《网络对抗》——逆向及Bof基础实践

《网络对抗》——逆向及Bof基础实践

原理

  1. 利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数。
  2. 手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数。

基础知识

  1. objdump命令是Linux下的反汇编目标文件或者可执行文件的命令

  2. NOP指令执行后,不产生任何结果,可编程控制器中的用户程序全部清除后,用户程序存储器中的指令全部变成NOP指令。

  3. EBP是当前函数的存取指针,即存储或者读取数时的指针基地址;ESP就是当前函数的栈顶指针。每一次发生函数的调用(主函数调用子函数)时,在被调用函数初始时,都会把当前函数(主函数)的EBP压栈,以便从子函数返回到主函数时可以获取EBP。

  4. Push, Pop, call, leave 和 Ret 指令图解

  5. bp:基址寄存器(stack pointer),一般在函数中用来保存进入函数时的sp的栈顶基址,SP用以指示栈顶的偏移地址,而BP可 作为堆栈区中的一个基地址

  6. GDB调试汇编堆栈过程分析

  7. 将上一个函数的基址入栈,从当前%esp开始作为新基址
    push %ebp
    %esp,%ebp

  8. eip是存放当前代码段的偏移地址

实验过程

直接修改程序机器指令,改变程序执行流程

  • 反汇编
    《网络对抗》——逆向及Bof基础实践_第1张图片
    《网络对抗》——逆向及Bof基础实践_第2张图片

  • "call 8048491 "是汇编指令,是说这条指令将调用位于地址8048491处的foo函数;其对应机器指令为“e8 d7ffffff”,e8即跳转之意。本来正常流程,此时此刻EIP的值应该是下条指令的地址,即80484ba,但一解释e8这条指令呢,CPU就会转而执行 “EIP + d7ffffff”这个位置的指令。“d7ffffff”是补码,表示-41,41=0x29,80484ba +d7ffffff= 80484ba-0x29正好是8048491这个值,

  • main函数调用foo,对应机器指令为“ e8 d7ffffff”,那我们想让它调用getShell,只要修改“d7ffffff”为,"getShell-80484ba"对应的补码就行。用Windows计算器,直接 47d-4ba就能得到补码,是c3ffffff。

  • 修改可执行文件,将其中的call指令的目标地址由d7ffffff变为c3ffffff。
    《网络对抗》——逆向及Bof基础实践_第3张图片
    《网络对抗》——逆向及Bof基础实践_第4张图片

  • 再反汇编看一下,call指令是否正确调用getShell

《网络对抗》——逆向及Bof基础实践_第5张图片

root@KaliYL:~# objdump -d pwn2 | more

080484af 
: 80484af: 55 push %ebp 80484b0: 89 e5 mov %esp,%ebp 80484b2: 83 e4 f0 and $0xfffffff0,%esp 80484b5: e8 c3 ff ff ff call 804847d 80484ba: b8 00 00 00 00 mov $0x0,%eax
  • 运行下改后的代码,会得到shell提示符#
    root@KaliYL:~# ./pwn2
    ls
    《网络对抗》——逆向及Bof基础实践_第6张图片

通过构造输入参数,造成BOF攻击,改变程序执行流

  1. 反汇编,了解程序的基本功能
    《网络对抗》——逆向及Bof基础实践_第7张图片

  2. 确认输入字符串哪几个字符会覆盖到返回地址
    《网络对抗》——逆向及Bof基础实践_第8张图片

  3. 构造输入字符串
    《网络对抗》——逆向及Bof基础实践_第9张图片

  4. 然后将input的输入,通过管道符“|”,作为pwn1的输入。

你可能感兴趣的:(《网络对抗》——逆向及Bof基础实践)