20155308《网络攻防》 Exp1 PC平台逆向破解(5)M

逆向及Bof基础实践说明

1.1 实践目标

本次实践的对象是一个名为pwn1的linux可执行文件。
该程序正常执行流程是：main调用foo函数,foo函数会简单回显任何用户输入的字符串。
该程序同时包含另一个代码片段，getShell，会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。我们将学习两种方法运行这个代码片段，然后学习如何注入运行任何Shellcode。

三个实践内容

手工修改可执行文件，改变程序执行流程，直接跳转到getShell函数。
利用foo函数的Bof漏洞，构造一个攻击输入字符串，覆盖返回地址，触发getShell函数。
注入一个自己制作的shellcode并运行这段shellcode。

思路

运行原本不可访问的代码片段
强行修改程序执行流
以及注入运行任意代码。

1.2 基础知识

Linux基本操作

参考网页

https://www.cnblogs.com/crazylqy/p/5818745.html

http://blog.csdn.net/zl_best/article/details/53504712

Bof的原理

缓冲区溢出是一种非常普遍、非常危险的漏洞，在各种操作系统、应用软件中广泛存在。利用缓冲区溢出攻击，可以导致程序运行失败、系统宕机、重新启动等后果。更为严重的是，可以利用它执行非授权指令，甚至可以取得系统特权，进而进行各种非法操作。

攻击原理：

通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，造成程序崩溃或使程序转而执行其它指令，以达到攻击的目的。造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。例如下面程序：

void function(char *str) {

char buffer[16];

strcpy(buffer,str);

}

上面的strcpy()将直接把str中的内容copy到buffer中。这样只要str的长度大于16，就会造成buffer的溢出，使程序运行出错。存在象strcpy这样的问题的标准函数还有strcat()，sprintf()，vsprintf()，gets()，scanf()等。

当然，随便往缓冲区中填东西造成它溢出一般只会出现“分段错误”（Segmentation fault），而不能达到攻击的目的。最常见的手段是通过制造缓冲区溢出使程序运行一个用户shell，再通过shell执行其它命令。如果该程序有root或者suid执行权限的话，攻击者就获得了一个有root权限的shell，可以对系统进行任意操作了。

会使用gdb,vi

参考网页

http://blog.csdn.net/luoying198791/article/details/20715499

实践一：直接修改程序机器指令，改变程序执行流程

知识要求：Call指令，EIP寄存器,指令跳转的偏移计算，补码，反汇编指令objdump，十六进制编辑工具
学习目标：理解可执行文件与机器指令
进阶：掌握ELF文件格式，掌握动态技术

实验过程：

首先进行文件的拷贝，防止出现操作错误，使得源文件被改变。

2. 通过objdump -d pwn1_20155308命令对文件进行反汇编。

关注这几个部分

4. 通过命令vi pwn1_20155308编辑文件，通过命令:%! xxd把文件转为十六进制编辑模式

5. 通过命令/d7ff查找要修改的内容

main函数调用foo，对应机器指令为“ e8 d7ffffff”，

那我们想让它调用getShell，只要修改“d7ffffff”为，"getShell-80484ba"对应的补码就行。

用Windows计算器，直接 47d-4ba就能得到补码，是c3ffffff。

6. 输入i进入编辑模式，即把d7为c3

7. 输入命令:%! xxd -r将文件转回至二进制形式

8. 输入:wq保存并退出

9. 通过objdump -d pwn1_20155308命令对文件进行反汇编，观察到程序已从原来跳转至foo函数变为跳转至getshell函数

实验结果：

实践二；通过构造输入参数，造成BOF攻击，改变程序执行流

知识要求：堆栈结构，返回地址学习目标：理解攻击缓冲区的结果，掌握返回地址的获取进阶：掌握ELF文件格式，掌握动态技术

反汇编，了解程序的基本功能

objdump -d pwn1 | more

注意这个函数getShell，我们的目标是触发这个函数

该可执行文件正常运行是调用如下函数foo，这个函数有Buffer overflow漏洞

这里读入字符串，但系统只预留了__字节的缓冲区，超出部分会造成溢出，我们的目标是覆盖返回地址

上面的call调用foo,同时在堆栈上压上返回地址值:++80484ba++

现在我们需要确认输入的字符串哪几个字符会覆盖到返回地址

输入命令gdb pwn2_20155308进行调试

通过命令r进行运行，通过命令info r可查看各寄存器的值

如果输入字符串1111111122222222333333334444444412345678，那 1234 那四个数最终会覆盖到堆栈上的返回地址，进而CPU会尝试运行这个位置的代码。那只要把这四个字符替换为 getShell 的内存地址，输给pwn1，pwn1就会运行getShell。

确认用什么值来覆盖返回地址

getShell的内存地址，通过反汇编时可以看到，即0804847d。

接下来要确认下字节序，简单说是输入11111111222222223333333344444444\x08\x04\x84\x7d,还是输入11111111222222223333333344444444\x7d\x84\x04\x08。

对比之前 eip 0x34333231 0x34333231 ，正确应用输入 11111111222222223333333344444444\x7d\x84\x04\x08。

构造输入字符串

由为我们没法通过键盘输入\x7d\x84\x04\x08这样的16进制值，所以先生成包括这样字符串的一个文件。\x0a表示回车，如果没有的话，在程序运行时就需要手工按一下回车键。

实践三：注入Shellcode并执行

shellcode就是一段机器指令（code）

通常这段机器指令的目的是为获取一个交互式的shell（像linux的shell或类似windows下的cmd.exe），

所以这段机器指令被称为shellcode。

在实际的应用中，凡是用来注入的机器指令段都通称为shellcode，像添加一个用户、运行一条指令。

--

最基本的shellcode的编写可参考许同学的文章Shellcode入门，写得非常之清楚详实。以下实践即使用该文章中生成的shellcode。如下：

\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\

准备工作

◦输入命令execstack -s pwn1

设置堆栈可执行。但是系统提示“未找到命令”，则应输入命令apt-get install execstack进行安装。系统会提示产生一下错误，我上网寻找了答案，应该输入以下命令给它管理员权限。

之后根据命令输入。

构造要注入的payload

Linux下有两种基本构造攻击buf的方法：

retaddr+nop+shellcode
nop+shellcode+retaddr。

-因为retaddr在缓冲区的位置是固定的，shellcode要不在它前面，要不在它后面。

简单说缓冲区小就把shellcode放后边，缓冲区大就把shellcode放前边

-我们这个buf够放这个shellcode了。

结构为：nops+shellcode+retaddr。

nop一为是了填充，二是作为“着陆区/滑行区”。

我们猜的返回地址只要落在任何一个nop上，自然会滑到我们的shellcode。

root@KaliYL:~# perl -e 'print "\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x4\x3\x2\x1\x00"' > input_shellcode

接下来我们来确定\x4\x3\x2\x1到底该填什么。

我的这个部分在文档里突然出错，然后怎么解决都没有解决，所以我到桌面上继续进行这个方面的实践。

打开一个终端注入这段攻击buf：

(cat input_shellcode;cat) | ./pwn1_20155308

再开另外一个终端，用gdb来调试pwn1这个进程。

注意运行时的这个地址

计算出地址应为0xffffd300

再次攻击，成功了！！

感想

本次实验是关于PC平台逆向破解的实验，在课堂上老师已经对本次实验进行了讲解，并且我们在课堂上已经实现了一部分，所以感觉课下的工作并不是很难。

通过本次实验，我对于本课的知识有了一定的了解，并且觉得如果想要学好这门课，一定要做好课上认真听讲，课下进行实践。