20145325张梓靖 《网络对抗技术》 PC平台逆向破解
学习任务
- shellcode注入:shellcode实际是一段代码,但却作为数据发送给受攻击服务器,将代码存储到对方的堆栈中,并将堆栈的返回地址利用缓冲区溢出,覆盖成为指向 shellcode 的地址。
- Return-to-libc 攻击实验:即使栈有不可执行的能力,无法将shellcode放入堆栈中运行,但我们却可以直接让漏洞程序调转到现存的代码来实现我们的攻击。(本次实验所用的是已经载入内存的 libc 库中的 system()函数等)
基础知识
- ps -ef | grep pwn1:
ps:将某个进程显示出来
ps:将某个进程显示出来
ps参数:-A 显示所有程序;-e 此参数的效果和指定"A"参数相同;-f 显示UID,PPIP,C与STIME栏位
ps显示进程结果格式:UID PID PPID C STIME TTY TIME CMD
UID 程序被该 UID 所拥有
PID 就是这个程序的 ID
PPID 则是其上级父程序的ID
C CPU 使用的资源百分比
STIME 系统启动时间
TTY 登入者的终端机位置
TIME 使用掉的 CPU 时间。
CMD 所下达的指令为何
本条命令意为:查找与pwn1有关的进程,并用-ef格式显示出来 - (gdb) attach: GDB可以对正在执行的程序进行调度,它允许开发人员中断程序并查看其状态,之后还能让这个程序正常地继续执行。在GDB中使用“attach”命令是一个方法。
- (gdb) disassemble foo: 反汇编一段内存地址,
- (gdb) c: 继续执行被调试程序,直至下一个断点或程序结束,Continue的简写
(gdb) x/16x : 使用x命令(examine的简写)来查看内存地址中的值。
* x命令的语法:x/ (n、f、u是可选的参数)
* n表示单元个数,f表示显示的进制,u表示每个单元的大小。- ln -s 源文件 目标文件 :为某一个文件或目录在另外一个位置建立一个同步的链接
- chmod u+s 文件 :对文件设置强制位,即SET-UID,可以使非文件拥有者或文件所属群组的用户具有执行该文件的权限
- export [-fnp][变量名称]=[变量设置值] : 设置或显示环境变量。(比如我们要经常使用到一个命令时,而这个命令的执行文件又不在当前目录,这时可以在代码中先执行export,即告诉程序,要执行什么东西时,需要的文件就在这些目录里)
- echo : 在显示器上显示一段文字
- gdb -q : -q用以使得gdb不输出gdb程序的版本等信息
system :是一个函数,用于运行其它外部程序
注入Shellcode并执行
先将环境设置为:堆栈可执行、地址随机化关闭
以 anything+retaddr+nops+shellcode 的结构来构造,先估计返回地址所在位置,并且找到 shellcode 所在地址
要验证返回地址所在位置以及找到 shellcode 地址,需要使用GDB调试
* 先运行 20145325pwn1 可执行文件
(先不输入“回车”,在后面的调试过程中需要继续运行的时候再回车,到时候就会显示如图的字符部分)
* 再找到正在执行的 20145325pwn1 的进程号
* 进入GDB,联系上该进程号
* 在 ret 处设置断点,接着运行到断点处,显示当前esp的值并依照此位置显示接下来的内存地址内容,并由此分析出返回地址位置的正确性以及shellcode的地址
(红色方框为返回地址处,红色椭圆为 shellcode 代码,由此推算出 shellcode 地址为 “\x31\xd3\xff\xff”)
* 继续运行,再次检测是否跳到覆盖的返回地址所表示的地方
(如红框所示,已经可以确认返回地址是被 \x10\x20\x30\x40 所覆盖的)
将作为输入的 input_shellcode 处的 “\x10\x20\x30\x40” 换为上面所找到的 shellcode 地址 “\x31\xd3\xff\xff”
执行 20145325pwn1 ,成功注入 shellcode
Return-to-libc 攻击实验
进入linux32的环境,将地址随机化关闭,同时使用
ln
命令,让 /bin/sh 指向另一个shell程序(这里是zsh)(因为原 /bin/bash 有保护措施,即使能调用一个shell,也不能在这个shell中保持root权限)编写retlib文件并进行编译(注意要使堆栈处于不可执行状态),同时将其设为 Set-UID 程序
- 编写读取环境变量的程序并进行编译
编写攻击代码
使用编译好的 读取环境变量 程序,得到/bin/sh的地址
编译攻击程序,并通过调试该程序得到 system 与 exit 的地址
再将攻击程序中的buf换为刚刚获得的3个地址
重新编译攻击程序
先运行攻击程序,再运行SET-UID程序,观察是否成功获得root权限
成功
- 尝试将/bin/sh 重新指向/bin/bash,观察能否攻击成功
竟然成功了
- 又尝试将/bin/sh 重新指向 /bin/dash ,观察能否攻击成功
又成功了?
- 按理来说,后2种重新指向后,应该是无法获得root权限的,但这里竟然都成功了,难道实验楼环境里的 /bin/dash 与 /bin/bash还没有保护措施?