PC平台逆向破解实验报告

20191306张宇鹏

逆向及Bof基础实践说明

实践目标

本次实践的对象是一个名为pwn1的linux可执行文件。

该程序正常执行流程是：main调用foo函数,foo函数会简单回显任何用户输入的字符串。

该程序同时包含另一个代码片段，getShell，会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。我们将学习两种方法运行这个代码片段，然后学习如何注入运行任何Shellcode。

三个实践内容如下：
- 手工修改可执行文件，改变程序执行流程，直接跳转到getShell函数。
- 利用foo函数的Bof漏洞，构造一个攻击输入字符串，覆盖返回地址，触发getShell函数。
- 注入一个自己制作的shellcode并运行这段shellcode。
这几种思路，基本代表现实情况中的攻击目标:
- 运行原本不可访问的代码片段
- 强行修改程序执行流
- 以及注入运行任意代码。

1.直接修改程序机器指令，改变程序执行流程

知识要求：Call指令，EIP寄存器,指令跳转的偏移计算，补码，反汇编指令objdump，十六进制编辑工具
学习目标：理解可执行文件与机器指令
进阶：掌握ELF文件格式，掌握动态技术

下载目标文件pwn1,反汇编。

由图可知call指令调用foo函数，此时eip的值为80484ba，若想让call指令改为调用getShell函数，只需计算getShell-80484ba对应的补码再进行替换。计算结果为c3ffffff。

接下来修改可执行文件

在16进制下将d7更改为c3

更改后再次反汇编查看

发现call指令改为调用getShell函数了

运行20191306pwn1，实验成功。

2.通过构造输入参数，造成BOF攻击，改变程序执行流

确认输入字符串哪几个字符会覆盖到返回地址

通过eip的值发现5678这四个数最终会覆盖到堆栈上的返回地址，只需把这四个字符替换为 getShell 的内存地址即可。

构造输入字符串

通过之前的反汇编可知替换为\x7d\x84\x04\x08即可修改返回地址，调用getShell函数。由于我们没法通过键盘输入\x7d\x84\x04\x08这样的16进制值，所以先生成包括这样字符串的一个文件。\x0a表示回车，如果没有的话，在程序运行时就需要手工按一下回车键。

用16进制查看指令xxd查看input文件的内容是否如预期。

然后将input的输入，通过管道符“|”，作为20191306pwn2的输入。

3.注入Shellcode并执行

准备工作

设置堆栈可执行

关闭地址随机化

echo "0" > /proc/sys/kernel/randomize_va_space

这条命令输入后提示权限不够，加入sudo也不能运行，在网上查到了sudo bash -c "echo 0 > /proc/sys/kernel/randomize_va_space"命令，成功运行。

构造要注入的payload

打开一个终端注入攻击buf

再开另外一个终端，用gdb来调试20191306pwn4这个进程。

找到01020304和90909090了，修改shellcode为"\x40\xd1\xff\xff\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x20\xd1\xff\xff\x00"'