網(wǎng)絡(luò)安全試驗(yàn)二

1、WORD格式實(shí)驗(yàn)二 棧溢出實(shí)驗(yàn)【實(shí)驗(yàn)內(nèi)容】利用棧溢出修改變量值利用棧溢出修改函數(shù)返回地址，運(yùn)行惡意代碼【實(shí)驗(yàn)類型】驗(yàn)證型實(shí)驗(yàn)【實(shí)驗(yàn)學(xué)時(shí)】 3 學(xué)時(shí)實(shí)驗(yàn)原理】 如果向棧上聲明的緩沖區(qū)中復(fù)制數(shù)據(jù)， 但是復(fù)制到數(shù)據(jù)量又比緩沖區(qū)大的時(shí)候， 就會(huì)發(fā)生棧 溢出。在棧上聲明的各種變量的位置緊臨函數(shù)調(diào)用程序的返回地址。 若用戶輸入的數(shù)據(jù)未經(jīng) 驗(yàn)證就傳遞給 strcpy 這樣的函數(shù)， 則會(huì)導(dǎo)致變量值被攻擊者指定的值所改寫或調(diào)用函數(shù)的 返回地址將被攻擊者選擇的地址所覆蓋，打亂程序正常運(yùn)行流程，轉(zhuǎn)而執(zhí)行惡意代碼。防范棧溢出的有效方法有： 禁止棧執(zhí)行， 從而阻止攻擊者植入惡意代碼； 編寫安全可靠的 代碼，始終對(duì)輸入的

2、內(nèi)容進(jìn)行驗(yàn)證；利用編譯器的邊界檢查實(shí)現(xiàn)棧保護(hù)?！緦?shí)驗(yàn)環(huán)境】Linux 實(shí)驗(yàn)臺(tái) (CentOS)gcc 和 gdb 工具【實(shí)驗(yàn)步驟】打開 Linux 實(shí)驗(yàn)臺(tái)，輸入用戶名和口令，進(jìn)入系統(tǒng)。一、 修改變量值(1) 新建 stackover1.c 文件： touch stackover1.c ；(2) 編輯 stackover1.c 文件： vim stackover1.c ，按 i 鍵進(jìn)如編輯模式， 輸入示例程序 1 ， 按 Esc 鍵退出編輯模式，進(jìn)入命令行，輸入 :wq 保存并退出文件編輯，上述過程如 圖 3.5.3-7 和圖 3.5.3-8 所示；(3) 查看編輯結(jié)果： cat stackov

3、er1.c ，如圖 3.5.3-9 所示；(4) 生成可執(zhí)行文件： gcc stackover1.c o stackover1(5) 運(yùn)行執(zhí)行文件： 如圖./ stackover1 ABCDE ，執(zhí)行結(jié)果 3.5.3-10 所示；從結(jié)果中可以看出， x 的值為程序中的設(shè)定值 10；(6) 在內(nèi)存中 x 緊鄰 buf ，所以輸入 溢出，以修改 x 所在地址空11 個(gè)字符制造棧緩沖區(qū)x 的值為 75 ，對(duì)應(yīng) K 的 ASCII 碼， x 的值發(fā)生改變；(7) 利用 perl 命令輸入適當(dāng)?shù)淖址?的值， 如修改為 30 ，十將 x 的值修改為任意指定x 的值為 30 ，修改成功。 示例程序 1

4、：#include <stdio.h>#include <string.h>void function(char * str)char buf10;int x=10;strcpy(buf,str);printf("x=%dn",x);int main(int argc,char * argv)function(argv1);return 0;二、 修改函數(shù)返回地址，運(yùn)行惡意代碼(1) 參照上述步驟， 新建 stackover2.c 文件，輸入示例程序2，生成可執(zhí)行文件stackover2 ；專業(yè)資料整理./ stackover2 AAAAA，結(jié)果如(

5、2) 運(yùn)行可執(zhí)行文件并查看結(jié)果：圖 3.5.3-13 所示；從結(jié)果中可以看出程序運(yùn)行的棧情fo 函數(shù)的返回地址位于7 個(gè)位置上， bar況，o 第如的函數(shù)入口地址為 0x08048421 ；(3) 隨意輸入多個(gè)字符制造棧溢./ stackover2 perl pri“圖， A”行運(yùn) x25 結(jié)果'出： ent3.5.3- 所示；15(4) 構(gòu)造輸入字符串，將第 7 個(gè)位置修改為 bar 函數(shù)入口地址，即修改 foo 函數(shù)的返回 地址為 bar 函數(shù)的入口地址，以修改程序運(yùn)行流程：./ stackover2 perl e print “ A” x14 . “ x08 ”' ，運(yùn)行

6、結(jié)果如圖3.5.3-17 所示；bar 函數(shù)運(yùn)行，打印出“ Hi!You ' ve been hacked! ”，攻擊成功。 通常我們無法獲取函數(shù)的地址和程序運(yùn)行時(shí)棧的情況， 需要通過反編譯來查看變量地址或 函數(shù)的入口地址，通過深入理解程序運(yùn)行時(shí)的內(nèi)存分配來計(jì)算函數(shù)返回地址在內(nèi)存中的位 置，以便達(dá)到修改程序運(yùn)行流程、執(zhí)行惡意代碼的目的 示例程序 2#include <stdio.h> #include <string.h> void foo(const char *input) char buf10;printf("My stack looks lik

7、e:n%p n%p n%p n%p n%p n%p n%pn%p n n"); strcpy(buf,input); printf("%sn",buf); printf("Now the stack looks like:n%p n%p n%p n%p n%p n%p n%p n%p n n");void bar(void) printf("Hi!You've been hacked!n"); int main(int argc,char *argv)printf("Address of foo=%p n&

8、quot;,foo); printf("Address of bar=%p n",bar);foo(argv1);return 0;【實(shí)驗(yàn)思考】嘗試分析并畫出上述程序的棧結(jié)構(gòu)，可借助 gdb 命 令 ； 嘗試在 Windows 環(huán)境下進(jìn)行上述實(shí)驗(yàn)，并分析與 環(huán)境下的異同；Linu 以示例程序 3 為例，通過計(jì)算快速實(shí) x根據(jù)程序運(yùn)行時(shí)的內(nèi)存分配原理計(jì)算函數(shù)的返回地址；現(xiàn) nevercalled 函數(shù)的運(yùn)行。 示例程序 3#include <stdio.h>#include <string.h>void nevercalled()printf("never calledn");exit(0);vo