20145240《网络对抗》逆向及Bof基础实践

逆向及Bof基础实践

1.1 实践目标

本次实践的对象是一个名为pwn1的linux可执行文件。

  • 该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。

  • 该程序同时包含另一个代码片段,getShell,会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。

我们将学习两种方法

  • 利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数。

  • 手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数。

这几种思路,基本代表现实情况中的攻击目标

  • (1)运行原本不可访问的代码片段

  • (2)强行修改程序执行流

  • (3)以及注入运行任意代码

1.2 基础知识

该实践需要同学们熟悉Linux基本操作,能看懂常用指令,如管道(|),输入、输出重定向(>)等。

  • 管道是Linux中很重要的一种通信方式,是把一个程序的输出直接连接到另一个程序的输入,数据只能由一个进程流向另一个进程(其中一个读管道,一个写管道);如果要进行双工通信,需要建立两个管道;管道只能用于父子进程或者兄弟进程间通信。

  • Linux重定向操作符 功能描述

  >将命令输出写入文件或设备,而不是命令提示符或句柄

  < 从文件而不是从键盘或句柄读入命令输入

  >> 将命令输出添加到文件末尾而不删除文件中已有的信息

  >& 将一个句柄的输出写入到另一个句柄的输入中

  <& 从一个句柄读取输入并将其写入到另一个句柄输出中

  | 从一个命令中读取输出并将其写入另一个命令的输入中;也称为管道操作符

能看得懂汇编、机器指令、EIP、指令地址。

汇编指令

MOV传送字或字节.

MOVSX先符号扩展,再传送.

MOVZX先零扩展,再传送.

PUSH把字压入堆栈.

POP把字弹出堆栈.

PUSHA把AX,CX,DX,BX,SP,BP,SI,DI依次压入堆栈.

POPA把DI,SI,BP,SP,BX,DX,CX,AX依次弹出堆栈.

机器指令

  • 是CPU能直接识别并执行的指令,它的表现形式是二进制编码。机器指令通常由操作码和操作数两部分组成,操作码指出该指令所要完成的操作,即指令的功能,操作数指出参与运算的对象,以及运算结果所存放的位置等。

寄存器

  • EIP寄存器里存储的是CPU下次要执行的指令的地址。

  • EBP寄存器里存储的是是栈的栈底指针,通常叫栈基址。

  • ESP寄存器里存储的是在调用函数fun()之后,栈的栈顶。

实验中用到的linux指令

  • cp:复制

  • objdump -d test:反汇编test

  • info r:查看寄存器

  • %!xxd:查看二进制文件

会使用gdb,vi。

1.3实践

备份

功能

  • foo函数功能如下

方法一:直接修改程序机器指令,改变程序执行流程

修改可执行文件,将其中的call指令的目标地址由d7ffffff变为c3ffffff

  • vi进入文件看到的则是乱码,如图

20145240《网络对抗》逆向及Bof基础实践_第1张图片

  • 输入:%!xxd将显示模式切换为16进制模式,如图

20145240《网络对抗》逆向及Bof基础实践_第2张图片

  • 输入/e8 d7查找需要改动的地方,按i进入文本编辑模式,改为e8 c3

20145240《网络对抗》逆向及Bof基础实践_第3张图片

  • 存盘退出vi,:wq再运行结果如图

20145240《网络对抗》逆向及Bof基础实践_第4张图片

方法二:通过构造输入参数,造成BOF攻击,改变程序执行流

反汇编,了解程序的基本功能

  • 通过观察foo函数的汇编代码,我们可以发现其存在Buffer overflow漏洞,

确认输入字符串哪几个字符会覆盖到返回地址

20145240《网络对抗》逆向及Bof基础实践_第5张图片

进入gdb调试

20145240《网络对抗》逆向及Bof基础实践_第6张图片

  • 观看eip的值,是ASCII 1234,也就是说我们输入的1234覆盖了它的地址,所以我们只需要将getshell的内存地址替换这4个字符,就可以达到程序向getshell函数转移的目的。

确认用什么值来覆盖返回地址

  • getShell的内存地址,在未启用ALSR的主机上是固定不变的,通过反汇编时可以看到,即0804847d。

  • 接下来要构造字符串的一个文件,perl -e 'print "12345678123456781234567812345678\x7d\x84\x04\x08\x0a"' > input(\0a代表回车键)

  • (cat input; cat) | ./20145218,将input文件作为输入:

你可能感兴趣的:(20145240《网络对抗》逆向及Bof基础实践)