毕业论文-软件漏洞分析与利用的研究 .pdfVIP

软件漏洞分析与利用的研究

摘要

现如今，网络市场上的软件琳琅满目，程序员用自己的程序开发出自

己的软件，在软件市场上开拓出自己的一片天空，开发了满足不同用户、

不同需求的各种软件，实现了各种不同的功能，方便了人们的生活，解决

了生活中遇到的难题，让软件的自动化代替人工的繁琐，不仅省时，而且

省力，为人类的生产、生活的发展奠定了坚实的基础。软件的设计是程序

员的心血，但是人类的思维是有限的，时代的发展是无限的，新事物的发

展更是无限的，软件就会暴露出不同的漏洞。黑客们每天精心地进行漏洞

的挖掘与分析，再对漏洞进行处理以及漏洞利用，就能够远程的攻击目标

主机，甚至于拿到目标主机的管理员权限，随意篡改目标主机的数据，造

成目标主机的数据丢失或操作的错误。从而给目标主机的操作人员造成巨

大的数据丢失以及经济损失。

本设计采用Metasploit软件结合Ruby语言进行主要的攻击工具开发，

使用IDAproadvanced进行软件漏洞反编译，同时运用OllDbg进行动态

调试分析。论文主要分为两大部分：一个是软件的漏洞分析部分，另一个

是软件漏洞利用部分。漏洞分析部分主要实现：对缓冲区溢出的栈溢出原

理进行分析，针对通用的软件漏洞，进行通用合理化的漏洞分析；软件漏

洞利用部分主要利用两个攻击实例，第一个是针对ms12_020漏洞利用，成

功入侵主机，对主机进行破坏性的蓝屏攻击。第二个是针对ms08_067漏洞

利用，在自由网络中，成功攻击带有此漏洞的目标主机，查看主机的IP，

查看主机的文件目录，修改文件名称，在目标主机上添加用户，并进一步

提升至管理员权限,开启后门服务，登陆远程目标主机桌面等。真正成功实

现了漏洞的利用过程，模拟黑客攻击的全过程。

关键词：漏洞分析漏洞利用提升权限文件读取远程登陆桌

面

TheResearchofbothSoftwareVulnerabilityAnalysisand

Exploits

ABSTRACT

ownprocedurestodevelophisownsoftware,todeveloptheirownpieceoftheskyinthe

butalsosavingstrength,laidasolidfoundationforthedevelopmentofboththehumans

targethostwithoutadministratorpermissions,evengettheadministrationofthetarget

inhugedatalossandeconomiclosstothetargethostoperator.

ThisprocedureusingMetasploitsoftwarecombinedwithRubylanguageto

developmenttheattackmodule,usetheIDAProadvancedsoftwaretodecompilesoftware

exploitthesoftwarevulnerabilities.Partofthevulnerabilityanalysis:stackoverflowthe

bufferoverflowisanalyzed,basedongeneralanalysissoftwarevulnerabilities,general

Thesecondisforthems08_067exploit:inthefreenetwork,asuccessfulattackwiththe

doorservice,landingonthetargethost,remotedesktop.Thesuccessfulimplementationof

theprocessofrealvulnerability,wholeprocesssimulationofhackerattack.

KeyWords:Vuln