Exp1 PC平台逆向破解

一、实践目标

本次实践的对象是一个名为pwn1的linux可执行文件。

该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。

该程序同时包含另一个代码片段,getShell,会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。

二、实验要求

报告内容

  1. 掌握NOP, JNE, JE, JMP, CMP汇编指令的机器码(0.5分)
  2. 掌握反汇编与十六进制编程器 (0.5分)
  3. 能正确修改机器指令改变程序执行流程(0.5分)
  4. 能正确构造payload进行bof攻击(0.5分)

报告整体观感

  1. 报告格式范围,版面整洁 加0.5。

  2. 报告排版混乱,加0分。

文字表述

  1. 报告文字内容非常全面,表述清晰准确 加1分。

  2. 报告逻辑清楚,比较简要地介绍了自己的操作目标与过程 加0.5分。

  3. 报告逻辑混乱表述不清或文字有明显抄袭可能 加0分。

三、实验方法

  • 手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数。

四、实验步骤

(一)反汇编查看pwn1的内容并计算修改地址的值

1. 输入反汇编指令 objdump -d 20154305|more查看可执行文件内容,其中20154305为pwn1的一个副本

20154305 齐帅 PC平台逆向破解-LMLPHP

2. 向下翻页找到getshell函数、foo函数和main函数

20154305 齐帅 PC平台逆向破解-LMLPHP

由图中可见“ call 8048491 "这条指令将调用位于地址8048491处的foo函数,其对应机器指令为“e8 d7ffffff”,e8即跳转之意。本来正常流程,此时此刻EIP的值应该是下条指令的地址,即80484ba,但如一解释e8这条指令,CPU就会转而执行 “EIP + d7ffffff”这个位置的指令。“d7ffffff”是补码,表示-41,41 = 0x29 ,80484ba + d7ffffff = 80484ba - 0x29 正好是8048491这个值。

main函数调用foo,对应机器指令为“ e8 d7ffffff ”,那我们想让它调用getShell,只要修改 d7ffffff 为 getShell-80484ba 对应的补码就行。用Windows计算器,直接 47d-4ba就能得到补码,是c3ffffff。
20154305 齐帅 PC平台逆向破解-LMLPHP

(二)修改可执行文件

1. 用vim编辑器打开20154305可执行文件,输入 vim 20154305

2. 在 vim 编辑器中按 Esc 键,输入" :%!xxd "将原格式转换成十六进制显示,结果如下图:

20154305 齐帅 PC平台逆向破解-LMLPHP

3. 查找要修改的内容,输入“ /e8 d7 "。

20154305 齐帅 PC平台逆向破解-LMLPHP
此处可通过记录改行机器语言前边的编号000004b0标识位置。

4. 修改d7为c3

20154305 齐帅 PC平台逆向破解-LMLPHP
具体操作是将光标移动到要修改的位置,然后按下键盘上的 r 键,然后按下修改的目标值。

5. 转换十六进制为原格式,输入 “ :%!xxd -r ” 。

20154305 齐帅 PC平台逆向破解-LMLPHP

6. 保存、退出 vim 编辑器

输入 “ :wq ”
20154305 齐帅 PC平台逆向破解-LMLPHP

(三)反汇编检查修改后的结果

20154305 齐帅 PC平台逆向破解-LMLPHP
修改指令成功,本次试验成功完成。

(五)实验总结

首先,由于条件有限,我实验的PC未能安装32位运行器,不能运行该可执行文件,但是已将修改后的文件在其他同学电脑上运行过了,可以执行且达到目的。

其次,本次实验内容虽然以前从未接触过,但是同样也给我带来了兴趣,使我能够深入地去学习研究,并且可参考的报告、案例比较多,理解相对比较深刻,但是对于该实验的其他攻击方法暂时没有头绪,会在以后的课上继续深入研究。

05-13 06:35