实验2：缓冲区溢出.pptVIP

* 首先：必须找出jmp esp指令的地址。 接下来：要确定shellcode放置在字符串的什么位置。 由于每个版本的windows系统的dll都会发生变化，因此，要想让攻击程序在多个版本的Windows下都适用，必须找到一个通用的地址。 前人的经验得出，jmp esp指令的一个通用地址是0x7ffa4512。 * 根据前面的分析，ret在ping后面的字符串的1012字节位置，因此我们在这个位置填充上0x120x450xfa0x7f。这样，程序的流程就发生了变化。 * * 提供了许多通用的shellcode。 * * 我们要把shellcode放置在程序崩溃时esp寄存器指向的地址。 那么，esp寄存器指向什么位置呢。同样，我们可以像定位ret位置一样定位esp指向的位置。 * 用Debugging Tools for Windows的cdb挂起CCProxy.exe。 然后在攻击机telnet到目标主机，通过ping命令发送patternCreate.pl生成的2000长度的字符串，在CCProxy.exe崩溃时，查看一下esp指向的内容。 通过patternOffset.pl计算出它在整个2000字节长的字符串中的位置是4，如图所示。 * 这说明esp指向字符串的第4个字节。 因此我们把shellcode放在字符串的第4个字节。 同时，由于shellcode的长度只有476字节，而此程序的缓冲区在第0~1011字节都可以填充任意指令，因此缓冲区足够容纳下shellcode。 * * * 我们已经成功地利用这个缓冲区溢出漏洞，在目标主机上增加了一个用户hack 演示攻击过程 。 首先用net user命令查看主机上的用户账户。 运行完攻击程序之后，再用net user命令查看用户账户。 * 系统选用：最好选用Windows XP/2000，未在Windows Vista上测试过 CCProxy官方发现Ping Overflow漏洞之后，修补了该漏洞，当ping请求超过255字节时，自动截断。 但是修补后的CCProxy的版本号依旧是6.2，因此，在网上下载的CCProxy6.2有可能是已经修补了该漏洞的安装程序。 * 系统选用：最好选用Windows XP/2000，未在Windows Vista上测试过 我们提到的jmp esp的通用地址，目前来说在win xp/2000中是通用的，在vista中可能会有所差异， 如果有同学能在实验报告里告诉我这个方法在vista里的兼容状况，行不通的话应该怎么改进让溢出成功，我将非常感谢。 * 系统选用：最好选用Windows XP/2000，未在Windows Vista上测试过 我们提到的jmp esp的通用地址，目前来说在win xp/2000中是通用的，在vista中可能会有所差异， 如果有同学能在实验报告里告诉我这个方法在vista里的兼容状况，行不通的话应该怎么改进让溢出成功，我将非常感谢。 * 系统选用：最好选用Windows XP/2000，未在Windows Vista上测试过 我们提到的jmp esp的通用地址，目前来说在win xp/2000中是通用的，在vista中可能会有所差异， 如果有同学能在实验报告里告诉我这个方法在vista里的兼容状况，行不通的话应该怎么改进让溢出成功，我将非常感谢。 * 实验报告要求 在实验报告中详细分析漏洞的细节 在实验报告中写出详细的实验过程和步骤 附上攻击程序源代码 附上实验过程截图和结果截图 提出防范此类缓冲区溢出漏洞的方法 阐述碰到的问题以及解决方法 阐述收获与体会 3.4.4 定位shellcode存放位置 这说明ESP指向字符串的第4个字节 因此，我们把shellcode放在字符串的第4个字节处 由于这段shellcode长度只有476字节，而缓冲区大小为1012字节，足够容纳下shellcode 构造好的exploit的结构如下所示： 3.4.5 编写攻击程序 Socket编程 连接目标主机（connect） 构造溢出字符串（即构造后接shellcode的ping命令：ping shellcode\r\n） 向目标主机发送溢出字符串（send） 关闭连接 3.4.5 编写攻击程序 运行攻击程序 在目标主机上查看攻击效果 4. 实验说明 可任选CCProxy 6.2/war-ftp 1.65/3CTftpSvc 2.0.1进行溢出实验 截止时间：2010-11-13 3（暂定） 实验分值：20分 选择CCProxy：满分按18分计 选择war-ftp：满分按20分计 选择3CTftpSvc ：满分按20分计 4. 实验说明——CCProxy CCProxy官方发现CCProx