利用ADMmutate测试NIDS

日期：2007年10月9日作者：查看:[大字体中字体小字体]

前言：
　　　　　　　　　
只是一个试验，用了三台机器，两台机器跑Linux （vmware下的RedHat6.2，同事的机子，借用：）一台机器装NIDS（snort1.8-WIN32）
其中：
server IP： 192.168.100.170
client IP： 192.168.100.171
NIDS　 IP： 192.168.100.172

目的：
　　想试试利用ADMmutate是否可以逃过NIDS的监视进行远程缓冲区溢出？NIDS是否可以通过配置来发现这种攻击！

ADMmutate的介绍：

　　这个程序的作者是k2，利用了名为多形态代码的技术，使攻击者能够潜在的改变代码结构来欺骗许　多入侵检测系统，但它不会破坏最初的攻击性程序。溢出程序经它一改，就可以摇身一变，而且由于采用了动态改变的技术，每次伪装的shellcode都不相同,本来ids依靠提取公开的溢出程序的特征码来检测报警，特征码变了后ids就检测不到了。

　伪装前的shellcode格式为：
　　　　 [NNNNNNNNNNNNN][SSSS][RRRR]
　伪装后的shellcode格式为：
　　　　 [nnnnnnn][dddd][ssss][rrrr]
　其中：
　　　　N表示NOP，S表示shellcode，R表示返回地址；
　　　　n表示经过编码的NOP，d为解码器，s表示经过编码的shellcode，r表示返回地址。
　　　　　
（ADMmutate在k2的主页上有下载：
　　　　　　http://www.ktwo.ca/c/ADMmutate-0.7.3.tar.gz　　　　）
　　　　　　
测试过程：

（下面的程序涉及到远程缓冲区溢出，如不明白请看《高级缓冲区溢出下》或《怎样写远程缓冲区溢出漏洞利用程序》）

1.服务器端运行有漏洞的服务器程序(vulnerable)
　//-------------有漏洞的服务器程序(vulnerable.c)-------------------
#include <stdio.h>
#include <netdb.h>
#include <netinet/in.h>

#define BUFFER_SIZE 1024
#define NAME_SIZE 2048

int handling(int c)

{
　　　 char buffer[BUFFER_SIZE], name[NAME_SIZE];
　　　 int bytes;
　　　 strcpy(buffer, "My name is: ");
　　　 bytes = send(c, buffer, strlen(buffer), 0);
　　　 if (bytes == -1)
　　　　　 return -1;
　　　 bytes = recv(c, name, sizeof(name), 0);
　　　 if (bytes == -1)
　　　　　 return -1;
　　　 name[bytes - 1]= '0';
　　　 sprintf(buffer, "Hello %s, nice to meet you!\r\n", name);
　　　 bytes = send(c, buffer, strlen(buffer), 0);