20155330 《网络攻防》Exp1 PC平台逆向破解(5)M

20155330 《网络攻防》Exp1 PC平台逆向破解(5)M

实践目标

运行pwn1可执行文件中的getshell函数,学习如何注入运行任何Shellcode
本次实践的对象是一个名为pwn1的linux可执行文件。

实践内容

  • 手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数。
  • 利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数。
  • 注入一个自己制作的shellcode并运行这段shellcode。

基本思路

  • 运行原本不可访问的代码片段
  • 强行修改程序执行流
  • 以及注入运行任意代码。

相关知识

  • 熟悉Linux基本操作
    • 能看懂常用指令,如管道(|),输入、输出重定向(>)等。
  • 理解Bof的原理。
    • 能看得懂汇编、机器指令、EIP、指令地址。
  • 会使用gdb,vi。
  • 指令
    • NOP:通过nop指令的填充(nop指令一个字节),使指令按字对齐,从而减少取指令时的内存访问次数。(机器码:90)
    • JNE:条件转移指令,如果不相等则跳转。(机器码:75)
    • JE:条件转移指令,如果相等则跳转。(机器码:74)
    • JMP:无条件转移指令。
      • 段内直接短转Jmp short(机器码:EB)
      • 段内直接近转移Jmp near(机器码:E9)
      • 段内间接转移Jmp word(机器码:FF)
      • 段间直接(远)转移Jmp far(机器码:EA)
    • CMP:比较指令,相当于减法指令,只是不保存结果。执行后,对标志寄存器产生影响。其他相关指令通过识别这些被影响的标志寄存器位来得知比较结果。
      • 机器码

        机器码 指令功能
        38 CMP reg8/mem8,reg8
        39 CMP reg16/mem16,reg16
        3A CMP reg8,reg8/mem8
        3B CMP reg16,reg16/mem16
        3C CMP al,immed8
        3D CMP ax,immed16

一、直接修改程序机器指令,改变程序执行流程

  • 首先对pwn1文件进行反汇编

  • 查看main函数调用foo的地址值,foo函数的第一条指令的地址值,和需要修改的getShell函数第一条指令的地址值。由下图可知,main函数调用foo对应机器指令为e8 d7ffffff,由于要将调用的函数更改为getShell,则需修改d7 ff ff ffgetShell-80484ba对应的补码,通过计算47d-4ba得到补码,main函数调用getShell对应机器指令为c3 ff ff ff

  • 使用VIM编辑器对pwn1文件进行编辑。文件显示为乱码,用%!xxd命令将显示模式切换为16进制模式

  • 输入/e8 d7查找要修改的内容,修改d7c3,用命令%!xxd -r将16进制转换为原格式,wq存盘退出。

  • 再次将文件反汇编,可以看到地址80484b5的机器指令d7变更为c3,main函数调用getShell

  • 运行文件。(在实践过程中重新备份了pwn1文件为pwn2,以上步骤为备份前截图,备份后将pwn1文件修改为原文件。)

二、通过构造输入参数,造成BOF攻击,改变程序执行流

  • 目标:触发getShell函数

  • pwn1可执行文件正常运行是调用如下函数foo,这个函数有Buffer overflow漏洞

  • 读入字符串,但系统只预留了__字节的缓冲区,超出部分会造成溢出,我们的目标是覆盖返回地址

  • main函数中call调用foo,同时在堆栈上压上返回地址值:80484ba

  • 确认输入字符串哪几个字符会覆盖到返回地址

    • gdb pwn3_155330调试可执行文件,r运行,info r查看寄存器eip(即将执行的指令地址)的值

    • 再次运行,将后八位值更改后发现eip值改变。1234 四个数最终会覆盖到堆栈上的返回地址,进而CPU会尝试运行这个位置的代码。将这四个字符替换为 getShell 的内存地址,输给pwn,pwn1就会运行getShell。

  • 确认用什么值来覆盖返回地址

    • 通过反汇编时可以看到getShell的内存地址为0804847d。接下来要确认下字节序,简单说是输入\x08\x04\x84\x7d,还是输入\x7d\x84\x04\x08。对比之前的eip,该终端采用小端方式,正确应用输入\x7d\x84\x04\x08
    • 由为我们没法通过键盘输入\x7d\x84\x04\x08这样的16进制值,所以先生成包括这样字符串的一个文件。\x0a表示回车,如果没有的话,在程序运行时就需要手工按一下回车键。
    • 用perl命令生成字符串并重定向>input文件中。
    • 使用16进制查看指令xxd查看input文件的内容
    • 将input的输入,通过管道符“|”,作为pwn1的输入。

三、注入Shellcode并执行

  • 准备一段Shellcode

    • shellcode就是一段机器指令(code)
    • 通常这段机器指令的目的是为获取一个交互式的shell(像linux的shell或类似windows下的cmd.exe),所以这段机器指令被称为shellcode。
    • 在实际的应用中,凡是用来注入的机器指令段都通称为shellcode,像添加一个用户、运行一条指令。
  • execstack -s pwn1设置堆栈可执行。

  • apt-get install execstack获取安装。

  • execstack -q pwn1查询文件的堆栈是否可执行。并依次执行以下命令。

more /proc/sys/kernel/randomize_va_space 
echo "0" > /proc/sys/kernel/randomize_va_space
more /proc/sys/kernel/randomize_va_space 

  • 构造要注入的payload。

  • Linux下有两种基本构造攻击buf的方法:

    • retaddr+nop+shellcode
    • nop+shellcode+retaddr。
  • 因为retaddr在缓冲区的位置是固定的,shellcode要不在它前面(缓冲区大),要不在它后面(缓冲区小)。

  • 结构为:nops+shellcode+retaddr。

    • nop一为是了填充,二是作为“着陆区/滑行区”。
    • 猜测的返回地址只要落在任何一个nop上,就能滑到shellcode。
  • 输入perl -e 'print "\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x4\x3\x2\x1\x00"' > input_shellcode,最后的\x4\x3\x2\x1将覆盖到堆栈上的返回地址的位置。把\x4\x3\x2\x1改为这段shellcode的地址。

  • 打开一个终端注入这段攻击buf(cat input_shellcode;cat) | ./pwn4_155330

  • 再开另外一个终端,用gdb来调试进程。

  • ps -ef | grep pwn4_155330查看进程号。grep pwn4_155330的进程号是2481

  • gdb调试这个进程,查看注入buf的内存地址

  • 设置断点

  • 继续运行

  • 查看esp寄存器值,

  • 计算出地址值为d300,修改地址重定向到input_shellcode文件



posted @ 2018-03-18 22:53  20155330  阅读(270)  评论(0编辑  收藏  举报