逆向及Bof基础实践
1.1 实践目标
本次实践的对象是一个名为pwn1的linux可执行文件。
-
该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。
-
该程序同时包含另一个代码片段,getShell,会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。
我们将学习两种方法
-
利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数。
-
手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数。
这几种思路,基本代表现实情况中的攻击目标
-
(1)运行原本不可访问的代码片段
-
(2)强行修改程序执行流
-
(3)以及注入运行任意代码
1.2 基础知识
该实践需要同学们熟悉Linux基本操作,能看懂常用指令,如管道(|),输入、输出重定向(>)等。
-
管道是Linux中很重要的一种通信方式,是把一个程序的输出直接连接到另一个程序的输入,数据只能由一个进程流向另一个进程(其中一个读管道,一个写管道);如果要进行双工通信,需要建立两个管道;管道只能用于父子进程或者兄弟进程间通信。
-
Linux重定向操作符 功能描述
> 将命令输出写入文件或设备,而不是命令提示符或句柄
< 从文件而不是从键盘或句柄读入命令输入
>> 将命令输出添加到文件末尾而不删除文件中已有的信息
>& 将一个句柄的输出写入到另一个句柄的输入中
<& 从一个句柄读取输入并将其写入到另一个句柄输出中
| 从一个命令中读取输出并将其写入另一个命令的输入中;也称为管道操作符
能看得懂汇编、机器指令、EIP、指令地址。
汇编指令
MOV 传送字或字节.
MOVSX 先符号扩展,再传送.
MOVZX 先零扩展,再传送.
PUSH 把字压入堆栈.
POP 把字弹出堆栈.
PUSHA 把AX,CX,DX,BX,SP,BP,SI,DI依次压入堆栈.
POPA 把DI,SI,BP,SP,BX,DX,CX,AX依次弹出堆栈.
机器指令
- 是CPU能直接识别并执行的指令,它的表现形式是二进制编码。机器指令通常由操作码和操作数两部分组成,操作码指出该指令所要完成的操作,即指令的功能,操作数指出参与运算的对象,以及运算结果所存放的位置等。
寄存器
-
EIP寄存器里存储的是CPU下次要执行的指令的地址。
-
EBP寄存器里存储的是是栈的栈底指针,通常叫栈基址。
-
ESP寄存器里存储的是在调用函数fun()之后,栈的栈顶。
实验中用到的linux指令
-
cp:复制 -
objdump -d test:反汇编test -
info r:查看寄存器 -
%!xxd:查看二进制文件
会使用gdb,vi。
1.3实践
备份
功能
- foo函数功能如下
方法一:直接修改程序机器指令,改变程序执行流程
修改可执行文件,将其中的call指令的目标地址由d7ffffff变为c3ffffff
- vi进入文件看到的则是乱码,如图
- 输入
:%!xxd将显示模式切换为16进制模式,如图
- 输入
/e8 d7查找需要改动的地方,按i进入文本编辑模式,改为e8 c3
- 存盘退出vi,
:wq再运行结果如图
方法二:通过构造输入参数,造成BOF攻击,改变程序执行流
反汇编,了解程序的基本功能
- 通过观察foo函数的汇编代码,我们可以发现其存在Buffer overflow漏洞,
确认输入字符串哪几个字符会覆盖到返回地址
进入gdb调试
- 观看eip的值,是ASCII 1234,也就是说我们输入的1234覆盖了它的地址,所以我们只需要将getshell的内存地址替换这4个字符,就可以达到程序向getshell函数转移的目的。
确认用什么值来覆盖返回地址
-
getShell的内存地址,在未启用ALSR的主机上是固定不变的,通过反汇编时可以看到,即0804847d。
-
接下来要构造字符串的一个文件,
perl -e 'print "12345678123456781234567812345678x7dx84x04x08x0a"' > input(�a代表回车键)
- (cat input; cat) | ./20145218,将input文件作为输入:
