实验四缓冲区溢出攻击技术

HUNAN UNIVERSITY课程实验报告题目： Buflab-handout学生姓名学生学号专业班级计科1403(一)实验环境联想ThinkPadE540 VM虚拟机ubuntu32位操作系统(二)实验准备1.使用tar xvf命令解压文件后，会有3个可执行的二进制文件bufbomb，hex2raw，makecookie。

bufbomb运行时会进入getbuf函数，其中通过调用Gets函数读取字符串。

要求在已知缓冲区大小的情况下对输入的字符串进行定制完成特定溢出操作。

从给的PDF文件中我们得知getbuf函数为：/ /Buffer size for getbuf#define NORMAL_BUFFER_SIZE 32int getbuf(){char buf[NORMAL_BUFFER_SIZE];Gets(buf);return 1;}这个函数的漏洞在于宏定义的缓冲区的大小为32，若输入的字符串长于31（字符串末尾结束符）则会导致数据的覆盖，从而导致一系列损失；在此实验中，我们正是利用这个漏洞来完成实验。

2. hex2raw可执行文件就是将给定的16进制的数转成二进制字节数据。

Makecookie是产生一个userid。

输入的相应的用户名产生相应的cookie值。

**我产生的cookie值为0x5eb52e1c，如下图所示：Level0:实验要求：从英文的PDF文件中的“Your task is to get BUFBOMB to execute the code for smoke when getbuf executes its return statement,rather than returning to test. Note that your exploit string may also corrupt parts of the stack not directlyrelated to this stage, but this will not cause a problem, since smoke causes the program to exit directly.”这句话看出实验让我们在test运行完后，不直接退出，而是跳到smoke函数处执行然后退出，这点很重要！（本人之前一直没有成功就是错在这儿）Test源码：void test(){int val;// Put canary on stack to detect possible corruptionvolatile int local = uniqueval();val = getbuf();// Check for corrupted stackif (local != uniqueval()) {printf("Sabotaged!: the stack has been corrupted\n");}else if (val == cookie) {printf("Boom!: getbuf returned 0x%x\n", val);validate(3);} else {printf("Dud: getbuf returned 0x%x\n", val);}}smoke源码:void smoke(){printf("Smoke!: You called smoke()\n");validate(0);exit(0);}对bufbomb函数进行反汇编并获取getbuf函数的反汇编代码：从上面的汇编代码中我们可以得知，lea指令把buf的指针地址(-0x28(%ebp))传给了Gets()。

缓冲区溢出攻击网络安全实验报告实验名称：缓冲区溢出攻击姓名：王嘉琳学号：090342228指导教师：付宇一、实验目的1.了解缓冲区溢出攻击的现象2.掌握使用缓冲区溢出攻击工具的方法二、实验环境系统环境：Windows网络环境：交换网络结构实验工具：ms06035漏洞利用工具、ms08025漏洞利用工具、ms06063补丁、ms08025补丁三、实验实际完成内容及结果分析利用ms06035漏洞进行攻击1．进入“ms06035漏洞利用工具”目录主机A单击工具栏中“ms06035工具”按钮，进入“ms06035漏洞利用工具”工作目录。

2．查看当前目录内容主机A用dir命令查看当前目录中的内容，如下图所示：上图中标注的“ms06035.exe”即为ms06035漏洞攻击工具。

3．查看“ms06035工具”的使用方法主机A执行“ms06035.exe”命令，提示ms06035漏洞利用工具的使用方法，如下图所示：4．使用“ms06035工具”进行攻击主机A执行“ms06035.exe 主机B的ip445”命令，发起对主机B的攻击。

5．主机B观察被攻击现象主机B被攻击后出现蓝屏死机的现象（实验结束，主机B用虚拟机“快照X”恢复实验环境）。

利用ms08025漏洞进行攻击以下步骤两主机互相攻击对方，操作相同，故以主机A为例说明实验步骤。

「注」将“C:\ExpNIS\NetAD-Lab\Tools\OverFlow\RemoteOverflow”目录下的“ms08025.exe”复制到D盘的根目录下，以便实验下一步进行。

