实验指导书

Size: px

Start display at page:

Download "实验指导书"

待蔺
5 years ago
Views:

1 从零开始学习软件漏洞挖掘系列教程第一篇 : 工欲善其事必先利其器 1 实验简介实验所属系列 : 系统安全实验对象 : 本科 / 专科信息安全专业相关课程及专业 : 计算机网络实验时数 ( 学分 ):2 学时实验类别 : 实践实验类 2 实验目的通过动手做一些实践, 熟悉常用的软件漏洞挖掘工具, 能在日后的软件漏洞挖掘做到游刃有余 3 预备知识 1. 关于 Immunity Debugger 的一些基础知识 Immunity Debugger 是位于迈阿密的专业渗透测试技术公司发布的一种工具, 这个工具能够加快编写利用安全漏洞代码, 分析恶意软件和二进制文件逆向工程等的速度 Immunity 称这个调试工具能帮助渗透测试人员制作利用安全漏洞代码的时间减少一半尤其是 Immunity Debugger 的插件 mona.py 更是软件漏洞挖掘的神器 2. 关于 Windbg 的一些基础知识 Windbg 是在 windows 平台下, 强大的用户态和内核态调试工具虽然 windbg 也提供图形界面操作, 但它最强大的地方还是有着强大的调试命令, 一般情况会结合 GUI 和命令行进行操作, 常用的视图有 : 局部变量全局变量调用栈线程命令寄存器白板等其中命令视图是默认打开的 3. 关于 Python 的一些基础知识 Python, 是一种面向对象的解释性的计算机程序设计语言, 也是一种功能强大而完善的通用型语言, 已经具有十多年的发展历史, 成熟且稳定 Python 具有脚本语言中最丰富和强大的类库, 足以支持绝大多数日常应用 Python 在漏洞利用是理想的开始 Exploit 工具

py 是由 corelan team 整合的一个可以自动构造 Rop Chain 而且集成了 metasploit 计算偏移量功能的强大挖洞辅助插件 5 实验步骤 5.

2 4 实验环境服务器 :Windows 7 SP1,IP 地址 : 随机分配辅助工具 :Windbg,ImmunityDebugger,python2.7,mona.py mona.py 是由 corelan team 整合的一个可以自动构造 Rop Chain 而且集成了 metasploit 计算偏移量功能的强大挖洞辅助插件 5 实验步骤 5.1 实验任务一任务描述 : 熟悉 Immunity Debugger 的基本使用 1. 我们用 Immunity Debugger 打开一个软件将会看到下面 Immunity Debugger 主界面有四个窗口, 分别是 * 反汇编窗口, 反汇编窗口又分为四列 : 地址, 机器码, 机器码对应的汇编指令, 注释

53. 注 : 这是十六进制数 * 堆栈窗口, 堆栈窗口是非常有用的一个窗口, 在程序崩溃时候, 我们可以在堆栈窗口查看 ESP 指向,shellcode 在堆栈的位置等 Immunity 调试器有 GUI 和命令行接口

3 * 寄存器窗口, 这里显示了某时刻 EAX( 累加器 ),EBX( 基址寄存器 ),ECX( 计数器 ),EDX( 数据寄存器 ),ESI( 源变址寄存器 ),EDI( 目的变址寄存器 ),EBP( 基址指针 ),ESP( 堆栈指针 ),EIP( 指令指针 ) 等寄存器的值 * 内存窗口, 这个可以查看某个地址的内容比如我想看看 0x 这个地址有什么东西, 那么只需要在内存窗口 Ctrl+g 然后输入回车可以看到 0x 以后的数据是 55 8B EC 53. 注 : 这是十六进制数 * 堆栈窗口, 堆栈窗口是非常有用的一个窗口, 在程序崩溃时候, 我们可以在堆栈窗口查看 ESP 指向,shellcode 在堆栈的位置等 Immunity 调试器有 GUI 和命令行接口其中命令行接口总是可以使用的, 它允许用户快捷运行他们的命令如果你想查看 mmunity 支持的命令, 可以点击左上角的 PyCommands List 也可以直接从我们的命令运行 Python 命令栏用户可以回到以前输入的命令, 或点击下拉菜单, 看看所有的最近使用的命令

