缓冲区溢出实验报告

缓冲区溢出攻击与防范实验报告——计算机网络（2）班——V200748045黄香娥1·缓冲区溢出的概念：缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上,理想的情况是程序检查数据长度并不允许输入超过缓冲区长度的字符,但是绝大多数程序都会假设数据长度总是与所分配的储存空间想匹配,这就为缓冲区溢出埋下隐患.操作系统所使用的缓冲区又被称为"堆栈". 在各个操作进程之间,指令会被临时储存在"堆栈"当中,"堆栈"也会出现缓冲区溢出。

2·缓冲区溢出的危害：在当前网络与分布式系统安全中，被广泛利用的50%以上都是缓冲区溢出，其中最著名的例子是1988年利用fingerd漏洞的蠕虫。

而缓冲区溢出中，最为危险的是堆栈溢出，因为入侵者可以利用堆栈溢出，在函数返回时改变返回程序的地址，让其跳转到任意地址，带来的危害一种是程序崩溃导致拒绝服务，另外一种就是跳转并且执行一段恶意代码，比如得到shell，然后为所欲为。

3·缓冲区溢出原理：由一个小程序来看：//test.c#include "stdio.h"#include "stdlib.h"#include "string.h"void overflow(void){char buf[10];strcpy(buf,"0123456789123456789");}//end overflowint main(void){overflow();return 0;}//end main按F11进入"Step into"调试模式，如下:按F11跟踪进入overflow，让程序停在6，现在再看一下几个主要参数：esp=0x0012ff30，eip发生了变化，其它未变。

缓冲区溢出攻击实验【实验要求】1）基本要求：编写一个能实现缓冲区溢出（整数溢出或堆栈溢出）的程序。

语言不限（c，c++，c#，java等均可），环境也不限（linux或windows等）。

并在调试状态下（如linux的gdb或其他集成开发环境的调试命令）查看寄存器和相应存储单元内容的变化情况。

分析并解释缓冲区溢出的原因。

提交：分析文档（要给出调试过程和运行过程中的一些必要的截图），源代码等。

2）提高要求：在上述溢出的情况下，改写ret地址，增加shellcode代码，实现本地或远程管理员权限的非授权访问。

例：一个简单的shellcode程序：/* linux下的一个程序*/＃include <stdio.h>void main() {char *name[2];name[0]="/bin/sh";name[1]=NULL;execve(name[0]，name，NULL);}也可用gdb对其反汇编（主要分析execve和exit函数调用的机器指令），获得相关的汇编代码，进一步处理为16进制机器代码，形如char shellcode[]="\xeb\xlf.......\bin\sh";然后利用strcpy等脆弱性函数植入shellcode.【实验原理】实验主要是利用strcpy等脆弱性函数在执行时没有检查缓冲区长度的特性，通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，造成程序崩溃或使程序转而执行其它指令，以达到攻击的目的。

1、局部变量与堆栈的关系在一个程序中，会声明各种变量。

静态全局变量是位于数据段并且在程序开始运行的时候被初始化，而局部变量则在堆栈中分配，只在该函数内部有效。

如果局部变量使用不当，会造成缓冲区溢出漏洞。

例如，以下程序将命令行的第1个参数拷贝到buffer局部变量中。

void main(int argc，char **argv){char buf[80];strcpy(buf，argv[1]);}在一次函数调用中，堆栈中将被依次压入：参数、返回地址。

网络安全缓冲区溢出实践班级：信安一班学号：*************姓名：***1 栈溢出1.1 修改邻接值首先写一个密码验证程序，正确密码为1234567在ollydbg中进行调试在验证密码时输入8888888提示错误。

堆栈情况：可以看出，输入的password储存在0012FB7C处authenticated变量存储在0012FF7C处。

由于8888888>1234567，所以值为1。

如果输入溢出，情况是这样的：输入8888888wsk，发现sk溢出到了authenticated变量处而我们的目标是使authenticated被覆盖为0，因此，输入8个字符，字符串最后的’\0\即null会覆盖authenticated使它成为0。

不过并不是所有的8个字符都可以。

如果输入的字符串小于1234567，那么authenticated是-1的补码即FFFFFFFF，这时只修改最后的一位还是不能使authenticated成为00000000，如这时authenticated值为===================================================================== 1.2 修改函数返回地址改为从文件中读取密码超出buffer范围的字符会依次淹没authenticated、EBP和返回地址。

观察反汇编：此处00401005即为验证函数，取出EAX中的返回值与0比较，如果相等则跳入00401125。

所以将password文件修改如下：可以覆盖返回地址，使程序跳入验证正确的分支2 代码植入通过栈溢出让程序执行输入数据中植入的代码在输入数据里包含自己想要执行的代码，然后通过返回地址让程序跳转到系统栈里执行。

向password.txt文件里植入二进制的机器码。

调用windows的API函数将buffer长度扩展为44，先将password文件修改为11个4321来进行实验，验证通过后堆栈情况如图：buffer起始还是0012FB7C，authenticated也还是0012FF7C，后面依次为EBP和返回地址。

