首页 > 代码库 > 20145301赵嘉鑫《网络对抗》逆向及Bof基础

20145301赵嘉鑫《网络对抗》逆向及Bof基础

20145301赵嘉鑫《网络对抗》逆向及Bof基础

实践目标

  • 本次实践的对象是一个名为pwn1的linux可执行文件。
  • 该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。
  • 该程序同时包含另一个代码片段,getShell,会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。
  • 本次实践主要是学习两种方法:
    • 利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数。
    • 手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数。
  • 现实情况中的攻击目标:
    • 运行原本不可访问的代码片段
    • 强行修改程序执行流
    • 以及注入运行任意代码。

基础知识

Linux常用指令

管道命令

  • 管道就是将输出在标准输出中的信息一次次处理最终打印在标准输出中,所以管道命令必须是接受标准输出的命令,cpmvls都不是管道命令。
  • 用法: command 1 | command 2,它的功能是把第一个命令command 1执行的结果作为command 2的输入传给command 2。
  • 举例:
    • ls -l | more:该命令列出当前目录中的任何文档,并把输出送给more命令作为输入,more命令分页显示文件列表。

重定向操作符

  • >:将命令输出写入文件或设备,而不是命令提示符或句柄
  • <:从文件而不是从键盘或句柄读入命令输入
  • >>:将命令输出添加到文件末尾而不删除文件中已有的信息
  • >&:将一个句柄的输出写入到另一个句柄的输入中
  • <&:从一个句柄读取输入并将其写入到另一个句柄输出中

常用汇编指令及寄存器的作用

  • NOP:NOP指令即“空指令”。执行到NOP指令时,CPU什么也不做,仅仅当做一个指令执行过去并继续执行NOP后面的一条指令。(机器码:90)
  • JNE:条件转移指令,如果不相等则跳转。(机器码:75)
  • JE:条件转移指令,如果相等则跳转。(机器码:74)
  • JMP:无条件转移指令。段内直接短转Jmp short(机器码:EB)段内直接近转移Jmp near(机器码:E9)段内间接转移Jmp word(机器码:FF)段间直接(远)转移Jmp far(机器码:EA)
  • CMP:比较指令,功能相当于减法指令,只是对操作数之间运算比较,不保存结果。cmp指令执行后,将对标志寄存器产生影响。其他相关指令通过识别这些被影响的标志寄存器位来得知比较结果。
  • EAX:通用寄存器。相对其他寄存器,在进行运算方面比较常用。在保护模式中,也可以作为内存偏移指针(此时,DS作为段 寄存器或选择器)
  • EBX:通用寄存器。通常作为内存偏移指针使用(相对于EAX、ECX、EDX),DS是默认的段寄存器或选择器。在保护模式中,同样可以起这个作用。
  • ECX:通用寄存器。通常用于特定指令的计数。在保护模式中,也可以作为内存偏移指针(此时,DS作为 寄存器或段选择器)。
  • EDX:通用寄存器。在某些运算中作为EAX的溢出寄存器(例如乘、除)。在保护模式中,也可以作为内存偏移指针(此时,DS作为段 寄存器或选择器)。
  • ESI:通常在内存操作指令中作为“源地址指针”使用。当然,ESI可以被装入任意的数值,但通常没有人把它当作通用寄存器来用。DS是默认段寄存器或选择器。
  • EDI:通常在内存操作指令中作为“目的地址指针”使用。当然,EDI也可以被装入任意的数值,但通常没有人把它当作通用寄存器来用。DS是默认段寄存器或选择器。
  • EBP:这也是一个作为指针的寄存器。通常,它被高级语言编译器用以建造‘堆栈帧‘来保存函数或过程的局部变量,不过,还是那句话,你可以在其中保存你希望的任何数据。SS是它的默认段寄存器或选择器。

实践过程

直接修改程序机器指令,改变程序执行流程

  • 在正式开始实践之前,先对pwn1文件做个备份,以便修改后可以及时恢复到初始状态:
    技术分享

  • 使用指令objdump -d 20145215 | more对目标文件进行反汇编,查看三个核心函数的反汇编结果:
    技术分享
    技术分享
    技术分享

  • 程序正常运行时是不会执行getShell函数的,而我们的目的就是想让程序调用getShell,因此就要想办法让call指令跳转到getShell的起始地址执行,只要修改“d7ffffff”为"getShell-80484ba"对应的补码就行。用Windows计算器,直接47d-4ba就能得到补码,是c3ffffff。
  • 接下来就对可执行文件进行修改,先输入指令vi 20145215,用vim编辑器查看可执行文件20145215;接着输入:%!xxd,将显示模式切换为16进制模式;输入/e8 d7查找要修改的内容:
    技术分享

  • i键将模式改为插入模式,修改d7为c3;输入:%!xxd -r转换16进制为原格式,然后存盘退出
  • 此时再反汇编看一下,发现原汇编指令已经被成功修改:
    技术分享

  • 运行下改后的代码,得到了shell提示符:
    技术分享

通过构造输入参数,造成BOF攻击,改变程序执行流

  • 通过对foo函数进行分析,可以发现系统只预留了一定字节的缓冲区,超出部分会造成溢出,因此这个函数存在BOF漏洞,而我们的目标就是覆盖它的返回地址。
  • 进过尝试发现,当输入达到28字节时产生溢出Segmentation fault
    技术分享

