2018-2019-2 网络对抗技术 20162329 Exp1 PC平台逆向破解

时间:2023-12-11 11:39:26


1.实践目标

本次实践的对象是一个名为pwn1的linux可执行文件。

该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。

该程序同时包含另一个代码片段,getShell,会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。我们将学习两种方法运行这个代码片段,然后学习如何注入运行任何Shellcode。

2.实验内容

2.1 手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数。

  • 使用objdump -d pwn1 | more命令对实验给定的可执行文件进行反汇编操作,找到主函数位置并定位其调用foo函数的机器指令及相对地址如图:

    2018-2019-2 网络对抗技术 20162329 Exp1 PC平台逆向破解

    同时我们还可以在反汇编状态下看到getShell代码段的起始地址,接下来我们要做的就是把原可执行文件中的foo函数调用地址改为getShell函数的调用地址,那么怎么做呢?

  • 先用cp pwn1 pwn2拷贝命令把原文件辅助一份,以防出现不可逆修改还得导一份文件进来。vim编辑器打开pwn2来看看,它是个什么东东

    2018-2019-2 网络对抗技术 20162329 Exp1 PC平台逆向破解

  • 打开发现这文件中并没有人类可以看懂的语言,那么我们在编辑器命令行中敲入:%!xxd命令,以16进制代码的形式进行查看,然后利用查找工具/ + 查找信息找到我们刚才反汇编时主函数调用foo的位置,然后把它改成可以对应getShell函数的地址--->根据计算得出我们需要将d7ffffff改为c3ffffff

    2018-2019-2 网络对抗技术 20162329 Exp1 PC平台逆向破解

  • 改完了别忘了把16进制形式转换为原文本,使用:%!xxd -r然后:wq保存并退出编辑器

    先不运行程序,我们先来反汇编看看改的结果

    2018-2019-2 网络对抗技术 20162329 Exp1 PC平台逆向破解

    可以明确的看到原本的调用foo函数已经被我们修改为了调用getShell函数,现在我们运行一下看看会发生什么。

    2018-2019-2 网络对抗技术 20162329 Exp1 PC平台逆向破解

  • 就像是运行程序在其中打开了一个新的命令行一样,我们可以在这个命令行里做任何可进行的操作,比如秘密修改和查看其中的文件_!!当然这么简单的方法肯定是行不通的。

2.2 利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数。

  • 首先我们使用gdb调试运行程序,然后在调试状态下输入r使得程序运行,然后我们输入一串相对有规律的字符串如图:

    2018-2019-2 网络对抗技术 20162329 Exp1 PC平台逆向破解
  • 图中我输入的是八个1,八个2,八个3,七个4和数字1到8然后在调试状态下输入info r显示各个寄存器状态,这时我们可以看到由于输入字符串大于缓冲区,导致eip也就是返回地址指针位置的值已经改变了,而当前的0x35343332正好是数字5 4 3 2的ASCII码,对照我们我们输入的字符串,正好是第33到37个数字的位置正好可以覆盖程序中的返回地址,也就是说我们把这几位替换为getShell函数的对应地址就可以完成前面的操作了。
  • 根据前面使用反汇编看到的结果,我们知道getShell的地址为0x0804847d,然后我们只需要把这一串十六进制码前面填充32个任意字符再输入到foo函数里就可以了,但是这时我们会发现,程序执行时是没办法输入十六进制数的,所以我们需要构造一个文件放 入这些东西,然后把文件中的内容输入到程序里,这时我们用到了一个脚本语言perl,输入以下命令
perl -e 'print "11111111222222223333333344444444\x7d\x84\x04\x08\x0a"' > input

2018-2019-2 网络对抗技术 20162329 Exp1 PC平台逆向破解

将代码和填充数据保存到一个名为input的文件中,利用cat命令和|管道执 行程序就可以得到和第一种方法一样的结果。

2018-2019-2 网络对抗技术 20162329 Exp1 PC平台逆向破解

2.3 注入一个自己制作的shellcode并运行这段shellcode

2.3.1 Shellcode简介

  • shellcode就是一段机器指令(code)
  • 通常这段机器指令的目的是为获取一个交互式的shell(像linux的shell或类似windows下的cmd.exe),
  • 所以这段机器指令被称为shellcode。
  • 在实际的应用中,凡是用来注入的机器指令段都通称为shellcode,像添加一个用户、运行一条指令。

在老师的实验指导中给出了一段Shellcode代码的机器指令,我们就以此来做这次的实验,代码如下:

\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\

2.3.2 准备工作

进行如图所示设置,营造攻击环境:

2018-2019-2 网络对抗技术 20162329 Exp1 PC平台逆向破解

2.3.2 构造攻击buf

根据前面实验的结果我们知道覆盖源程序缓冲区需要的字符个数为32个,而第33到37个字节正好可以覆盖到返回地址的位置上。这样我们就可以构造一个攻击buf输入到源程序中,使得源程序返回地址变为我们注入Shellcode代码位置,我们就可以达到攻击目的,那应该怎么做呢?

