緩沖區溢出漏洞攻擊——Vulnserver上手指南

本篇教程的內容將以Vulnserver應用程序中一個已知緩沖區溢出漏洞的攻擊過程為主。Vulnserver是一款Windows服務器應用程序，其中包含一系列可供利用的緩沖區溢出漏洞，旨在為大家在學習和實踐基本的fuzzing、調試以及開發技能方面提供必要的輔助。關于Vulnserver的更多信息，例如下載鏈接等，請從以下網址處查看：http://grey-corner.blogspot.com/2010/12/introducing-vulnserver.html 。

本篇教程將介紹如何確定某個特定的、基于堆棧的溢出漏洞是否被利用，以及如何進一步挖掘溢出漏洞的價值。不過初始發現漏洞的過程并不包含在本教程中。如果大家有興趣了解此類漏洞的尋獲方法，不妨查閱我們此前發表過的文章：

http://resources.infosecinstitute.com/intro-to-fuzzing/

http://resources.infosecinstitute.com/fuzzer-automation-with-spike/

本教程將假設讀者具備一定的技術水平，例如掌握了使用OllyDbg或Immunity Debugger調試程序的使用方法，以及X86匯編語言的相關基本知識。對于剛剛入門的朋友們來說，他們可能覺得自己需要對上述內容進行集中復習，那么下面的鏈接能夠提供大家所需的必要知識：

http://resources.infosecinstitute.com/debugging-fundamentals-for-exploit-development/

http://resources.infosecinstitute.com/in-depth-seh-exploit-writing-tutorial-using-ollydbg/

最后，大家還需要掌握如何利用基于堆棧的緩沖區在溢出方面的基本知識。特別是我們將在下文中談到的特定溢出情況，將會用到一些相對比較高級的調試器應用及開發技術，此外在本系列文章的前幾篇中所涉及到的技能也會被用到。大家可以從下面的鏈接中查看使基于基本堆棧的溢出方法：

http://resources.infosecinstitute.com/stack-based-buffer-overflow-tutorial-part-1-%e2%80%94-introduction/

http://resources.infosecinstitute.com/stack-based-buffer-overflow-tutorial-part-2-%e2%80%94-exploiting-the-stack-overflow/

http://resources.infosecinstitute.com/stack-based-buffer-overflow-tutorial-part-3-%e2%80%94-adding-shellcode/

其它前面沒有提及，但最好在實踐前先行閱讀的Vulnserver系列其它文章可以從下面的鏈接中找到： http://resources.infosecinstitute.com/seh-exploit/

系統要求及安裝

本教程的實踐過程會用到以下軟件：

◆一套32位Windows系統。我強烈建議大家采用最新的Windows桌面系統，例如Windows XP SP2、Windows Vista或是Windows 7，因為這些系統都經過了我個人的親自測試。Windows 2000桌面版以及服務器版系統可能也沒問題，但我不打包票。

◆Windows系統中的Vulnserver。大家可以從下面的鏈接中獲取該程序的相關信息（使用前請詳細閱讀）并下載：http://grey-corner.blogspot.com/2010/12/introducing-vulnserver.html

◆Windows系統中的OllyDbg 1.10。如果各位愿意，也可以使用Immunity Debugger，不過這樣一來大家的顯示結果可能會與教程中的情況略有不同，而且在本教程中與OllyDbg相關的部分插件可能無法運行。OllyDbg可通過下述鏈接獲取： http://www.ollydbg.de/

◆Perl腳本解釋器實例。大家可以將其運行于自己的Windows或是Linux攻擊系統中。Linux系統應該是已經預安裝過Perl了，但如果各位想在Windows中進行，請從以下鏈接中獲取免費下載：http://www.activestate.com/activeperl

◆Metasploit 4的最新副本。它同樣可以運行于Windows或者Linux攻擊系統中，不過我個人建議采用Linux系統加以處理，具體細節請查看后文。Metaspoit的Windows或Linux版本可從下列網址處獲得：http://www.metasploit.com/

◆Netcat副本。大多數Linux系統應該已經預安裝過了，而其Windows版本可以在此鏈接中找到：http://joncraton.org/blog/46

◆如果大家想安裝本文中所提到的shellcode，則必須具備一套安裝過的nasm副本，獲取地址為：http://www.nasm.us/。其實nasm的使用范圍很窄，包括在本教程中也同樣，因此只作為備選考量。不過如果大家是打算定期編寫溢出漏洞，那么nasm絕對是各位工具箱中必不可少的常客。

