20145229吴姗珊逆向BOF实践

实践

实践目标

  • 本次实践的对象是一个名为pwn1的linux可执行文件
  • 该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。
  • 该程序同时包含另一个代码片段,getShell,会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。
  • 我们将学习两种方法:
    1. 利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数。
    2. 手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数。

实践步骤

  • 安装虚拟机、靶机及Kali,安装成功如下图
    20145229吴姗珊逆向BOF实践-LMLPHP
    20145229吴姗珊逆向BOF实践-LMLPHP

  • 建立姓名学号文件夹,放入pwn1
    20145229吴姗珊逆向BOF实践-LMLPHP

  • 直接运行pwn1,知道其作用为回显刚刚输入的字符
    20145229吴姗珊逆向BOF实践-LMLPHP

  • 当输入的字符过长会导致缓冲区溢出
    20145229吴姗珊逆向BOF实践-LMLPHP

  • 指令objdump反汇编pwn1,more管道按页显示,命令 objdump -d pwn1 | more
    20145229吴姗珊逆向BOF实践-LMLPHP

  • 分析代码并修改指令改变其功能
    main函数反汇编的第4行,"call 8048491 "是汇编指令,是说这条指令将调用位于地址8048491处的foo函数;其对应机器指令为"e8 d7ffffff",e8即跳转之意。本来正常流程,此时此刻EIP的值应该是下条指令的地址,即80484ba,但一解释e8这条指令呢,CPU就会转而执行 "EIP + d7ffffff"这个位置的指令。"d7ffffff"是补码,表示-41,41=0x29,80484ba +d7ffffff= 80484ba-0x29正好是8048491这个值(foo函数调用入口),main函数调用foo,对应机器指令为" e8 d7ffffff",那我们想让它调用getShell,只要修改"d7ffffff"为,"getShell-80484ba"对应的补码就行。用Windows计算器,直接 47d-4ba就能得到补码,是c3ffffff。
    20145229吴姗珊逆向BOF实践-LMLPHP

之后汇编码将由e8d7ffffff变为e8c3ffffff
20145229吴姗珊逆向BOF实践-LMLPHP

  • 下载图形化的16进制编辑器
    指令:apt-get install wxhexeditor
    wxHexEditor
    20145229吴姗珊逆向BOF实践-LMLPHP

  • 通过构造输入参数,造成BOF攻击,分析各函数功能
    20145229吴姗珊逆向BOF实践-LMLPHP

main:函数的第四行call 8048491意思为跳转到foo函数
20145229吴姗珊逆向BOF实践-LMLPHP

getshell:我们的目标是触发函数getShell,这个恶意代码可以实现shell
foo:可执行文件正常运行是调用如下函数foo,这个函数有Buffer overflow漏洞

  • 缓冲区溢出跳转getshell
    1.首先尝试用gdb调试
    20145229吴姗珊逆向BOF实践-LMLPHP

2.输入1111111122222222333333334444444455555555,观察寄存器数值
20145229吴姗珊逆向BOF实践-LMLPHP

3.发现eip为0x35353535,查ASCLL表发现是5555。eip寄存器的功能就是保存程序下一步要执行指令的地址,可以看出本来应返回到foo函数的返回地址已被"5555"覆盖
20145229吴姗珊逆向BOF实践-LMLPHP

4.通过将55555555换成12345678,再观察eip值找出谁被覆盖,通过查表可知为1234

5.确认getshell地址的字节序列0804847d如何组合

  • 通过设置断点查看0804847d的顺序,在0804049d处设置断点,通过查看之后的eip值,eip值不变,对比之前 eip 0x34333231 0x34333231 ,通过查表查出为4321,可以确定getshell字符序列应该是11111111222222223333333344444444\x7d\x84\x04\x08
    20145229吴姗珊逆向BOF实践-LMLPHP

码表如下
20145229吴姗珊逆向BOF实践-LMLPHP

  • 生成字符串
    我们没法通过键盘输入\x7d\x84\x04\x08这样的16进制值,所以先生成包括这样字符串的一个文件。\x0a表示回车,如果没有的话,在程序运行时就需要手工按一下回车键。
    Perl是一门解释型语言,不需要预编译,可以在命令行上直接使用。
    使用输出重定向“>”将perl生成的字符串存储到文件input中。可以使用16进制查看指令xxd查看input文件的内容是否如预期。
    20145229吴姗珊逆向BOF实践-LMLPHP

  • 跳转getshell
    将input的输入,通过管道符“|”,作为pwn1的输入
    20145229吴姗珊逆向BOF实践-LMLPHP

  • 注入shellcode
    shellcode:
    Shellcode是一组可注入的指令,可在被攻击的程序内运行。由于shellcode要直接操作寄存器,通常用汇编语言编写并翻译成十六进制操作码。我们想让目标程序以不同与设计折预期的方式运行,操纵程序的方法之一是强制它产生系统调用。ShellCode就是一段程序的机器码形式,而ShellCode的编写过程,就是得到我们想要程序的机器码的过程。
    在Linux里有两种方法来执行系统调用。间接的方法是libc,直接的方法是用汇编指令调用软中断执行系统调用。在Linux里,程序通过int 0x80软中断来执行系统调用,调用过程如下:
    1、把系统调用编号载入EAX;
    2、把系统调用的参数压入其他寄存器;最多支持6个参数,分别保存在EBX、ECX、EDX、ESI、EDI和EBP里;
    3、执行int 0x80指令;
    4、CPU切换到内核模式;
    5、执行系统函数。

  • 需要一个shellcode代码,在网上找了一个,命名为helloshellcode,直接对这个程序进行编译,编译时注意需要首先转换为32位
    20145229吴姗珊逆向BOF实践-LMLPHP

  • 想提取其中的shellcode就需要通过反汇编来获取相应的汇编代码或是二进制代码。如果要提取该程序中的获取shell的shellcode,就是要获取函数execve调用时参数及相应的系统调用。接下来进行反汇编
    20145229吴姗珊逆向BOF实践-LMLPHP

  • 使用gdb查看反汇编
    20145229吴姗珊逆向BOF实践-LMLPHP
    20145229吴姗珊逆向BOF实践-LMLPHP

从上图中可以看出execve函数是先赋值寄存器后进行调用*0x80e8a90,可以看出就是上面所说的第一种放大—调用软中断执行系统调用。一旦加载寄存器之后,就会调用int 0x80 汇编指令来发出软中断,强迫内核暂停手头上的工作并处理该中断。

  • 提取shellcode
    在上面放的用gdb查看的反汇编的图里的部分指令进行组合就可以了,不过老师在上课的时候说过里面不能包含0字符,需要把0字符全部去掉,否则无法执行

  • 汇编写helloshellcode及编译
    20145229吴姗珊逆向BOF实践-LMLPHP

  • 本次的shellcode参考了网上大神的分享,自己对这汇编方面理解太少,能理解整个过程的原理,在实践代码方面举步维艰,不过熟能生巧,自己会多加强这方面的学习

    实践感想

    本次的实践是本次课的第一次实验,根据老师给出的教程一步步往下做没有遇到太大的问题,只是在确定大端小端的时候遇到了一些疑难,缓冲区溢出最重要的就是找出覆盖的部分,然后进行一个计算即可进行跳转,其实原理很简单,只是对汇编方面的知识太过生疏导致理解汇编时非常吃力,但是在做注入shellcode的时候,根据网上的教程做下来,大体的概念清楚,做下来花了不少时间,还需要花一定的时间理解消化,希望自己以后也可以加强对汇编的学习,将所有知识融会贯通进行学习。

05-15 12:19