zoukankan      html  css  js  c++  java
  • 20155330 《网络攻防》Exp1 PC平台逆向破解(5)M

    20155330 《网络攻防》Exp1 PC平台逆向破解(5)M

    实践目标

    运行pwn1可执行文件中的getshell函数,学习如何注入运行任何Shellcode
    本次实践的对象是一个名为pwn1的linux可执行文件。

    实践内容

    • 手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数。
    • 利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数。
    • 注入一个自己制作的shellcode并运行这段shellcode。

    基本思路

    • 运行原本不可访问的代码片段
    • 强行修改程序执行流
    • 以及注入运行任意代码。

    相关知识

    • 熟悉Linux基本操作
      • 能看懂常用指令,如管道(|),输入、输出重定向(>)等。
    • 理解Bof的原理。
      • 能看得懂汇编、机器指令、EIP、指令地址。
    • 会使用gdb,vi。
    • 指令
      • NOP:通过nop指令的填充(nop指令一个字节),使指令按字对齐,从而减少取指令时的内存访问次数。(机器码:90)
      • JNE:条件转移指令,如果不相等则跳转。(机器码:75)
      • JE:条件转移指令,如果相等则跳转。(机器码:74)
      • JMP:无条件转移指令。
        • 段内直接短转Jmp short(机器码:EB)
        • 段内直接近转移Jmp near(机器码:E9)
        • 段内间接转移Jmp word(机器码:FF)
        • 段间直接(远)转移Jmp far(机器码:EA)
      • CMP:比较指令,相当于减法指令,只是不保存结果。执行后,对标志寄存器产生影响。其他相关指令通过识别这些被影响的标志寄存器位来得知比较结果。
        • 机器码

          |机器码|指令功能|
          |--|--|
          |38|CMP reg8/mem8,reg8|
          |39| CMP reg16/mem16,reg16|
          |3A| CMP reg8,reg8/mem8|
          |3B| CMP reg16,reg16/mem16|
          |3C |CMP al,immed8|
          |3D |CMP ax,immed16|

    一、直接修改程序机器指令,改变程序执行流程

    • 首先对pwn1文件进行反汇编

    • 查看main函数调用foo的地址值,foo函数的第一条指令的地址值,和需要修改的getShell函数第一条指令的地址值。由下图可知,main函数调用foo对应机器指令为e8 d7ffffff,由于要将调用的函数更改为getShell,则需修改d7 ff ff ffgetShell-80484ba对应的补码,通过计算47d-4ba得到补码,main函数调用getShell对应机器指令为c3 ff ff ff

    • 使用VIM编辑器对pwn1文件进行编辑。文件显示为乱码,用%!xxd命令将显示模式切换为16进制模式

    • 输入/e8 d7查找要修改的内容,修改d7c3,用命令%!xxd -r将16进制转换为原格式,wq存盘退出。

    • 再次将文件反汇编,可以看到地址80484b5的机器指令d7变更为c3,main函数调用getShell

    • 运行文件。(在实践过程中重新备份了pwn1文件为pwn2,以上步骤为备份前截图,备份后将pwn1文件修改为原文件。)

    二、通过构造输入参数,造成BOF攻击,改变程序执行流

    • 目标:触发getShell函数

    • pwn1可执行文件正常运行是调用如下函数foo,这个函数有Buffer overflow漏洞

    • 读入字符串,但系统只预留了__字节的缓冲区,超出部分会造成溢出,我们的目标是覆盖返回地址

    • main函数中call调用foo,同时在堆栈上压上返回地址值:80484ba

    • 确认输入字符串哪几个字符会覆盖到返回地址

      • gdb pwn3_155330调试可执行文件,r运行,info r查看寄存器eip(即将执行的指令地址)的值

      • 再次运行,将后八位值更改后发现eip值改变。1234 四个数最终会覆盖到堆栈上的返回地址,进而CPU会尝试运行这个位置的代码。将这四个字符替换为 getShell 的内存地址,输给pwn,pwn1就会运行getShell。

    • 确认用什么值来覆盖返回地址

      • 通过反汇编时可以看到getShell的内存地址为0804847d。接下来要确认下字节序,简单说是输入x08x04x84x7d,还是输入x7dx84x04x08。对比之前的eip,该终端采用小端方式,正确应用输入x7dx84x04x08
      • 由为我们没法通过键盘输入x7dx84x04x08这样的16进制值,所以先生成包括这样字符串的一个文件。x0a表示回车,如果没有的话,在程序运行时就需要手工按一下回车键。
      • 用perl命令生成字符串并重定向>input文件中。
      • 使用16进制查看指令xxd查看input文件的内容
      • 将input的输入,通过管道符“|”,作为pwn1的输入。

    三、注入Shellcode并执行

    • 准备一段Shellcode

      • shellcode就是一段机器指令(code)
      • 通常这段机器指令的目的是为获取一个交互式的shell(像linux的shell或类似windows下的cmd.exe),所以这段机器指令被称为shellcode。
      • 在实际的应用中,凡是用来注入的机器指令段都通称为shellcode,像添加一个用户、运行一条指令。
    • execstack -s pwn1设置堆栈可执行。

    • apt-get install execstack获取安装。

    • execstack -q pwn1查询文件的堆栈是否可执行。并依次执行以下命令。

    more /proc/sys/kernel/randomize_va_space 
    echo "0" > /proc/sys/kernel/randomize_va_space
    more /proc/sys/kernel/randomize_va_space 
    

    • 构造要注入的payload。

    • Linux下有两种基本构造攻击buf的方法:

      • retaddr+nop+shellcode
      • nop+shellcode+retaddr。
    • 因为retaddr在缓冲区的位置是固定的,shellcode要不在它前面(缓冲区大),要不在它后面(缓冲区小)。

    • 结构为:nops+shellcode+retaddr。

      • nop一为是了填充,二是作为“着陆区/滑行区”。
      • 猜测的返回地址只要落在任何一个nop上,就能滑到shellcode。
    • 输入perl -e 'print "x90x90x90x90x90x90x31xc0x50x68x2fx2fx73x68x68x2fx62x69x6ex89xe3x50x53x89xe1x31xd2xb0x0bxcdx80x90x4x3x2x1x00"' > input_shellcode,最后的x4x3x2x1将覆盖到堆栈上的返回地址的位置。把x4x3x2x1改为这段shellcode的地址。

    • 打开一个终端注入这段攻击buf(cat input_shellcode;cat) | ./pwn4_155330

    • 再开另外一个终端,用gdb来调试进程。

    • ps -ef | grep pwn4_155330查看进程号。grep pwn4_155330的进程号是2481

    • gdb调试这个进程,查看注入buf的内存地址

    • 设置断点

    • 继续运行

    • 查看esp寄存器值,

    • 计算出地址值为d300,修改地址重定向到input_shellcode文件



  • 相关阅读:
    Java 插入排序
    Java 浮点型与双精度数值比较
    Java 包装类Integer的值比较
    ORA-00942 table or view does not exist
    logging模块
    面向对象
    模块和包
    异常处理
    序列化模块
    css3选择器
  • 原文地址:https://www.cnblogs.com/ashin-kl/p/8597846.html
Copyright © 2011-2022 走看看