20145308 《网络对抗》 逆向及BOF基础实践 学习总结

实践目的

• 通过两种方法，实现程序能够运行原本并不会被运行的代码

  实践原理

• 利用foo函数的Bof漏洞，构造一个攻击输入字符串，覆盖返回地址，触发getShell函数

• 手工修改可执行文件，改变程序执行流程，直接跳转到getShell函数

  知识点学习总结

  汇编、机器指令

• 汇编指令与机器指令一一对应

  EIP、指令地址

• %eip存储指向下一条要执行的指令的地址
• %ebp存储栈底指针，栈基址
• %esp存储栈顶指针，始终指向栈顶

• ESP存储栈底地址，是由ESP在函数调用之前传递给EBP的。等到调用结束之后，EBP会把其地址再次传回给ESP。所以ESP再次指向了函数调用结束后，栈顶的指针

  方法一

  反汇编了解程序

• 首先将可执行文件pwn1复制另存为文件名为学号20145308的文件并执行，可实现回显输入的字符串的功能
  

• 使用objdump -d 20145308 | more命令查看目标文件20145308的反汇编代码

• getshell
  

• foo
  

• main
  

• 可看到main函数在call 8048491处调用执行foo函数，对应机器码为e8 d7ffffff

• 想要使main函数在此处改为跳转执行getshell函数，修改d7ffffff（EIP+d7ffffff=foo）为c3ffffff(EIP+c3ffffff=getshell)即可

  直接修改机器指令，改变程序执行流程

• 使用vi打开20145308，将显示模式切换至16进制模式，并查找到e8 d7
  

• 将d7改为c3,并将模式改回原格式，保存
  

• 运行修改后的文件，成功执行getshell
  

方法二

反汇编了解函数

• 复制可执行文件pwn1为20145308lhy
  

• 使用objdump -d 20145308lhy | more进行反汇编

• 目标触发函数getshell
  

• 正常运行的可执行函数foo
  

• 读入字符串部分函数
  

确认输入字符串哪几个字符会覆盖到返回地址

• 输入长度超过缓冲区的字符串
  

• 通过查看EIP寄存器的值，发现是5覆盖返回地址
  

• 再次输入另一字符串，精确确定是字符串的哪个位置覆盖返回地址
  

• 查看EIP寄存器，发现是1234四个数字覆盖返回地址
  

构造输入字符串

• 构造用getsell地址覆盖返回地址的字符串
  

• 使用16进制格式查看input文件
  

• 将input通过管道符|作为20145308lhy的输入,缓冲区溢出，覆盖返回地址，返回到getshell，截获getshell后输入命令ls成功执行
  

其他

• 本次实践使用两种方法实现了使程序执行了getshell，第一种方法为利用foo函数的Bof漏洞，构造一个攻击输入字符串，覆盖返回地址，触发getShell函数；第二种方法为手工修改可执行文件，改变程序执行流程，直接跳转到getShell函数。通过这次实践复习加深了对上学期学习的Linux命令的理解，也对本次实践所要学习的知识有所掌握