4 关于 Python 脚本 Python 脚本可以在运行时加载和修改包括 Python 解释器将加载任何更改您的自定义脚本包括示例脚本, 如何创建自己的完整文档

5 Python GraphingBuilt 绘图另一个 Immunity 调试器的功能是创建函数图形的能力我们 Python 向量库将创建一个窗口内 Immunity 调试器按一个按钮图您所选择的功能不需要第三方软件

6 Immunity 调试器的 Python API 包含许多有用的实用程序和功能脚本可以像本机代码集成到调试器, 这意味着您的代码可以创建自定义表, 图表以及各种接口, 仍在 Immunity 调试器内例如, 当 Immunity SafeSEH 脚本运行时, 它的输出结果到表内 Immunity 调试器窗口 2. 接下来重点介绍 Immunity Debugger 的一个插件 mona.py 在 Immunity Debugger 下方的命令行输入!mona 即可查看插件所有信息

7 我们这个系列教程用到的命令有!mona pc N ( 产生 N 个随机字符串 ),!mona po str ( 计算 str 在 N 个字符中出现的位置 ),!mona seh ( 找出没有开启 safeseh 模块中的 pop pop retn 序列 ) 如果你不懂某个命令怎么用请输入!mona help 某个命令如图练习关于 mona 插件, 以下说法错误的是? 单选题 A!mona pattern_create 3000 可以创建 3000 个随机字符 B 某个命令的用法可以!mona help 命令 C!mona bytearray -b '\x00' 产生一系列除 \x00 外的随机字节数组 D!mona 是一个自动化挖掘漏洞工具答案 :D

$启动 WinDbg 要用 WinDbg(x86) 调式 32 位程序, 用 WinDbg(x64) 调试 64 位程序 2. 使用帮助任何时候都可以使用!help 命令来获取帮助, 查看命令的使用方法 3. 设置 SymbolFile Path, 指定了符号库, 我们才能看到详细的类型信息 SRV*c:\symbols*http://msdl.microsoft.$

8 5.2 实验任务二任务描述 : 熟悉 Windbg 和 python 的基本使用 1. 我们打开 windbg 后, 默认是这个界面, 清新, 简洁 WinDbg 支持以下三种类型的命令 : 常规命令, 用来调试进程点命令, 用来控制调试器扩展命令, 可以添加叫 WinDbg 的自定义命令, 一般由扩展 dll 提供这些命令下面列举一些常用的 windbg 命令 : 1. 启动 WinDbg 要用 WinDbg(x86) 调式 32 位程序, 用 WinDbg(x64) 调试 64 位程序 2. 使用帮助任何时候都可以使用!help 命令来获取帮助, 查看命令的使用方法 3. 设置 SymbolFile Path, 指定了符号库, 我们才能看到详细的类型信息 SRV*c:\symbols* WinDbg 会将微软的符号库下载指定的本地目录中 4. 重新加载符号

9 如果进入调试之后才指定的符号路径, 需要使用命令来重新加载符号.reload 5.Ctrl+Break 终止一个很长时间没有完成的命令, Ctrl+Break 也可以让正在运行的程序暂停 6. 保存 dump 文件.dump /ma c:\test.dmp 保存 full-dump.dump /m c:\test.dmp 保存 mini-dump 7. 分析 Dump 一般先!analyze v Windbg 会根据上面命令自动分析, 然后 ~* kv 打印所有线程的堆栈 8. 察看模块信息 lm 显示所有模块信息 lmf 显示所有模块及其路径 lmd 显示所有模块详细信息 9. 单步调试 g 继续运行 (go), 热键 F5 t 单步越过 (step over), 热键 F10 p 单步进入 (step into), 热键 F 设置断点 (break point) bp [address] [ command ] 设置软件断点比如 bp kernel32!createprocessw 表示在调用这个 CreateProcess 时设置断点如 bp kernel32!createfilew "du poi(esp+4); g" 表示在调用 CreateFile 时打印出文件路径 ( 第一个参数 ), 然后继续执行针对某线程设置断点, 只要在命令前加 ~ 线程号 : 比如 ~0 bp 0x441242, 表示 0 号线程执行到地址 0x 时中断 ba [access size] [command] 设置硬断点其中,access 指定访问方式 (e 执行指令, r 读取数据,w 写入数据 ) size 表示监视数据的大小 (1, 2, 4) 比如 ba r4 0x414422, 表示在地址 0x 写入 4 字节数据是触发断点 11. 管理断点

