Exp1 PC平台逆向破解
一、实践目标
本次实践的对象是一个名为pwn1的linux可执行文件。
该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。
该程序同时包含另一个代码片段,getShell,会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。
二、实验要求
报告内容
- 掌握NOP, JNE, JE, JMP, CMP汇编指令的机器码(0.5分)
- 掌握反汇编与十六进制编程器 (0.5分)
- 能正确修改机器指令改变程序执行流程(0.5分)
- 能正确构造payload进行bof攻击(0.5分)
报告整体观感
报告格式范围,版面整洁 加0.5。
报告排版混乱,加0分。
文字表述
报告文字内容非常全面,表述清晰准确 加1分。
报告逻辑清楚,比较简要地介绍了自己的操作目标与过程 加0.5分。
报告逻辑混乱表述不清或文字有明显抄袭可能 加0分。
三、实验方法
- 手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数。
四、实验步骤
(一)反汇编查看pwn1的内容并计算修改地址的值
1. 输入反汇编指令 objdump -d 20154305|more查看可执行文件内容,其中20154305为pwn1的一个副本
2. 向下翻页找到getshell函数、foo函数和main函数
由图中可见“ call 8048491 "这条指令将调用位于地址8048491处的foo函数,其对应机器指令为“e8 d7ffffff”,e8即跳转之意。本来正常流程,此时此刻EIP的值应该是下条指令的地址,即80484ba,但如一解释e8这条指令,CPU就会转而执行 “EIP + d7ffffff”这个位置的指令。“d7ffffff”是补码,表示-41,41 = 0x29 ,80484ba + d7ffffff = 80484ba - 0x29 正好是8048491这个值。
main函数调用foo,对应机器指令为“ e8 d7ffffff ”,那我们想让它调用getShell,只要修改 d7ffffff 为 getShell-80484ba 对应的补码就行。用Windows计算器,直接 47d-4ba就能得到补码,是c3ffffff。
(二)修改可执行文件
1. 用vim编辑器打开20154305可执行文件,输入 vim 20154305
2. 在 vim 编辑器中按 Esc 键,输入" :%!xxd "将原格式转换成十六进制显示,结果如下图:
3. 查找要修改的内容,输入“ /e8 d7 "。
此处可通过记录改行机器语言前边的编号000004b0标识位置。
4. 修改d7为c3
具体操作是将光标移动到要修改的位置,然后按下键盘上的 r 键,然后按下修改的目标值。
5. 转换十六进制为原格式,输入 “ :%!xxd -r ” 。
6. 保存、退出 vim 编辑器
输入 “ :wq ”
(三)反汇编检查修改后的结果
修改指令成功,本次试验成功完成。
(五)实验总结
首先,由于条件有限,我实验的PC未能安装32位运行器,不能运行该可执行文件,但是已将修改后的文件在其他同学电脑上运行过了,可以执行且达到目的。
其次,本次实验内容虽然以前从未接触过,但是同样也给我带来了兴趣,使我能够深入地去学习研究,并且可参考的报告、案例比较多,理解相对比较深刻,但是对于该实验的其他攻击方法暂时没有头绪,会在以后的课上继续深入研究。