1．telnet登录系统（1）主机A在命令行下使用telnet登录同组主机，登录账号为“student”，密码为“123456”，登录成功如下图。

（2）主机A依次输入“d:”|“dir”查看同组主机D盘根目录，“ms08025.exe”即为实验工具。

2．使用系统命令添加用户主机A使用“net user student1 /add”命令来试添加一个用户“student1”，执行该命令，出现“发生系统错误5，拒绝访问”的提示，如下图所示：请解释出现上述现象的原因：当前用户为普通用户，普通用户没有添加用户的权限。

缓冲区溢出攻击实验【实验要求】1）基本要求：编写一个能实现缓冲区溢出（整数溢出或堆栈溢出）的程序。

语言不限（c，c++，c#，java等均可），环境也不限（linux或windows等）。

并在调试状态下（如linux的gdb或其他集成开发环境的调试命令）查看寄存器和相应存储单元内容的变化情况。

分析并解释缓冲区溢出的原因。

提交：分析文档（要给出调试过程和运行过程中的一些必要的截图），源代码等。

2）提高要求：在上述溢出的情况下，改写ret地址，增加shellcode代码，实现本地或远程管理员权限的非授权访问。

例：一个简单的shellcode程序：/* linux下的一个程序*/＃include <stdio.h>void main() {char *name[2];name[0]="/bin/sh";name[1]=NULL;execve(name[0]，name，NULL);}也可用gdb对其反汇编（主要分析execve和exit函数调用的机器指令），获得相关的汇编代码，进一步处理为16进制机器代码，形如char shellcode[]="\xeb\xlf.......\bin\sh";然后利用strcpy等脆弱性函数植入shellcode.【实验原理】实验主要是利用strcpy等脆弱性函数在执行时没有检查缓冲区长度的特性，通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，造成程序崩溃或使程序转而执行其它指令，以达到攻击的目的。

1、局部变量与堆栈的关系在一个程序中，会声明各种变量。

静态全局变量是位于数据段并且在程序开始运行的时候被初始化，而局部变量则在堆栈中分配，只在该函数内部有效。

如果局部变量使用不当，会造成缓冲区溢出漏洞。

例如，以下程序将命令行的第1个参数拷贝到buffer局部变量中。

void main(int argc，char **argv){char buf[80];strcpy(buf，argv[1]);}在一次函数调用中，堆栈中将被依次压入：参数、返回地址。

网络攻防对抗实验报告实验名称：缓冲区溢出攻击实验类型：验证型实验指导老师：专业班级：姓名：学号：电子邮件：实验地点：实验日期：年月日实验成绩：一、实验目的通过该实验，认识到缓冲区溢出攻击的原理和危害，建立关注操作系统和应用程序漏洞和升级服务的意识。

通过本次实验，了解缓冲区溢出攻击原理，掌握缓冲区溢出攻击的方法和策略。

二、实验内容1、使用缓冲区溢出攻击工具MS08067对目标主机进行缓冲区溢出攻击三、实验步骤1、在控制台窗口中直接输入命令对目标主机：10.11.1.148进行攻击攻击结果：攻击失败失败原因：目标主机防火墙未关闭2、在控制台窗口中直接输入命令对目标主机：10.11.1.142进行攻击攻击结果：攻击失败失败原因：目标主机已打补丁四、课后作业1、写出实验任务的步骤答：实验任务步骤：1、首先使用缓冲区溢出攻击工具对目标主机进行攻击2、当攻击成功后，使用telnet命令连接目标主机3.、连接目标主机，添加用户4、对刚才添加的用户进行提权2、如何防范缓冲区溢出攻击?1)、通过操作系统使得缓冲区不可执行，从而阻止攻击者植入攻击代码；2)、强制写正确的代码的方法；3)、利用编译器的边界检查来实现缓冲区的保护，使得缓冲区溢出不可能出现，从而完全消除了缓冲区溢出的威胁。

4)、在程序指针失效前进行完整性检查五、实验体会1、缓冲区溢出攻击方法原理：缓冲区溢出是指当计算机程序向缓冲区内填充的数据位数超过了缓冲区本身的容量。

溢出的数据覆盖在合法数据上。

当一个超长的数据进入到缓冲区时，超出部分就会被写入其他缓冲区，其他缓冲区存放的可能是数据、下一条指令的指针，或者是其他程序的输出内容，这些内容都被覆盖或者破坏掉。