我在編寫本教程時所使用的個人設置是一套能夠運行Metasploit命令及Perl腳本的Linux主機；操作系統為Ubuntu，而且Vulnserver運行于虛擬機中的Windows XP SP2當中。也就是說，本文中所涉及的命令語法所指向的都是Linux系統；如果大家使用的是Windows，請適當根據個人情況對命令加以修改。我之所以選擇在Linux上運行Metasploit與Perl，是因為Metasploit Framework等組件會被大部分常用的Windows系統防病毒解決方案所破壞。

如果各位的Windows系統運行著防火墻或是HIPS（即主機入侵防御系統），大家可能需要對白名單進行一些相應設置，并適當地禁用某些保護功能，這樣本教程才能順利執行。我們將創建一個溢出漏洞，使得Vulnserver在新綁定的TCP端口處監聽shell會話，而這很可能導致防火墻及HIPS軟件無法正常工作。某些HIPS軟件也許能夠實現ASLR（即地址空間布局隨機化）功能，但這同樣會帶來問題。討論防火墻與HIPS的旁路技術有點超出本教程的涵蓋范圍，因此請以適當的方式加以配置以免發生上述問題。

為了本教程的順利展開，我同樣假設各位的Windows系統沒有為所有程序設置硬件DEP（即數據執行保護）。在Windows XP、Windows Vista以及Windows 7中，默認的設置就是只為基本Windows程序及服務項目配置硬件DEP，因此除非大家曾經刻意修改過自己系統中的DEP設定，否則默認情況應該是處于正確的狀態。要了解更多信息請參閱以下鏈接：

http://en.wikipedia.org/wiki/Data_Execution_Prevention

http://support.microsoft.com/kb/875352

我的Windows Vulnserver系統在192.168.56.101地址的9999 TCP端口處進行監聽，因此該目標地址就是我在運行Perl腳本時所要使用的。如果大家的Vulnserver實例運行在其它位置，請確保該值與自己的實際情況保持一致。

關于使用不同Windows操作系統版本的說明：

請注意，如果大家沒有像我一樣使用Windows XP SP2系統運行Vulnserver，那么各位在為自己的溢出漏洞設定緩沖區大小時所使用的值可能與我所做的有所不同。不過只要大家確保跟隨我的緩沖區定義流程，而不是簡單地復制我所使用的具體數值，那么整個過程應該可以順利完成。我將在以下教程的必要位置處向大家再次強調這一問題。

流程概述

我們將使用以下高端處理流程以完全控制該程序：

◆控制掌握著CPU執行代碼的EIP寄存器，將我們所選擇的值加入其設定。

◆確定哪些代碼能夠完成我們溢出漏洞的目標，在目標系統中尋獲或是添加進程序，并將EIP重新   定向至我們所選擇的代碼。

正如我們在利用緩沖區溢出漏洞系列之前的文章中所提到（詳見簡介部分的鏈接），所需步驟列表既負責實施層面的寫入及溢出效果，又可以確定目標漏洞是否能夠被利用。我們將對給定漏洞加以評估，以審核這些特定步驟能否奏效，而一旦得到了肯定的結論，我們就會明確目標的可行性并進一步找尋將理論付諸實踐的具體方式。一直關注本系列文章的讀者可能會注意到，上面所描述的整個流程與此前相比并無變化。盡管工作過程本身變得愈發復雜，但在執行的一般性基礎步驟方面卻始終保持著一致。惟一不同的只是在具體實施的細節技術上有所變動。

正如在介紹部分中所說，大家應該先在緩沖區溢出漏洞的一般寫入方式上有所了解，然后再嘗試本教程。我們今天所要關注的是一種特定的漏洞，而要利用它進行工作則需要一種新的技術。本教程的重點，正是指導大家如何實施這一新技術，并且探明在何種情況下使用該技術。我仍然會在涉及的時候列出本系列的前幾篇文章作為技術參考，而不是在本文中繼續深入討論原先提過的細節，正如我之前所做過的一樣。因此如果大家對于本文中的初始步驟感到困惑，請拿出點時間來將本系列的前幾篇文章仔細閱讀一遍。具體鏈接簡介部分中已經給出了。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]