20155330 《网络攻防》Exp1 PC平台逆向破解(5)M

20155330 《网络攻防》Exp1 PC平台逆向破解(5)M

实践目标

运行pwn1可执行文件中的getshell函数，学习如何注入运行任何Shellcode

本次实践的对象是一个名为pwn1的linux可执行文件。

实践内容

• 手工修改可执行文件，改变程序执行流程，直接跳转到getShell函数。
• 利用foo函数的Bof漏洞，构造一个攻击输入字符串，覆盖返回地址，触发getShell函数。
• 注入一个自己制作的shellcode并运行这段shellcode。

基本思路

• 运行原本不可访问的代码片段
• 强行修改程序执行流
• 以及注入运行任意代码。

相关知识

• 熟悉Linux基本操作
  • 能看懂常用指令,如管道（|），输入、输出重定向（>）等。
• 理解Bof的原理。
  • 能看得懂汇编、机器指令、EIP、指令地址。
• 会使用gdb,vi。
• 指令
  • NOP：通过nop指令的填充（nop指令一个字节），使指令按字对齐，从而减少取指令时的内存访问次数。（机器码：90）
  • JNE：条件转移指令，如果不相等则跳转。（机器码：75）
  • JE：条件转移指令，如果相等则跳转。（机器码：74）
  • JMP：无条件转移指令。
    • 段内直接短转Jmp short（机器码：EB）
    • 段内直接近转移Jmp near（机器码：E9）
    • 段内间接转移Jmp word（机器码：FF）
    • 段间直接(远)转移Jmp far（机器码：EA）
  • CMP：比较指令，相当于减法指令,只是不保存结果。执行后，对标志寄存器产生影响。其他相关指令通过识别这些被影响的标志寄存器位来得知比较结果。

    • 机器码

      |机器码|指令功能|
      
      |--|--|
      
      |38|CMP reg8/mem8,reg8|
      
      |39| CMP reg16/mem16,reg16|
      
      |3A| CMP reg8,reg8/mem8|
      
      |3B| CMP reg16,reg16/mem16|
      
      |3C |CMP al,immed8|
      
      |3D |CMP ax,immed16|

一、直接修改程序机器指令，改变程序执行流程

• 首先对pwn1文件进行反汇编

  

• 查看main函数调用foo的地址值，foo函数的第一条指令的地址值，和需要修改的getShell函数第一条指令的地址值。由下图可知，main函数调用foo对应机器指令为e8 d7ffffff，由于要将调用的函数更改为getShell，则需修改d7 ff ff ff为getShell-80484ba对应的补码，通过计算47d-4ba得到补码，main函数调用getShell对应机器指令为c3 ff ff ff。
  
  

• 使用VIM编辑器对pwn1文件进行编辑。文件显示为乱码，用%!xxd命令将显示模式切换为16进制模式
  
  

• 输入/e8 d7查找要修改的内容,修改d7为c3,用命令%!xxd -r将16进制转换为原格式，wq存盘退出。
  
  

• 再次将文件反汇编，可以看到地址80484b5的机器指令d7变更为c3，main函数调用getShell
  
  

• 运行文件。（在实践过程中重新备份了pwn1文件为pwn2，以上步骤为备份前截图，备份后将pwn1文件修改为原文件。）

  

二、通过构造输入参数，造成BOF攻击，改变程序执行流

• 目标:触发getShell函数

  

• pwn1可执行文件正常运行是调用如下函数foo，这个函数有Buffer overflow漏洞

  

• 读入字符串，但系统只预留了__字节的缓冲区，超出部分会造成溢出，我们的目标是覆盖返回地址

  

• main函数中call调用foo,同时在堆栈上压上返回地址值:80484ba

  

• 确认输入字符串哪几个字符会覆盖到返回地址

  • gdb pwn3_155330调试可执行文件，r运行，info r查看寄存器eip（即将执行的指令地址）的值

    

  • 再次运行，将后八位值更改后发现eip值改变。1234 四个数最终会覆盖到堆栈上的返回地址，进而CPU会尝试运行这个位置的代码。将这四个字符替换为 getShell 的内存地址，输给pwn，pwn1就会运行getShell。

    

• 确认用什么值来覆盖返回地址

  • 通过反汇编时可以看到getShell的内存地址为0804847d。接下来要确认下字节序，简单说是输入\x08\x04\x84\x7d,还是输入\x7d\x84\x04\x08。对比之前的eip，该终端采用小端方式，正确应用输入\x7d\x84\x04\x08。
  • 由为我们没法通过键盘输入\x7d\x84\x04\x08这样的16进制值，所以先生成包括这样字符串的一个文件。\x0a表示回车，如果没有的话，在程序运行时就需要手工按一下回车键。
  • 用perl命令生成字符串并重定向>到input文件中。
    
    
  • 使用16进制查看指令xxd查看input文件的内容
    
    
  • 将input的输入，通过管道符“|”，作为pwn1的输入。
    
    
    
    

三、注入Shellcode并执行

• 准备一段Shellcode

  • shellcode就是一段机器指令（code）
  • 通常这段机器指令的目的是为获取一个交互式的shell（像linux的shell或类似windows下的cmd.exe），所以这段机器指令被称为shellcode。
  • 在实际的应用中，凡是用来注入的机器指令段都通称为shellcode，像添加一个用户、运行一条指令。

• execstack -s pwn1设置堆栈可执行。

  

• apt-get install execstack获取安装。

  

• execstack -q pwn1查询文件的堆栈是否可执行。并依次执行以下命令。

more /proc/sys/kernel/randomize_va_space
echo "0" > /proc/sys/kernel/randomize_va_space
more /proc/sys/kernel/randomize_va_space

• 构造要注入的payload。

• Linux下有两种基本构造攻击buf的方法：

  • retaddr+nop+shellcode
  • nop+shellcode+retaddr。

• 因为retaddr在缓冲区的位置是固定的，shellcode要不在它前面（缓冲区大），要不在它后面（缓冲区小）。

• 结构为：nops+shellcode+retaddr。

  • nop一为是了填充，二是作为“着陆区/滑行区”。
  • 猜测的返回地址只要落在任何一个nop上，就能滑到shellcode。

• 输入perl -e 'print "\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x4\x3\x2\x1\x00"' > input_shellcode，最后的\x4\x3\x2\x1将覆盖到堆栈上的返回地址的位置。把\x4\x3\x2\x1改为这段shellcode的地址。
  
  

• 打开一个终端注入这段攻击buf(cat input_shellcode;cat) | ./pwn4_155330
  
  

• 再开另外一个终端，用gdb来调试进程。

• ps -ef | grep pwn4_155330查看进程号。grep pwn4_155330的进程号是2481
  
  

• gdb调试这个进程，查看注入buf的内存地址
  
  

• 设置断点

  

• 继续运行

  

• 查看esp寄存器值，

  

• 计算出地址值为d300，修改地址重定向到input_shellcode文件