这就为缓冲区溢出攻击提供了理论依据。

2、产生缓冲区溢出攻击原因：缓冲区溢出是由编程错误引起的。

如果缓冲区被写满，而程序没有去检查缓冲区边界，也没有停止接收数据，这时缓冲区溢出就会发生。

缓冲区边界检查被认为是不会有收益的管理支出，计算机资源不够或者内存不足是编程者不编写缓冲区边界检查语句的理由，然而摩尔定律已经使这一理由失去了存在的基础，但是多数用户仍然在主要应用中运行十年甚至二十年前的程序代码。

深圳大学实验报告课程名称：计算机系统(2)实验项目名称：缓冲区溢出攻击实验学院：计算机与软件学院专业：计算机科学与技术指导教师：罗秋明报告人：实验时间：2016年5月8日实验报告提交时间：2016年5月22日教务处制一、实验目标：1.理解程序函数调用中参数传递机制；2.掌握缓冲区溢出攻击方法；3.进一步熟练掌握GDB调试工具和objdump反汇编工具。

二、实验环境：1.计算机（Intel CPU）2.Linux64位操作系统（CentOs）3.GDB调试工具4.objdump反汇编工具三、实验内容本实验设计为一个黑客利用缓冲区溢出技术进行攻击的游戏。

我们仅给黑客（同学）提供一个二进制可执行文件bufbomb和部分函数的C代码，不提供每个关卡的源代码。

程序运行中有3个关卡，每个关卡需要用户输入正确的缓冲区内容，否则无法通过管卡！要求同学查看各关卡的要求，运用GDB调试工具和objdump反汇编工具，通过分析汇编代码和相应的栈帧结构，通过缓冲区溢出办法在执行了getbuf()函数返回时作攻击，使之返回到各关卡要求的指定函数中。

第一关只需要返回到指定函数，第二关不仅返回到指定函数还需要为该指定函数准备好参数，最后一关要求在返回到指定函数之前执行一段汇编代码完成全局变量的修改。

实验代码bufbomb和相关工具（sendstring/makecookie）的更详细内容请参考“实验四缓冲区溢出攻击实验.p ptx”。

本实验要求解决关卡1、2、3，给出实验思路，通过截图把实验过程和结果写在实验报告上。

四、实验步骤和结果步骤1 返回到smoke()1.1 解题思路首先弄清楚getbuf（）的栈帧结构，知道存放字符数组buf地址的单元和存放getbuf（）返回地址的单元之间相差多少个字节。

假设两者之间相差x个字节。

然后找到smoke()函数的入口地址。

该值为4个字节。

再构造exploit.txt，前x个字节随意填，然后再填入4个字节的smoke（）地址，注意是小端方式存储。

一实验名称利用跳转指令实现缓冲区溢出定位参数地址实现缓冲区溢出二实验目的1.熟练掌握缓冲区溢出原理2.利用jmp esp指令实现缓冲区溢出3.熟练掌握缓冲区溢出原理4.利用定位参数地址实现缓冲区溢出三实验步骤利用跳转指令实现缓冲区溢出1．编写前导码程序中提供了一个超长前导码，对程序进行调试来确定实际需要的前导码长度在图中可以看出，0x49484746四字节覆盖了ret返回地址2．查找jmp esp指令地址运行FindJmpesp工具，选取一个地址追加到shellcode尾（追加填加地址时注意数组高字节对应地址高位），所选jmp esp指令地址是0x77e424da跟踪调试程序，确定在memcpy执行返回时jmp esp指令是否被执行从图看出，在jmp esp指令执行完毕后，指令指针紧接着执行了3个空指令，而空指令是追加在shellcode尾部的3．生成实现弹出对话框的指令码MessageBoxA函数的绝对内存地址，该地址为0x77E10000+0x0003D8DE=0x77E4D8DE函数ExitProcess的绝对内存地址0x7C800000+0x00013039=0x7C813039利用反汇编功能获取代码字节，将代码字节以十六进制数据形式继续追加到shellcode尾。

