20145214《网络攻防》逆向及Bof基础实践

20145214《网络攻防》逆向及Bof基础实践

实践说明

• 本次实践的对象是一个名为pwn1的linux可执行文件。
• 该程序正常执行流程是：main调用foo函数,foo函数会简单回显任何用户输入的字符串。
• 该程序同时包含另一个代码片段，getShell，会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。
• 方法一手工修改可执行文件，改变程序执行流程，直接跳转到getShell函数。
• 方法二利用foo函数的Bof漏洞，构造一个攻击输入字符串，覆盖返回地址，触发getShell函数。

基础知识

• NOP指令即“空指令”，在执行到NOP指令时，CPU什么也不做，仅仅当做一个指令执行过去并继续执行NOP后面的一条指令
• JNE是条件转移指令，如果不相等则跳转
• JE是条件转移指令，如果相等则跳转
• JMP是无条件转移指令，包含段内直接短转Jmp short、段内直接近转移Jmp near、段内间接转移Jmp word、段间直接转移Jmp far
• CMP是比较指令，功能相当于减法指令，只是对操作数之间运算比较，不保存结果。cmp指令执行后，将对标志寄存器产生影响。其他相关指令通过识别这些被影响的标志寄存器位来得知比较结果

直接修改程序机器指令，改变程序执行流程

• 将目标文件反汇编后，我们知道要让程序执行getShell，要通过将call指令的目标地址由d7ffffff变为c3ffffff

• vi进入文件可看到如下“乱码”
  

• 输入:%!xxd切换为16进制显示模式，找到需要修改的内容，进行修改如下
  

• 输入:%!xxd -r转换为原格式，输入:wq保存并退出

• 运行下改后的代码，会得到shell提示符
  

• 

• 之后可用exit退出

通过构造输入参数，造成BOF攻击，改变程序执行流

1、反汇编，了解程序的基本功能

• 用objdump -d 20145214pwn | more语句来实现反汇编，管道|的作用是将前半段的输出作为后半段的输入，从而输出出来。
• 通过反汇编，我们发现foo函数有Buffer overflow漏洞

2、确认输入字符串哪几个字符会覆盖到返回地址

• 构造数据填充缓冲区直到覆盖ebp和返回地址的数据。第一次构造时字符串长度不够，看图中ebp覆盖了两个字节的数据35（5的ascii码），eip没有变化
  

• 第二次构造数据时增加长度，使得eip值改变为：0x363636（6的ascii）码
  

• 输入数据111111222222333333444444555555123456确定返回地址被覆盖的位置
  

• 可以发现时“3456”覆盖了新的eip，所以我们要将getShell的内存地址替换这4个字符，以达到将程序定向到grtShell函数的目的

3、构造输入字符串

• getShell的内存地址，在未启用ALSR的主机上是固定不变的，通过反汇编时可以看到，即0804847d。确认需要输入的是11111122222233333344444455555512\x7d\x84\x04\x08
• 构造字符串，perl -e 'print "11111122222233333344444455555512\x7d\x84\x04\x08\x0a"' > input，使用输出重定向“>”将perl生成的字符串存储到文件input中，\x0a表示回车

• 可以使用16进制查看指令xxd查看input文件的内容是否如预期
  

• 将input的输入，通过管道符“|”，作为20145214pwn的输入。获取shell后输入ls指令结果如下