1. 逆向及Bof基础实践说明
1.1 实践目标
本次实践的对象是一个名为pwn1的linux可执行文件。该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。该程序同时包含另一个代码片段,getShell,会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。
1.2实践内容如下:
手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数。
利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数。
注入一个自己制作的shellcode并运行这段shellcode。
这几种思路,基本代表现实情况中的攻击目标:
运行原本不可访问的代码片段
强行修改程序执行流
以及注入运行任意代码。
1.3 基础知识
1.3.1掌握NOP, JNE, JE, JMP, CMP汇编指令的机器码
NOP:机器码:90。类似一个空指令,执行时CUP什么都不做,执行过这条指令在执行下一条指令。
JNE:机器码:75。如果条件不相等跳转到要跳转的位置。
JE:机器码:74。如果条件相等则跳转。
JMP:机器码:EB。直接跳转到所需跳转的位置。
补:段内直接短转Jmp short 段内直接近转移Jmp near(机器码:E9) 段内间接转移 Jmp word(机器码:FF) 段间直接(远)转移Jmp far(机器码:EA)
CMP:类似通过对操作数做减法来比较操作数的指令,只做比较不保存结果。会对标志寄存器产生影响。
1.3.2掌握反汇编与十六进制编程器
2. 直接修改程序机器指令,改变程序执行流程
实验点1:手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数
- cp pwn1 pwn2 拷贝pwn1为pwn2;
- 使用objdump -d pwn2将pwn2反汇编;
- vi pwn2进入编辑器,输入:%!xxd将显示模式切换为十六进制,准备进行修改;
- 在底行模式输入/e8d7定位需要修改的地方,确认并按i进入插入模式,修改d7为c3;
这部分的图没有截 - 可找到80484b5: e8 d7 ff ff ff call 8048491 这条汇编指令,这条指令就是在main函数中调用位于地址8048491处的foo函数,e8表示“call”,d7 ff ff ff是地址。因此,我们想让函数调用getShell,只需将其修改为c3 ff ff ff;
- 输入:%!xxd -r将十六进制转换为原格式,再输入:wq!保存并退出;
- 输入./pwn2,即运行修改后的代码,可以得到shell提示符;
3. 通过构造输入参数,造成BOF攻击,改变程序执行流
3.1 反汇编,了解程序的基本功能
3.2 确认输入字符串哪几个字符会覆盖到返回地址
截图:
3.3 确认用什么值来覆盖返回地址
3.4 构造输入字符串
截图:
