軟件安全實驗第三次實驗報告

軟件安全第三次實驗報告1、目標(biāo)了解shellcode注入原理理解給出的彈出對話框的匯編代碼通過淹沒靜態(tài)地址來實現(xiàn)shellcode的代碼植入通過跳板來實現(xiàn)shellcode的代碼植入嘗試修改匯編語句的shellcode實現(xiàn)修改標(biāo)題等簡單操作作業(yè)要求：詳述修改過程實驗結(jié)果需要截圖證明繪制修改原理的圖示思考題通過跳板的方式，修改StackOverrun程序的流程，使其實現(xiàn)彈出對話框、啟動notepad.exe并打開文本shellcode.txt（可使用CreateProcessA或WinExec等API）。2、測試步驟與結(jié)果2.1使用靜態(tài)地址跳轉(zhuǎn)注入shellcodeStep1：首先建立一個新Win32ConsoleApplication工程，命名為m_overflow。圖2-1建立m_overflow工程Step2：使用Depends.exe進行運行程序剖析 接下來將m_overflow.exe使用該軟件剖析，嘗試尋找MessageBoxA和exitprocess的入口地址：圖2-2進行函數(shù)入口點分析 首先在kernel32.dll中尋找exitprocess函數(shù)的入口點：圖2-3尋找exitprocess函數(shù)的入口點 這里可以看出，kernel32.dll的入口地址為0x77820000，而exitprocess的入口地址為0x005BBE2。然后將這兩個地址相加得到exitprocess的入口地址為：0x7787BBE2。 同理，在user32.dll中尋找MessageBoxA的入口地址：圖2-4尋找MessageBoxA函數(shù)的入口點 這里可以看出，user32.dll的入口地址為0x77370000，而exitprocess的入口地址為0x005EA11。然后將這兩個地址相加得到exitprocess的入口地址為：0x773CEA11。Step3：接下來建立一個新Win32ConsoleApplication工程，命名為m_shellcode。圖2-5建立m_shellcode工程 把里面兩個函數(shù)的入口地址改為剛才計算所得值，然后嘗試運行程序，觀看對話框是否正常彈出：圖2-6程序運行結(jié)果示意圖Step4：使用olydbg獲取shellcode 將帶有shellcode的m_shellcode.exe文件使用olydbg分析，獲取彈對話框部分的shellcode：圖2-7使用olydbg定位到shellcode圖2-8將shellcode內(nèi)容另存為文件圖2-9查看保存到的shellcodeStep5：尋找需要注入shellcode的起始地址 用VC6調(diào)試之前生成的m_overflow.exe，并在目錄下添加password.txt，定位到strcpy代碼行，可以發(fā)現(xiàn)需要注入的地址：圖2-10獲取shellcode注入地址 這里可以看出，shellcode是要會復(fù)制到變量buffer中的，而buffer的地址為0x0012fab8，即我們shellcode要注入的地址。Step6：構(gòu)建password.txt以注入shellcode 這里突然想起來自己的shellcode中存在0x00[‘\0’]，為了shellcode不被截斷，將0x00調(diào)整為0x02，對打印的字符串不影響。圖2-11構(gòu)造帶有shellcode的password.txtStep7：執(zhí)行程序觀察shellcode注入效果圖2-12觀察shellcode注入效果 這里可以看出，password中的內(nèi)容已經(jīng)成功拷貝到buffer中，接下來觀察程序的跳轉(zhuǎn)情況：圖2-13觀察shellcode注入效果（2） 這里可以看出，將函數(shù)的返回地址覆蓋后，程序成功跳轉(zhuǎn)到了shellcode上，最后程序成功彈出對話框：圖2-14觀察shellcode注入效果（3）2.2使用跳板注入shellcodeStep1：在上述實驗的基礎(chǔ)上，繼續(xù)使用olydbg分析m_overflow.exe圖2-15搜索jmp/callesp語句地址 使用olydbg打開要分析的m_overflow.exe，搜索jmp/callesp語句的地址，這里可以發(fā)現(xiàn)已經(jīng)找到了不止一條信息。接下來通過日志功能查看具體的語句地址：圖2-16定位一條callesp語句地址 這里選擇了其中一條在kernel32.dll中的callesp語句，對應(yīng)地址為77874EBF。Step2：依據(jù)跳板地址構(gòu)造password.txt圖2-17使用UE進行password.txt編輯 由于剛才重啟了下電腦，又由于是在win7下做的實驗，所以所有的地址都變了，這里先重新定位了一條jmpesp，地址為0x777D4EBF。然后重新定位exitprocess和MessageBoxA的函數(shù)地址分別為0x777CBBE2和0x761BEA11，最后可以得到運行結(jié)果如下：圖2-18程序運行結(jié)果 如果嘗試將標(biāo)題改為bupt，而內(nèi)容不變，則只需要修改shellcode如下： _asm { subsp,0x440 xorebx,ebx pushebx push0x74707562 //bupt push0x00636D63 //cmc moveax,esp pushebx //MB_OK addeax,4 pusheax //title subeax,4 pusheax //text pushebx //NULL moveax,0x761BEA11 //messageboxA入口地址 calleax pushebx moveax,0x777CBBE2 //exitprocess入口地址 calleax 依舊按照上訴步驟進行注入，可以得到結(jié)果如下：圖2-19程序運行結(jié)果 修改標(biāo)題參數(shù)成功。3、測試結(jié)論 這次實驗讓我了解到win7下做了很多安全上的措施，比如會不允許過長的內(nèi)存寫入【會截斷較長的shellcode】、每次開機的函數(shù)入口點地址都會發(fā)生變化。還有兩種不同的shellcode跳轉(zhuǎn)方法都可以達到相同的效果，讓我明白了可以通過不同的手段完成攻擊。4、思考題通過跳板的方式，修改StackOverrun程序的流程，使其實現(xiàn)彈出對話框、啟動notepad.exe并打開文本shellcode.txt（可使用CreateProcessA或WinExec等API）。Step1:首先構(gòu)造彈出對話框和打開shellcode.txt的shellcode：圖4-1定位ShellExecute地址 這里可以看到shell32.dll的地址為0x767E0000，ShellExecuteA的相對地址為0x002474BD，計算可得ShellExecuteA的入口地址為：0x76A274BD。 所以編寫shellcode如下： _asm { subsp,0x440 xorebx,ebx pushebx push0x74707562 //bupt push0x00636D63 //cmc moveax,esp push0x00747874 //txt push0x2E65646F //ode. push0x636C6C65 //ellc push0x68730000 //sh push0x006E6570 //pen push0x6F000000 //o pushebx //MB_OK addeax,4 pusheax //title subeax,4 pusheax //text pushebx //NULL moveax,0x761BEA11 //messageboxA入口地址 calleax push5 //SW_SHOW pushebx //NULL pushebx //NULL moveax,esp addeax,22 pusheax //file subeax,15 pusheax //open pushebx //NULL moveax,0x76A274BD //ShellExecuteA入口地址 calleax pushebx moveax,0x777CBBE2 //exitproc