重新编译执行。

定位参数实现缓冲区溢出1．进入工程2．生成shellcode功能体（1）首先设置OverFlowClient项目为启动项。

（2）使用Depends工具打开FindShellBase.exe文件定位上述内存地址kernel32.dll 0x7C800000LoadlibraryA 0x7C800000+0x00001E60=7C801E60SHELL32.DLL 0x7CA10000shellExecuteA 0x7CA10000+0x0008F6D4=0x7CA9F6D4（3）编译并生成OverFlowClient.exe，执行OverFlowClient.exe，确定系统是否新建了jlcss用户，并隶属Administrators组。

缓冲区溢出攻击与防范实验报告——计算机网络（2）班——V200748045黄香娥1·缓冲区溢出的概念：缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上,理想的情况是程序检查数据长度并不允许输入超过缓冲区长度的字符,但是绝大多数程序都会假设数据长度总是与所分配的储存空间想匹配,这就为缓冲区溢出埋下隐患.操作系统所使用的缓冲区又被称为"堆栈". 在各个操作进程之间,指令会被临时储存在"堆栈"当中,"堆栈"也会出现缓冲区溢出。

2·缓冲区溢出的危害：在当前网络与分布式系统安全中，被广泛利用的50%以上都是缓冲区溢出，其中最著名的例子是1988年利用fingerd漏洞的蠕虫。

而缓冲区溢出中，最为危险的是堆栈溢出，因为入侵者可以利用堆栈溢出，在函数返回时改变返回程序的地址，让其跳转到任意地址，带来的危害一种是程序崩溃导致拒绝服务，另外一种就是跳转并且执行一段恶意代码，比如得到shell，然后为所欲为。

3·缓冲区溢出原理：由一个小程序来看：//test.c#include "stdio.h"#include "stdlib.h"#include "string.h"void overflow(void){char buf[10];strcpy(buf,"0123456789123456789");}//end overflowint main(void){overflow();return 0;}//end main按F11进入"Step into"调试模式，如下:按F11跟踪进入overflow，让程序停在6，现在再看一下几个主要参数：esp=0x0012ff30，eip发生了变化，其它未变。

缓冲区溢出漏洞实验缓冲区溢出漏洞实验⼀、了解缓冲区溢出及其原理1、缓冲区溢出概念缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本⾝的容量溢出的数据在合法数据上，理想的情况是程序检查数据长度并不允许输⼊超过缓冲区长度的字符，但是绝⼤多数程序都会假设数据长度总是与所分配的储存空间相匹配，这就为缓冲区溢出埋下隐患，操作系统所使⽤的缓冲区，⼜被称为"堆栈"。

在各个操作进程之间，指令会被临时储存在"堆栈"当中，"堆栈"也会出现缓冲区溢出。

2、缓冲区溢出攻击及其原理通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从⽽破坏程序的堆栈，使程序转⽽执⾏其它指令，以达到攻击的⽬的。

造成缓冲区溢出的原因是程序中没有仔细检查⽤户输⼊的参数。

这也是稍后做题的突破原理，缓冲区漏洞普遍并且易于实现，缓冲区溢出成为远程攻击的主要⼿段其原因在于缓冲区溢出漏洞给予了攻击者他所想要的⼀切：植⼊并且执⾏攻击代码。

被植⼊的攻击代码以⼀定的权限运⾏有缓冲区溢出漏洞的程序，从⽽得到被攻击主机的控制权。

⼤多数的缓冲溢出攻击都是通过改变程序运⾏的流程到⼊侵者植⼊的恶意代码，其主要⽬的是为了获取超级⽤户的shell。

原理：将恶意指令存放在buffer中，这段指令可以得到进程的控制权，从⽽达到攻击的⽬的。

⼆、实验楼实现缓冲区溢出1、实验准备本实验需要32位环境下操作，输⼊命令下载必要的软件包。

sudo apt-get updatesudo apt-get install -y lib32z1 libc6-dev-i386 lib32readline6-devsudo apt-get install -y python3.6-gdbm gdb2、初始设置Ubuntu 和其他⼀些 Linux 系统中，使⽤地址空间随机化来随机堆（heap）和栈（stack）的初始地址，这使得猜测准确的内存地址变得⼗分困难，⽽猜测内存地址是缓冲区溢出攻击的关键。