综上我们可以构造如下格式的buf:

anything + retaddr + nops + shellcode

注:anything为32字节的任意字符,用于填充源程序中的smilbuf

retaddr为跳转到shellcode代码的地址

nops为任意个空字符,可以作为滑行区,当retaddr中的代码使程序跳转到任意个空字符上时,都可以一直滑行到我们注入的Shellcode的位置,并执行

Shellcode为我们注入的攻击代码,该实验中是打开被攻击计算机的命令行

那么如何确定返回地址位置的值到底应该是多少呢?我们可以进行以下操作来确定:

  1. 先根据上述结构构造buf,我们构造的buf为:
A(32个)+ 1234 + nop(4个) + Shellcode
  1. 使用perl脚本生成攻击buf的文件,文件名为input_Shellcode

2018-2019-2 网络对抗技术 20162329 Exp1 PC平台逆向破解

  1. 开启两个命令行,在一个命令行中输入
(cat input_Shellcode;cat) | ./pwn1

也就是以文件input_Shellcode的内容作为pwn1程序运行的输入,然后在另一个命令行中输入

ps -ef | grep pwn1

查询出pwn1程序运行时所使用的进程号

然后开启gdb调试,并使用attach定位程序

2018-2019-2 网络对抗技术 20162329 Exp1 PC平台逆向破解

  1. 设置断点,查看注入buf的内存地址
  • 先反汇编foo函数,在函数执行结束处设置断点,然后cContinuing让程序继续执行到断点处,然后我们输入info r查看寄存器状态, 可以看到esp中保存的指针值,然后用x/16x + 指针值来查看其中的数据,如图:

  • 可以发现这个位置保存的正好是我们构造buf中的1234的ASCII码,再往后看就能看到我们的Shellcode代码,这样的话我们只需要把1234这个位置的代码改成后面任意一个nop的地址就可以完成攻击了。

  • 由上图可以看到eip寄存器中保存数据的地址,该地址中保存的是第一个字节的值,所以想要跳转到任意一个nop需要在这个地址的基础上再加4。

2018-2019-2 网络对抗技术 20162329 Exp1 PC平台逆向破解

  • 修改之后再运行就可以看到我们的想要的效果了。

    2018-2019-2 网络对抗技术 20162329 Exp1 PC平台逆向破解

    2018-2019-2 网络对抗技术 20162329 Exp1 PC平台逆向破解

    2018-2019-2 网络对抗技术 20162329 Exp1 PC平台逆向破解

    2018-2019-2 网络对抗技术 20162329 Exp1 PC平台逆向破解

3.需要掌握的内容

3.1.掌握NOP, JNE, JE, JMP, CMP汇编指令的机器码

  • NOP指令:“空指令”。执行到NOP指令时,CPU什么也不做,仅仅当做一个指令执行过去并继续执行NOP后面的一条指令。
  • JNE指令:条件转移指令,如果不相等则跳转。
  • JE指令:条件转移指令,如果相等则跳转。
  • JMP指令:无条件跳转指令。无条件跳转指令可转到内存中任何程序段。转移地址可在指令中给出,也可以在寄存器中给出,或在存储器中指出。
  • CMP指令:比较指令,功能相当于减法指令,只是对操作数之间运算比较,不保存结果。cmp指令执行后,将对标志寄存器产生影响。其他相关指令通过识别这些被影响的标志寄存器位来得知比较结果。

3.2. 掌握反汇编与十六进制编程器

反汇编主要使用的命令为objdump具体参数描述如下:

objdump -f test     //显示test的文件头信息
objdump -d test //反汇编test中的需要执行指令的那些section
objdump -D test //与-d类似,但反汇编test中的所有section
objdump -h test //显示test的Section Header信息
objdump -x test //显示test的全部Header信息
objdump -s test //除了显示test的全部Header信息,还显示他们对应的十六进制文件代码

十六进制编辑器主要使用Linux的文本编辑器vim,可以在文档中输入:%!xxd:%!xxd -r来进行十六进制的转换和恢复。

4. 实验总结

4.1. 什么是漏洞?漏洞有什么危害?

4.1.1 什么是漏洞:

  1. 漏洞即某个程序(包括操作系统)在设计时未考虑周全,当程序遇到一个看似合理,但实际无法处理的问题时,引发的不可预见的错误。系统漏洞又称安全缺陷,对用户造成的不良后果如下所述:

  2. 如漏洞被恶意用户利用,会造成信息泄漏,如黑客攻击网站即利用网络服务器操作系统的漏洞。

  3. 对用户操作造成不便,如不明原因的死机和丢失文件等。

4.1.2 为什么会存在漏洞:

漏洞的产生大致有三个原因,具体如下所述:

  1. 编程人员的人为因素,在程序编写过程,为实现不可告人的目的,在程序代码的隐蔽处保留后门。

  2. 受编程人员的能力、经验和当时安全技术所限,在程序中难免会有不足之处,轻则影响程序效率,重则导致非授权用户的权限提升。

  3. 由于硬件原因,使编程人员无法弥补硬件的漏洞,从而使硬件的问题通过软件表现。

4.1.3 总结

当然,Windows漏洞层出不穷也有其客观原因,即任何事物都非十全十美,作为应用于桌面的操作系统——Windows也是如此,且由于其在桌面操作系统的垄断地位,使其存在的问题会很快暴露。此外和Linux等开放源码的操作系统相比,Windows属于暗箱操作,普通用户无法获取源代码,因此安全问题均由微软自身解决。

4.2. 实验收获与感想

通过本次实验让我在一个新的层次上理解了网络攻击的流程,在具体的实验操作中实现了简单的缓冲区溢出攻击,在感叹它的神奇之处的同时也增长了网络安全方面的知识,感觉收获颇丰。