20145210姚思羽《网络对抗技术》逆向及Bof基础实践

时间:2021-09-05 16:04:36

20145210姚思羽《网络对抗技术》逆向及Bof基础实践

实践目标

1.本次实践的对象是一个名为pwn1的linux可执行文件。

2.该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。

3.该程序同时包含另一个代码片段,getShell,会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。

4.我们将学习两种方法

(1)利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数。

(2)手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数。

5.现实情况中的攻击目标

(1)运行原本不可访问的代码片段

(2)强行修改程序执行流

(3)以及注入运行任意代码

基础知识

掌握NOP, JNE, JE, JMP, CMP汇编指令的机器码:

(1)NOP:NOP指令为空指令,运行时CPU什么都不做,但是会占用一个指令的时间,通常用于延时或等待

(2)JNE:条件转移指令,当不相等时跳转,机器码为75

(3)JE:条件跳转指令,当相等时跳转,机器码为74

(4)JMP:无条件跳转指令

(5)CMP:比较指令,比较两个操作数的大小,用第一个操作数减去第二个操作数,但是不影响两个操作数的值,但会影响标志寄存器

直接修改程序机器指令,改变程序执行流程

知识点要求:

(1)call指令,EIP寄存器,指令跳转的偏移计算:EIP(new)=EIP+x(在本次试验中,要让程序执行getShell函数,通过计算0804847d-80484ba结果的补码为c3ffffff,将call指令的目标地址由d7ffffff变为c3ffffff即可)

(2)反汇编指令objdump

(3)将文件转为十六进制的指令:%!xxd

(4)补码:d7ffffff是-41的补码表示

1.进入文件得到乱码,输入指令:%!xxd得到十六进制表示模式,在文件中找到e8d7,并进行修改:

20145210姚思羽《网络对抗技术》逆向及Bof基础实践

2.转换为原格式,保存退出

3.反汇编查看call已调用getShall:

20145210姚思羽《网络对抗技术》逆向及Bof基础实践

4.运行修改后的代码,得到shell提示符#:

20145210姚思羽《网络对抗技术》逆向及Bof基础实践

通过构造输入参数,造成BOF攻击,改变程序执行流

·分析反汇编代码发现该文件正常会调用foo函数,但该函数有这个函数有Buffer overflow漏洞,只预留了一定字节的缓冲区,超出部分会造成溢出,getShell函数可实现shell,我们的目标是触发geyShell函数

1.使用gdb调试,输入1111111122222222333333334444444455555555

20145210姚思羽《网络对抗技术》逆向及Bof基础实践

2.观察到寄存器eip的值为0x35353535,即5555,可以看出下一步要执行指令的地址为5555,即5555将本来要返回的foo函数的地址覆盖掉了

20145210姚思羽《网络对抗技术》逆向及Bof基础实践

3.将55555555换成12345678,查看具体是哪个字符将foo函数的地址覆盖了

20145210姚思羽《网络对抗技术》逆向及Bof基础实践

4.寄存器eip的值变为0x34333231,即1234,可以看出是1234覆盖了其新的eip,所以我们可用getshell的内存地址替换这4个字符即可触发getShell函数。

5.getShell的内存地址是0804847d,替换后即11111111222222223333333344444444\x7d\x84\x04\x08

6.我们无法通过键盘输入\x7d\x84\x04\x08这样的16进制值,所以先生成包括这样字符串的一个文件:

perl -e 'print "11111111222222223333333344444444\x7d\x84\x04\x08\x0a"' > input

再使用16进制查看指令xxd查看input文件的内容:

20145210姚思羽《网络对抗技术》逆向及Bof基础实践

7.将input的输入,通过管道符“|”,作为pwn1的输入来跳转至getShell:

20145210姚思羽《网络对抗技术》逆向及Bof基础实践