10 bl 列出所有当前断点的状态 bc 清除断点, bc * 清除所有断点, bc 0 清除 0 号断点 bd 禁用某个断点 (disable) be 打开某个断点 (enable) 12. 察看堆栈 kn [frame count] 察看当前堆栈及其索引, frame count 指定要显示多少桢 kb 显示堆栈桢地址, 返回地址, 参数, 函数名等 kv 在 kb 的基础上增加了函数调用约定等信息, 所以推荐用 kv 命令察看堆栈..frame [frame index] 将当前堆栈切换到某个堆栈桢, 比如.frame 1 切换到第 1 桢 dv 命令察看当前堆栈桢的局部变量 13. 察看和修改寄存器 r 显示所有寄存器的值 r eax=0x100 将 eax 寄存器的改成 0x 搜索内存 (search memory) s [type] range pattern 其中 type, b 表示 byte,w 表示 word, d 表示 dword, a 表示 ASCII string, u 表示 unicde string Range 表示地址范围, 可以用 2 种表示 : 一是起始地址加终止地址, 二是起始地址加 L 长度 ( 不是字节长度, 是单位长度 ) 如果搜索空间长度超过 256M, 用 L?length Pattern 指定要搜索的内容. 比如 s -u 522e d1000 "web" 表示在 522e0000 和 527d1000 之间搜索 Unicode 字符串 web 比如 s -w 522e0000 L0x100 0x1212 0x2212 0x1234 表示在起始地址 522e0000 之后的 0x100 个单位内搜索 0x1212 0x2212 0x1234 系列的起始地址 15. 反汇编某一地址 u address, 比如 u 0x 表示反汇编地址 0x 的代码 uf 反汇编某个函数, 比如 uf test!main ub 反汇编某地址之前的代码, 比如 ub 0x 0x L20!lmi [module name] 显示某一模块的详细信息

以上只是一部分命令, 不用死记硬背, 需要用的时候现查就行了下面使用 Windbg 实际分析一个程序 : //by www.netfairy.net #include<stdio.h> #include<windows.

11 以上只是一部分命令, 不用死记硬背, 需要用的时候现查就行了下面使用 Windbg 实际分析一个程序 : //by #include<stdio.h> #include<windows.h> // 主函数 int main() { char buffer[8]; MessageBox(NULL,"Hello This is a test","netfairy",null); strcpy(buffer,"aaaaaaaaaaaaaaaaaaaaaaaaaaaaa"); } return 0; strcpy(buffer,"aaaaaaaaaaaaaaaaaaaaaaaaaaaaa"); 会造成典型的缓冲区溢出, 程序将不能正常返回, 我们看看 Windbg 捕获并分析这个异常编译这个程序, 你可以在 C 盘找到这个 test1.exe 用 Windbg 打开程序中断

12 这里提供了三个重要信息 :1: 程序加载的模块列表, 其中有模块的加载基址和介绍地址 2: 当前各寄存器的值 3: 当前执行的指令我们输入 g 命令让程序跑起来到这里还没有出现任何异常, 但是当我们按下确定之后

$dll ModLoad: 74ce0000 74df0000 C:\Windows\syswow64\kernel32.dll ModLoad: 75560000 755a7000 C:\Windows\syswow64\KERNELBASE.dll ModLoad: 75c30000 75d30000 C:\Windows\syswow64\USER32.$

