PC平台逆向破解实验报告
20191306张宇鹏
逆向及Bof基础实践说明
实践目标
本次实践的对象是一个名为pwn1的linux可执行文件。
该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。
该程序同时包含另一个代码片段,getShell,会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。我们将学习两种方法运行这个代码片段,然后学习如何注入运行任何Shellcode。
- 三个实践内容如下:
- 手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数。
- 利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数。
- 注入一个自己制作的shellcode并运行这段shellcode。
- 这几种思路,基本代表现实情况中的攻击目标:
- 运行原本不可访问的代码片段
- 强行修改程序执行流
- 以及注入运行任意代码。
1.直接修改程序机器指令,改变程序执行流程
- 知识要求:Call指令,EIP寄存器,指令跳转的偏移计算,补码,反汇编指令objdump,十六进制编辑工具
- 学习目标:理解可执行文件与机器指令
- 进阶:掌握ELF文件格式,掌握动态技术
下载目标文件pwn1,反汇编。
由图可知call指令调用foo函数,此时eip的值为80484ba,若想让call指令改为调用getShell函数,只需计算getShell-80484ba对应的补码再进行替换。计算结果为c3ffffff。
- 接下来修改可执行文件
在16进制下将d7更改为c3
更改后再次反汇编查看
发现call指令改为调用getShell函数了
运行20191306pwn1,实验成功。
2.通过构造输入参数,造成BOF攻击,改变程序执行流
确认输入字符串哪几个字符会覆盖到返回地址
通过eip的值发现5678这四个数最终会覆盖到堆栈上的返回地址,只需把这四个字符替换为 getShell 的内存地址即可。
构造输入字符串
通过之前的反汇编可知替换为\x7d\x84\x04\x08即可修改返回地址,调用getShell函数。由于我们没法通过键盘输入\x7d\x84\x04\x08这样的16进制值,所以先生成包括这样字符串的一个文件。\x0a表示回车,如果没有的话,在程序运行时就需要手工按一下回车键。
用16进制查看指令xxd查看input文件的内容是否如预期。
然后将input的输入,通过管道符“|”,作为20191306pwn2的输入。
3.注入Shellcode并执行
准备工作
设置堆栈可执行
关闭地址随机化
echo "0" > /proc/sys/kernel/randomize_va_space
这条命令输入后提示权限不够,加入sudo也不能运行,在网上查到了sudo bash -c "echo 0 > /proc/sys/kernel/randomize_va_space"命令,成功运行。
构造要注入的payload
打开一个终端注入攻击buf
再开另外一个终端,用gdb来调试20191306pwn4这个进程。
找到01020304和90909090了,修改shellcode为"\x40\xd1\xff\xff\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x20\xd1\xff\xff\x00"'
成功了!
4.结合nc模拟远程攻击
这部分实验在进行时遇到了问题
将pwn1的内容复制给了20191306pwn6,无论在127.0.0.1ip下还是192.168.186.141ip下都不能正常进行,端口号也没有被占用,ping 相应的ip也可以ping通。新开一个终端查看地址发现并没有变化
原因在于之前的调试地址计算失误,使我懂得了细节决定成败。
实验成功!
实验感想
本次实验让我理解了许多从前只是略有耳闻的技术,了解了缓冲区溢出攻击背后的原理,收获满满。简单的实验也让我锻炼了动手能力,初步了解了一些深层次的东西,对之后要学习的内容十分期待。可惜的是能力有限,实验还有不足之处,我一定努力尽快完善。