一实验名称利用跳转指令实现缓冲区溢出定位参数地址实现缓冲区溢出二实验目的1.熟练掌握缓冲区溢出原理2.利用jmp esp指令实现缓冲区溢出3.熟练掌握缓冲区溢出原理4.利用定位参数地址实现缓冲区溢出三实验步骤利用跳转指令实现缓冲区溢出1．编写前导码程序中提供了一个超长前导码，对程序进行调试来确定实际需要的前导码长度在图中可以看出，0x49484746四字节覆盖了ret返回地址2．查找jmp esp指令地址运行FindJmpesp工具，选取一个地址追加到shellcode尾（追加填加地址时注意数组高字节对应地址高位），所选jmp esp指令地址是0x77e424da跟踪调试程序，确定在memcpy执行返回时jmp esp指令是否被执行从图看出，在jmp esp指令执行完毕后，指令指针紧接着执行了3个空指令，而空指令是追加在shellcode尾部的3．生成实现弹出对话框的指令码MessageBoxA函数的绝对内存地址，该地址为0x77E10000+0x0003D8DE=0x77E4D8DE函数ExitProcess的绝对内存地址0x7C800000+0x00013039=0x7C813039利用反汇编功能获取代码字节，将代码字节以十六进制数据形式继续追加到shellcode尾。

重新编译执行。

定位参数实现缓冲区溢出1．进入工程2．生成shellcode功能体（1）首先设置OverFlowClient项目为启动项。

（2）使用Depends工具打开FindShellBase.exe文件定位上述内存地址kernel32.dll 0x7C800000LoadlibraryA 0x7C800000+0x00001E60=7C801E60SHELL32.DLL 0x7CA10000shellExecuteA 0x7CA10000+0x0008F6D4=0x7CA9F6D4（3）编译并生成OverFlowClient.exe，执行OverFlowClient.exe，确定系统是否新建了jlcss用户，并隶属Administrators组。

网络实验报告一、实验目的及要求1、目的了解和掌握Win32平台缓冲区溢出原理；学会使用Win32平台Shellcode技术。

2、内容及要求以windows 2000 server虚拟机为测试对象，修改server.cpp和exploit.c，利用shellcode port bind给出的shellcode,远程获得CMD,并启动目标机器的ftp服务。

二、仪器用具计算机（分别装有windows server 2000和windows 7操作系统），本实验使用的是虚拟机Wmware8.0在同一台电脑上面安装两个操作系统。

三、实验方法与步骤在实验开始前，首先编写可能产生缓冲区溢出的程序(server.cpp)和测试程序(exploit.c)。

在server.cpp中能够产生缓冲区溢出的程序片段如下：void overflow(char * s,int size){char s1[50];printf("receive %d bytes",size);s[size]=0;strcpy(s1,s);}这两个程序的完整代码见附件。

由于本实验是在虚拟机环境下测试的，所以在开始实验前，分别记下两个系统的IP地址：运行server程序的系统IP地址为：192.168.209.131运行exploit程序的系统IP地址为：192.168.209.1实验的过程如下：1.在windows2000系统下分别编译server.cpp和exploit.c程序，详细过程如下：C:\test>cl server.cppC:\test>cl exploit.c编译完成后分别产生exploit.exe、exploit.obj、server.exe、server.obj截图如下图1所示：图 12.在windows2000系统中运行服务程序：server.cppC:\test>server.exe截图如下图2所示：图 23.将编译好的exploit程序拷贝到windows 7系统中来测试4.在windows 7系统中运行exploit.exe程序，如下D:\client\exploit.exe 192.168.209.131 8888截图如下图3所示：图3这样就可以获得目标主机的CMD了，接下来的任务是开启目标主机的FTP服务。

缓冲区溢出攻击与防范实验报告——计算机网络（2）班——V200748045黄香娥1·缓冲区溢出的概念：缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上,理想的情况是程序检查数据长度并不允许输入超过缓冲区长度的字符,但是绝大多数程序都会假设数据长度总是与所分配的储存空间想匹配,这就为缓冲区溢出埋下隐患.操作系统所使用的缓冲区又被称为"堆栈". 在各个操作进程之间,指令会被临时储存在"堆栈"当中,"堆栈"也会出现缓冲区溢出。

2·缓冲区溢出的危害：在当前网络与分布式系统安全中，被广泛利用的50%以上都是缓冲区溢出，其中最著名的例子是1988年利用fingerd漏洞的蠕虫。

而缓冲区溢出中，最为危险的是堆栈溢出，因为入侵者可以利用堆栈溢出，在函数返回时改变返回程序的地址，让其跳转到任意地址，带来的危害一种是程序崩溃导致拒绝服务，另外一种就是跳转并且执行一段恶意代码，比如得到shell，然后为所欲为。

3·缓冲区溢出原理：由一个小程序来看：//test.c#include "stdio.h"#include "stdlib.h"#include "string.h"void overflow(void){char buf[10];strcpy(buf,"0123456789123456789");}//end overflowint main(void){overflow();return 0;}//end main按F11进入"Step into"调试模式，如下:按F11跟踪进入overflow，让程序停在6，现在再看一下几个主要参数：esp=0x0012ff30，eip发生了变化，其它未变。