20145218PC平台逆向破解

20145218PC平台逆向破解

实践目标

本次实践的对象是一个名为pwn1的linux可执行文件。

• 该程序正常执行流程是：main调用foo函数,foo函数会简单回显任何用户输入的字符串。
• 该程序同时包含另一个代码片段，getShell，会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。

我们将学习两种方法

1. 利用foo函数的Bof漏洞，构造一个攻击输入字符串，覆盖返回地址，触发getShell函数。
2. 手工修改可执行文件，改变程序执行流程，直接跳转到getShell函数。

这几种思路，基本代表现实情况中的攻击目标

1. 运行原本不可访问的代码片段
2. 强行修改程序执行流
3. 注入运行任意代码。

实践要求

1. 掌握NOP, JNE, JE, JMP, CMP汇编指令的机器码（1分）
2. 掌握反汇编与十六进制编程器 (1分)
3. 能正确修改机器指令改变程序执行流程（1分）
4. 能正确构造payload进行bof攻击（2分）
5. Optional:进阶，shellcode编程与注入

基础知识

汇编指令

• NOP：NOP指令即“空指令”，在x86的CPU中机器码为0x90(144)。执行到NOP指令时，CPU什么也不做，仅仅当做一个指令执行过去并继续执行NOP后面的一条指令。可以用于破解程序的call验证。
• JNE：条件转移指令，如果不相等则跳转，机器码75。
• JE：条件转移指令，如果相等则跳转，机器码74。
• JMP：无条件转移指令。段内直接短转Jmp short（机器码：EB）段内直接近转移Jmp near（机器码：E9）段内间接转移Jmp word（机器码：FF）段间直接(远)转移Jmp far（机器码：EA）
• CMP：比较指令，功能相当于减法指令，只是对操作数之间运算比较，不保存结果。cmp指令执行后，将对标志寄存器产生影响。其他相关指令通过识别这些被影响的标志寄存器位来得知比较结果。
• CALL：将下一条指令的所在地址入栈，并将子程序的起始地址送入PC（于是CPU的下一条指令就会转去执行子程序）。

Linux指令

• objdump -d test：反汇编test
• info r：查看寄存器
• %!xxd：查看二进制文件

反汇编了解程序基本功能

• 输入指令objdump -d 20145218 | more

• 找到该程序的关键函数，如下图所示：
  

• foo函数功能：将用户输入的字符再次在屏幕上显示出来。
• getshell函数功能：打开一个可用Shell。

• main函数中调用了foo函数。

第一种方法——直接修改机器指令

• 我们如果想要用到shell功能，就要使main函数不调用foo函数，而是调用getshell函数，这一点我们可以通过直接修改机器指令做到。
• 找到与调用foo函数有关的机器指令，由图可得，call 8048491是汇编指令，即，将调用位于地址8048491处的foo函数；对应机器指令为e8 d7ffffff，所以我们要将机器指令中foo函数的物理地址改为getshell函数的。
• 由汇编指令及其对应的机器指令，我们可得：0xd7ffffff+0x80484ba = 0x8048491
  即：call机器码 = 跳转地址 - call指令的下一个eip 所以可以算出调用getshell函数的机器码为e8 c3ffffff，所以我们只要将d7修改为c3即可。

具体步骤

• 我们可以先运行一下原文件，看一下foo函数功能，如下图所示：
  

• 然后输入vi 20145218，查看可执行文件20145218

• 进入后发现是乱码，输入%！ xxd查看十六进制表示：
  

• 输入/e8 d7查找需要改动的地方，按i进入文本编辑模式，改为e8 c3：
  

• 输入%! xxd -r，退出16进制模式（若不退回到乱码模式，运行文件会报错）
• 输入:wq!，保存并退出。
• 这时我们再运行文件，结果如下图所示：
  

第二种方法——通过构造输入参数造成bof攻击改编程序执行流

• 通过观察foo函数的汇编代码，我们可以发现其存在BOF漏洞，但并不知道需要输入多少字符才会造成BOF，所以我们一个字节一个字节的输入，不断尝试，观察程序什么时候崩溃，即出现Segmentation fault字样。
  

• 使用gdb调试，看什么时候可以覆盖寄存器%eip的值，且要让程序调用完foo函数后再调用getshell函数。（%eip寄存器就是保存下一条指令的内存地址）
• gdb 20145218，进入gdb调试

• info r，查看溢出时寄存器状态如下，尤其观察%eip的值：
  

• 再次调试查看是哪个字符被覆盖到了eip中：
  

• 我们可以发现，“1234”覆盖了其新的eip，所以我们只需要将getshell的内存地址替换这4个字符，getShell的内存地址是0804847d，替换后即，简单说是输入11111111222222223333333344444444\x7d\x84\x04\x08（低字节在高位）
• 因为无法通过键盘输入\x7d\x84\x04\x08这样的16进制值，所以先生成包括这样字符串的一个文件，perl -e 'print "12345678123456781234567812345678\x7d\x84\x04\x08\x0a"' > input（\0a代表回车键）

• (cat input; cat) | ./20145218，将input文件作为输入：