是一个对操作系统版本依赖非常高的漏洞，所以在这里，我们只自动payload指定一下目标就可以确保触发正确的溢出代码。

图4漏洞扫描结果3利用MS08_067漏洞渗透入侵MS08-067漏洞的全称为“Windows Server服务RPC请求缓冲区溢出漏洞”，如果用户在受影响的系统上收到特制的RPC 请求，则该漏洞可能允许远程执行代码。

在Microsoft Windows 2000Windows XP 和Windows Server 2003 系统上，攻击者可能未经身份验证即可利用此漏洞运行任意代码，此漏洞可用于进行蠕虫攻击，目前已经有利用该漏洞的蠕虫病毒。

一实验名称利用跳转指令实现缓冲区溢出定位参数地址实现缓冲区溢出二实验目的1.熟练掌握缓冲区溢出原理2.利用jmp esp指令实现缓冲区溢出3.熟练掌握缓冲区溢出原理4.利用定位参数地址实现缓冲区溢出三实验步骤利用跳转指令实现缓冲区溢出1．编写前导码程序中提供了一个超长前导码，对程序进行调试来确定实际需要的前导码长度在图中可以看出，0x49484746四字节覆盖了ret返回地址2．查找jmp esp指令地址运行FindJmpesp工具，选取一个地址追加到shellcode尾（追加填加地址时注意数组高字节对应地址高位），所选jmp esp指令地址是0x77e424da跟踪调试程序，确定在memcpy执行返回时jmp esp指令是否被执行从图看出，在jmp esp指令执行完毕后，指令指针紧接着执行了3个空指令，而空指令是追加在shellcode尾部的3．生成实现弹出对话框的指令码MessageBoxA函数的绝对内存地址，该地址为0x77E10000+0x0003D8DE=0x77E4D8DE函数ExitProcess的绝对内存地址0x7C800000+0x00013039=0x7C813039利用反汇编功能获取代码字节，将代码字节以十六进制数据形式继续追加到shellcode尾。

重新编译执行。

定位参数实现缓冲区溢出1．进入工程2．生成shellcode功能体（1）首先设置OverFlowClient项目为启动项。

（2）使用Depends工具打开FindShellBase.exe文件定位上述内存地址kernel32.dll 0x7C800000LoadlibraryA 0x7C800000+0x00001E60=7C801E60SHELL32.DLL 0x7CA10000shellExecuteA 0x7CA10000+0x0008F6D4=0x7CA9F6D4（3）编译并生成OverFlowClient.exe，执行OverFlowClient.exe，确定系统是否新建了jlcss用户，并隶属Administrators组。

网络实验报告一、实验目的及要求1、目的了解和掌握Win32平台缓冲区溢出原理；学会使用Win32平台Shellcode技术。

2、内容及要求以windows 2000 server虚拟机为测试对象，修改server.cpp和exploit.c，利用shellcode port bind给出的shellcode,远程获得CMD,并启动目标机器的ftp服务。

二、仪器用具计算机（分别装有windows server 2000和windows 7操作系统），本实验使用的是虚拟机Wmware8.0在同一台电脑上面安装两个操作系统。

三、实验方法与步骤在实验开始前，首先编写可能产生缓冲区溢出的程序(server.cpp)和测试程序(exploit.c)。

在server.cpp中能够产生缓冲区溢出的程序片段如下：void overflow(char * s,int size){char s1[50];printf("receive %d bytes",size);s[size]=0;strcpy(s1,s);}这两个程序的完整代码见附件。

由于本实验是在虚拟机环境下测试的，所以在开始实验前，分别记下两个系统的IP地址：运行server程序的系统IP地址为：192.168.209.131运行exploit程序的系统IP地址为：192.168.209.1实验的过程如下：1.在windows2000系统下分别编译server.cpp和exploit.c程序，详细过程如下：C:\test>cl server.cppC:\test>cl exploit.c编译完成后分别产生exploit.exe、exploit.obj、server.exe、server.obj截图如下图1所示：图 12.在windows2000系统中运行服务程序：server.cppC:\test>server.exe截图如下图2所示：图 23.将编译好的exploit程序拷贝到windows 7系统中来测试4.在windows 7系统中运行exploit.exe程序，如下D:\client\exploit.exe 192.168.209.131 8888截图如下图3所示：图3这样就可以获得目标主机的CMD了，接下来的任务是开启目标主机的FTP服务。

缓冲区溢出攻击与防范实验报告——计算机网络（2）班——V200748045黄香娥1·缓冲区溢出的概念：缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上,理想的情况是程序检查数据长度并不允许输入超过缓冲区长度的字符,但是绝大多数程序都会假设数据长度总是与所分配的储存空间想匹配,这就为缓冲区溢出埋下隐患.操作系统所使用的缓冲区又被称为"堆栈". 在各个操作进程之间,指令会被临时储存在"堆栈"当中,"堆栈"也会出现缓冲区溢出。

2·缓冲区溢出的危害：在当前网络与分布式系统安全中，被广泛利用的50%以上都是缓冲区溢出，其中最著名的例子是1988年利用fingerd漏洞的蠕虫。

而缓冲区溢出中，最为危险的是堆栈溢出，因为入侵者可以利用堆栈溢出，在函数返回时改变返回程序的地址，让其跳转到任意地址，带来的危害一种是程序崩溃导致拒绝服务，另外一种就是跳转并且执行一段恶意代码，比如得到shell，然后为所欲为。

3·缓冲区溢出原理：由一个小程序来看：//test.c#include "stdio.h"#include "stdlib.h"#include "string.h"void overflow(void){char buf[10];strcpy(buf,"0123456789123456789");}//end overflowint main(void){overflow();return 0;}//end main按F11进入"Step into"调试模式，如下:按F11跟踪进入overflow，让程序停在6，现在再看一下几个主要参数：esp=0x0012ff30，eip发生了变化，其它未变。

缓冲区溢出实验实验环境：实验准备：因为缓冲区溢出攻击是一个比较老的攻击方法，因此在现在的操作系统中都加入了防护机制。

在实验开始之前，为了能成功的看到结果，我们需要把这些防护机制关掉。

工程如下：第一步，关掉随机地址机制。

地址随机是一个主要防护机制，在缓冲区溢出攻击过程中需要覆盖并改写程序的返回地址。

使返回地址指向我们的代码，如果开始地址随机的话，我们就不能准确的计算出我们的代码的位置。

所以，我们使用以下命令（在root权限下），关掉该防护机制。

#sysctl -w kernel.randomize_va_space=0第二步，在编译的时候，要关掉栈区保护，并且允许栈区可执行。

这样，我们利用缓冲区溢出注入的代码才可以在栈里面执行。

$ gcc -fno-stack-protector example.c$ gcc -z execstack -o test test.c实验过程：首先分析被攻击的程序#include <stdlib.h>#include <stdio.h>#include <string.h>int bof(char *str){char buffer[24];/* The following statement has a buffer overflow problem */strcpy(buffer, str);return 1;}int main(int argc, char **argv){char str[517];FILE *badfile;badfile = fopen("badfile", "r");fread(str, sizeof(char), 517, badfile);bof(str);printf("Returned Properly\n");return 1;}main()函数读入一个文件，并调用bof()，进行拷贝。