13 Boom!!! 程序出错了, 程序不知道接下来执行什么此时的 eip 为 0x , 由模块加载列表可知 0x 不属于任何模块 ModLoad: image ModLoad: ntdll.dll ModLoad: 74ce df0000 C:\Windows\syswow64\kernel32.dll ModLoad: a7000 C:\Windows\syswow64\KERNELBASE.dll ModLoad: 75c d30000 C:\Windows\syswow64\USER32.dll ModLoad: 74c ce0000 C:\Windows\syswow64\GDI32.dll ModLoad: a000 C:\Windows\syswow64\LPK.dll ModLoad: 74f d000 C:\Windows\syswow64\USP10.dll ModLoad: fc000 C:\Windows\syswow64\msvcrt.dll ModLoad: 758f C:\Windows\syswow64\ADVAPI32.dll ModLoad: C:\Windows\SysWOW64\sechost.dll ModLoad: a80000 C:\Windows\syswow64\RPCRT4.dll ModLoad: 74bf c50000 C:\Windows\syswow64\SspiCli.dll ModLoad: 74be bec000 C:\Windows\syswow64\CRYPTBASE.dll 下面用!analyze v 分析程序出错原因

16 ExceptionAddress: 指明出错地址为 0x ExceptionCode: c (Access violation) 异常代码为 c , 这是一个访问异常, 因为 0x 不是一个合法的地址 STACK_TEXT: WARNING: Frame IP not in any known module. Following frames may be wrong. 0018ff4c ff88 74cf338a 7efde ffd f ff f72 7efde a ffd f efde ffec efde 显示异常时刻堆栈信息还有其它很多无关信息, 我们无须理会可以看到 Windbg 捕获到了缓冲区溢出异常 2. 下面简单介绍一下 python Python 是一种强大的脚本语言, 适合用来做漏洞挖掘, 它简单, 快速, 使很多人爱不释手这里是 python 官网目前 python 有 python2.x 和 python3.x 版本有些语法不一样, 如输出 hello world 在 python2.7 是 print hello world, 而在 python3.4 中是 print ( hello world ), 在本系列教程中, 我始终用 python2.7. 在 windows 下安装 python2.7 十分简单, 只需要到官方网站下载 python2.7, 然后一路 Next 就行了在我们这个系列教程中, 用的的一个 python 脚本是 filename="c:\\test.m3u" # 定义变量 myfile=open(filename,'w') # 以写方式打开文件 test.m3u testfile=open("c:\\test.txt",'r') # 打开 test.txt 文件 testdata=testfile.read() # 读取 test.txt 文件的数据到 testdata myfile.write(testdata) # 写入数据到 test.m3u myfile.close() # 关闭文件

我们在桌面新建一个 test.py 文件, 复制这段代码进去, 然后在 c 盘下新建 test.txt 文件, 内容为 Hello world! 然后运行下 test.py 代码看下 C 盘下多了 test.m3u 文件, 打开发现里面确实是 hello world! Python 的强大之处当然不止这里, 但是我们这个教程主要用到这段代码, 当然, 还有别的 5.2.

17 我们在桌面新建一个 test.py 文件, 复制这段代码进去, 然后在 c 盘下新建 test.txt 文件, 内容为 Hello world! 然后运行下 test.py 代码看下 C 盘下多了 test.m3u 文件, 打开发现里面确实是 hello world! Python 的强大之处当然不止这里, 但是我们这个教程主要用到这段代码, 当然, 还有别的练习以下说法不正确的是 : 单选题 A Windbg 不能调试驱动程序 B python 写的代码不需要编译可以运行 C python 中 i=1 这样写不会报错 D windbg 包含普通, 元, 扩展命令答案 :A 6 布置一个任务使用 python 完成一个 socket 通信的实验任务, 并对实验结果进行分析, 完成思考题目, 总结实验的心得体会, 并提出实验的改进意见

18 7 提示 1)python 实现 socket 通信需要用到 socket 这个库 2) 既然通信, 那么需要有客户端和服务端, 需要分开写 8 配套学习资源 1. Python 实现 socket 通信

实验指导书

实验指导书从零开始学习软件漏洞挖掘系列教程第三篇 : 利用 SEH 机制 Exploit it 1 实验简介实验所属系列 : 系统安全实验对象 : 本科 / 专科网络 / 信息安全专业相关课程及专业 : 计算机网络, 信息安全实验时数 ( 学分 ):2 学时实验类别 : 实践实验类 2 实验目的在传统的缓冲区溢出中, 我们可以通过覆盖返回地址以跳转到 shellcode 但并不是所有的溢出都是那么简单的