网络攻防对抗实验报告实验名称：缓冲区溢出攻击（实验六）指导教师：专业班级：姓名：学号： _____电子邮件： ___ 实验地点： _ 实验日期：实验成绩：____________________一、实验目的1. 了解缓冲区溢出攻击的原理和危害；2．掌握缓冲区溢出攻击的方法和对策。

二、实验原理1.缓冲区概念缓冲区是内存中存放数据的地方。

在程序试图将数据放到机器内存中的某一个位置的时候，因为没有足够的空间就会发生缓冲区溢出。

而人为的溢出则是有一定企图的，攻击者写一个超过缓冲区长度的字符串，植入到缓冲区，然后再向一个有限空间的缓冲区中植入超长的字符串，这时可能会出现两个结果：一是过长的字符串覆盖了相邻的存储单元，引起程序运行失败，严重的可导致系统崩溃；另一个结果就是利用这种漏洞可以执行任意指令，甚至可以取得系统root 特级权限。

缓冲区是程序运行的时候机器内存中的一个连续块，它保存了给定类型的数据，随着动态分配变量会出现问题。

大多时为了不占用太多的内存，一个有动态分配变量的程序在程序运行时才决定给它们分配多少内存。

如果程序在动态分配缓冲区放入超长的数据，它就会溢出了。

一个缓冲区溢出程序使用这个溢出的数据将汇编语言代码放到机器的内存里，通常是产生root权限的地方。

仅仅单个的缓冲区溢出并不是问题的根本所在。

但如果溢出送到能够以root权限运行命令的区域，一旦运行这些命令，那可就等于把机器拱手相让了。

造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。

缓冲区是一块用于存放数据的临时内存空间，它的长度事先已经被程序或操作系统定义好。

缓冲区类似于一个杯子，写入的数据类似于倒入的水。

缓冲区溢出就是将长度超过缓冲区大小的数据写入程序的缓冲区，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他指令。

发生溢出时，如果用一个实际存在的指令地址来覆盖被调用函数的返回地址，则系统就会转而执行这个指令，这一点就是缓冲区溢出被用来进行攻击的最关键之处。

实验六报告图1 win10攻击机图2 Windows 2000 靶机2、扫描靶机在正式开始渗透之前，应该对靶机进行扫描探测工作，搞清楚渗透目标的系统类型、开放的端口服务、可能存在的安全漏洞等。

在win10攻击机上运行metasploit console，即可进入Metasploit环境。

现在可以利用MSF框架中集成的Nmap扫描器对渗透测试目标进行扫描，如图3所示，获取了靶机的开放服务和操作系统类型等信息。

图3 windows 2000扫描结果利用扫描器的脚步插件，还有可能直接探测出目标系统的安全漏洞，例如如图4所示，Nmap利用smb-check-vulns插件扫描探测出了Windows 2000靶机存在MS08_067漏洞，命令执行如下：nmap -script=smb-check-vulns.nse 192.168.56.101。

namap扫描的结果里报告发现MS08-067：DISABLED。

这是在暗示我们或许能够对这台主机进行渗透攻击，然后我们在 Metasloit里面找到此漏洞的攻击模块，并尝试攻击目标机器。

MS08-067是一个对操作系统版本依赖非常高的漏洞，所以在这里，我们只自动payload指定一下目标就可以确保触发正确的溢出代码。

图4漏洞扫描结果3利用MS08_067漏洞渗透入侵MS08-067漏洞的全称为“Windows Server服务RPC请求缓冲区溢出漏洞”，如果用户在受影响的系统上收到特制的 RPC 请求，则该漏洞可能允许远程执行代码。

在 Microsoft Windows 2000Windows XP 和 Windows Server 2003 系统上，攻击者可能未经身份验证即可利用此漏洞运行任意代码，此漏洞可用于进行蠕虫攻击，目前已经有利用该漏洞的蠕虫病毒。

防火墙最佳做法和标准的默认防火墙配置，有助于保护网络资源免受从企业外部发起的攻击，默认情况下能建立空连接。