  • 接下来我们通过gdb调试来确认输入字符串的哪几个字符会覆盖到返回地址,输入info r查看各寄存器的值:
    技术分享

  • 观看eip的值,是ASCII 1234,也就是说我们输入的“1234”覆盖了它的地址,所以我们只需要将getshell的内存地址替换这4个字符,就可以达到程序向getshell函数转移的目的。
  • 我们要构造一串特殊的输入,由于getShell的内存地址是0x0804847d,而其对应的ASCII没有字符,所以我们通过一个简单的perl脚本语言来构造输入值,输入:perl -e ‘print "12345678123456781234567812345678\x7d\x84\x04\x08\x0a"‘ > input,使用16进制查看指令xxd查看input文件的内容是否如预期:
    技术分享

  • 然后将input的输入,通过管道符“|”,作为可执行文件20145215的输入:
    技术分享

 
 
 
好文要顶 已关注 收藏该文 技术分享 技术分享
技术分享
20145215卢肖明
关注 - 42
粉丝 - 72
 
 
我在关注他 取消关注
0
0
 
 
 
? 上一篇:20145215《信息安全系统设计基础》课程总结
posted @ 2017-03-01 20:47 20145215卢肖明 阅读(45) 评论(1)  编辑 收藏
 

发表评论
 
  回复引用
#1楼 2017-03-04 20:02 | 20145220韩旭飞  
谢谢小明明。爱你,卢five
支持(0)反对(0)
 
 
刷新评论刷新页面返回顶部
发表评论

昵称:

评论内容:
技术分享 技术分享 技术分享 技术分享 技术分享 技术分享
 

 退出登录 订阅评论

 

[Ctrl+Enter快捷键提交]

 
【推荐】50万行VC++源码: 大型组态工控、电力仿真CAD与GIS源码库
【推荐】Google+GitHub联手打造前端工程师课程
【推荐】票选最美云上大数据暨大数据技术峰会
 
技术分享
最新IT新闻:
·  为了实现全息通讯,科学家们正在努力求解
·  颓败的乐视股价曲线,和它的又一个危机之年
·  Uber应用内藏神秘工具,可鉴定乘客身份来躲避执法检查
·  我不是李开复,我是人工智能
·  想在家里种菜?Herbert让家里的每一面墙都变成“菜地”
? 更多新闻...
技术分享
最新知识库文章:
·  垃圾回收原来是这么回事
·  「代码家」的学习过程和学习经验分享
·  写给未来的程序媛
·  高质量的工程代码为什么难写
·  循序渐进地代码重构
? 更多知识库文章...
 
昵称:20145215卢肖明
园龄:1年1个月
粉丝:72
关注:42
已关注 -取消
< 2017年3月 >
26 27 28 1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31 1
2 3 4 5 6 7 8

搜索

 
 

常用链接

  • 我的随笔
  • 我的评论
  • 我的参与
  • 最新评论
  • 我的标签
  • 更多链接
 

随笔档案

  • 2017年3月 (1)
  • 2016年12月 (5)
  • 2016年11月 (10)
  • 2016年10月 (5)
  • 2016年9月 (4)
  • 2016年7月 (1)
  • 2016年6月 (1)
  • 2016年5月 (4)
  • 2016年4月 (8)
  • 2016年3月 (5)
  • 2016年2月 (1)

最新评论

  • 1. Re:20145215卢肖明《网络对抗》逆向及Bof基础
  • 谢谢小明明。爱你,卢five
  • --20145220韩旭飞
  • 2. Re:20145215《信息安全系统设计基础》课程总结
  • @娄老师老师,相关内容已经更新在了本篇博客问卷调查部分...
  • --20145215卢肖明
  • 3. Re:20145215《信息安全系统设计基础》课程总结
  • 1. 本学期你与老师和同学交互最多的一篇博客是哪篇?
    2. 本学期被阅读最多的博客是哪一篇?有何经验?
  • --娄老师
  • 4. Re:20145215《信息安全系统设计基础》课程总结
  • 总结认真,很好,建议用心,谢谢。
  • --娄老师
  • 5. Re:20145215《信息安全系统设计基础》第十四周学习总结
  • @20145215卢肖明引用@娄老师好的老师,我下次注意一下,之前写这么多主要是为了考试的时候便于查询重点~ 这么说倒是可以的,你写这么多,不少人抄一下就完了。...
  • --娄老师

阅读排行榜

  • 1. Ubuntu下git的安装与使用(594)
  • 2. GDB调试汇编堆栈过程分析(331)
  • 3. 20145215《信息安全系统设计基础》第一周学习总结(290)
  • 4. 20145215《信息安全系统设计基础》第三周学习总结(206)
  • 5. 20145215《信息安全系统设计基础》第二周学习总结(204)

评论排行榜

  • 1. 20145215《Java程序设计》第2周学习总结(12)
  • 2. 20145215《Java程序设计》第7周学习总结(10)
  • 3. 20145215《Java程序设计》第6周学习总结(8)
  • 4. 20145215《Java程序设计》第4周学习总结(8)
  • 5. 20145215《Java程序设计》第5周学习总结(6)

推荐排行榜

  • 1. Ubuntu下git的安装与使用(4)
  • 2. 20145215《信息安全系统设计基础》第一周学习总结(1)
 
 
Copyright ?2017 20145215卢肖明

20145301赵嘉鑫《网络对抗》逆向及Bof基础