20192402白胤廷 实验一逆向破解与BOF 实验报告

一、实践目标

本次实践的对象是一个名为pwn1的linux可执行文件。
该程序正常执行流程是：main调用foo函数,foo函数会简单回显任何用户输入的字符串。
该程序同时包含另一个代码片段，getShell，会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。我们将学习两种方法运行这个代码片段，然后学习如何注入运行任何Shellcode。

1 三个实践内容

三个实践内容如下：
手工修改可执行文件，改变程序执行流程，直接跳转到getShell函数。
利用foo函数的Bof漏洞，构造一个攻击输入字符串，覆盖返回地址，触发getShell函数。
注入一个自己制作的shellcode并运行这段shellcode。
 
这几种思路，基本代表现实情况中的攻击目标:
运行原本不可访问的代码片段
强行修改程序执行流
以及注入运行任意代码。

二、基础知识：

1.通过结合计算机组成原理以及查阅相关资料，我们知道了NOP, JNE, JE, JMP, CMP等常用汇编指令的机器码：
NOP：一个空指令，什么都不做，让cpu等待一段时间，并且该指令会自动对齐寻址。机器码为0x90；
JNE：一个条件转移指令，当零标志z=0时跳转至标号，z=1时顺序执行下一条指令。机器码为0x75；
JE：一个条件转移指令，当零标志z=1时跳转至标号，z=0时顺序执行下一条指令。机器码为0x74；
JMP：无条件转移指令。段内直接近转移Jmp near，机器码为0xe9; 段内间接转移Jmp word,机器码为0xff；段内直接短转Jmp short,机器码为0xeb; 段间直接(远)转移Jmp far，机器码为0xea；
CMP：比较指令，执行减法操作但不保存运算结果。
 
2.掌握反汇编与十六进制编程器
通过查阅资料我们可以知道：
objdump反汇编命令：
objdump -f test     //显示test的文件头信息
objdump -d test    //反汇编test中的需要执行指令的那些section
objdump -D test    //与-d类似，但反汇编test中的所有section
objdump -h test    //显示test的Section Header信息
objdump -x test    //显示test的全部Header信息
objdump -s test    //除了显示test的全部Header信息，还显示他们对应的十六进制文件代码   
 
 
xxd命令：
用vi命令打开一个文件，在vi命令模式下输入
:%!xxd            //回车后，该文件会以十六进制形式显示
:%!xxd -r         //参数-r是指将当前的十六进制转换为二进制

三、实践内容

1.手工修改可执行文件，改变程序执行流程，直接跳转到getShell函数。

设置共享文件夹将pwn1文件导入主目录后并修改文件名为pwn20192402，输入：
objdump -d pwn20192402 | more
得到反汇编代码：

继续下拉，找到getshell、foo与main函数：

由主函数我们可以看出main函数调用foo，相应的机器指令为“e8 d7ffffff”,其中“e8”为跳转的意思。本来正常流程，此时此刻EIP的值应该是下条指令的地址，即80484ba，但如一解释e8这条指令呢，CPU就会转而执行“EIP + d7ffffff”这个位置的指令。“d7ffffff”是补码,表示-41，即为目标地址偏移量，41=0x29,80484ba+d7ffffff= 80484ba-0x29正好是8048491这个值，即为跳转的目标地址。那我们想让它调用getShell，只要修改“d7ffffff”为，"getShell-80484ba"对应的补码就行。用Windows计算器，直接47d-4ba就能得到补码，是c3ffffff。注意计算时是小端模式低字节优先。
 修改可执行文件，将call指令的目标地址由d7ffffff变为c3ffffff。
进入到文件的vi模式，输入：
Vim pwn20192402
按esc键退出，输入：
:%!xxd
以查看其十六进制
输入：
/e8 d7
找到目标代码 在000004b0

记录目标位置在000004b0这行，找到目标，将光标移至d，按r键后修改为c，同理修改7为3：

输入：
:%!xxd -r
转换16进制为原格式
输入：
：wq
存盘退出

对文件再次进行反汇编，找到主函数中之前调用foo的位置，发现call指令已经改为调用getshell了
 
运行后发现可以调用shell

2.利用foo函数的Bof漏洞，构造一个攻击输入字符串，覆盖返回地址，触发getShell函数

进行反汇编
 
我们可以利用foo函数中的Buffer overflow漏洞，造成缓冲区溢出，来覆盖返回地址为主函数中的80484ba，从而调用getshell函数。
 
 2.1确认输入字符串哪几个字符会覆盖到返回地址
输入：
gdb pwn20192402

再输入r指令执行程序，我们可以尝试着输入一段字符串1111111122222222333333334444444412345678共40个字符

再输入info r查看寄存器信息发现正是之前0x34333231，即为4321的ASCII码，根据老师上课所讲的知识可以知道Linux地址是由高到低的，说明覆盖成功，之后的操作将其修改为getshell地址就能返回运行到getshell了。
由于是第32为之后的覆盖成功，能由此可见缓存区32个字节。
 
2.2构造输入字符串
由于小端模式我们将地址倒过来输入即可：（原为0804847d改为7d840408）
11111111222222223333333344444444\x7d\x84\x04\x08
再之后加一个\x0a表示回车就构造完成了。
输入：
perl -e 'print "11111111222222223333333344444444\x7d\x84\x04\x08\x0a"' > input
 
将input的输入，通过管道符“|”，作为pwn20192402的输入，即可攻击成功
(cat input; cat) | ./pwn20192402

3.注入一个自己制作的shellcode并运行这段shellcode

3.1关闭地址随机化
3.2选择retaddr+nops+shellcode结构来攻击buf

 
 3.3打开终端查找进程号，并使用gdb调试进程

3.4进行攻击 
通过设置断点，来查看注入buf的内存地址
通过disassemble foo进行反汇编以设置断点
对esp语句进行查找
我们可以看到0xffffd30内容被覆盖为了1234，我们需要将之后的90909090覆盖，则往后移四位地址，则目标地址为：0xffffd310
最后只需要将之前的\x4\x3\x2\x1改为我们希望跳转的shellcode地址即可
攻击成功！
 

四、实验收获与感想

1.实验收获

这是我第一次进行网络对抗技术的实验，深感自己的基本功不够扎实，课后花了加倍的时间才把老师上课早已讲清楚的步骤和知识点弄懂。
在进行“注入一个自己制作的shellcode并运行这段shellcode”这项实验时，我因为弄不清楚原理照着实验指导照猫画虎导致了多次失败，幸亏在实践中搞明白了一开始的那一段攻击代码是中的起始的1234是存放覆盖ret地址的位置，在让我明白了第一次构造是尝试，第二次才是动真格的。
总之，此次实验不仅让我感受到Linux基本功还不够扎实，更表现了我动手能力的不足，希望在今后我能够收获知识与实践能力。

2.什么是漏洞？漏洞有什么危害？

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，也就是我们所说的“bug”。就像本次实验中利用foo函数的Bof漏洞，便是程序代码存在一定的漏洞。
这些漏洞大多都是无意中被创造的，由于设计时不够严谨导致一些问题，甚至有些漏洞被不怀好意之人所以利用，它在我们的日常生活中时常有体现：木马蠕虫在网络上大行其道，破坏人们的信息、财产安全，甚至给企业政府造成难以挽回的损失。