《网络对抗》——逆向及Bof基础实践
2017-02-27 16:31
393 查看
《网络对抗》——逆向及Bof基础实践
原理
利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数。手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数。
基础知识
objdump命令是Linux下的反汇编目标文件或者可执行文件的命令NOP指令执行后,不产生任何结果,可编程控制器中的用户程序全部清除后,用户程序存储器中的指令全部变成NOP指令。
EBP是当前函数的存取指针,即存储或者读取数时的指针基地址;ESP就是当前函数的栈顶指针。每一次发生函数的调用(主函数调用子函数)时,在被调用函数初始时,都会把当前函数(主函数)的EBP压栈,以便从子函数返回到主函数时可以获取EBP。
Push, Pop, call, leave 和 Ret 指令图解
bp:基址寄存器(stack pointer),一般在函数中用来保存进入函数时的sp的栈顶基址,SP用以指示栈顶的偏移地址,而BP可 作为堆栈区中的一个基地址
GDB调试汇编堆栈过程分析
将上一个函数的基址入栈,从当前%esp开始作为新基址
push %ebp
%esp,%ebp
eip是存放当前代码段的偏移地址
实验过程
直接修改程序机器指令,改变程序执行流程
反汇编![](https://oscdn.geek-share.com/Uploads/Images/Content/202006/29/cf0f73e61a8ee7d0a3bdfa8cf54d57a7.png)
![](https://oscdn.geek-share.com/Uploads/Images/Content/202006/29/62558e3655a1fc2d355e31b5f01cf73f.png)
"call 8048491 "是汇编指令,是说这条指令将调用位于地址8048491处的foo函数;其对应机器指令为“e8 d7ffffff”,e8即跳转之意。本来正常流程,此时此刻EIP的值应该是下条指令的地址,即80484ba,但一解释e8这条指令呢,CPU就会转而执行 “EIP + d7ffffff”这个位置的指令。“d7ffffff”是补码,表示-41,41=0x29,80484ba +d7ffffff= 80484ba-0x29正好是8048491这个值,
main函数调用foo,对应机器指令为“ e8 d7ffffff”,那我们想让它调用getShell,只要修改“d7ffffff”为,"getShell-80484ba"对应的补码就行。用Windows计算器,直接 47d-4ba就能得到补码,是c3ffffff。
修改可执行文件,将其中的call指令的目标地址由d7ffffff变为c3ffffff。
![](https://oscdn.geek-share.com/Uploads/Images/Content/202006/29/4ee5d515a7c672e4ea61314dcfb04d62.png)
![](https://oscdn.geek-share.com/Uploads/Images/Content/202006/29/e3d7a066ea0b64085ae7e5ac3bb3edea.png)
再反汇编看一下,call指令是否正确调用getShell
![](https://oscdn.geek-share.com/Uploads/Images/Content/202006/29/07491620efe920a561e8f625e18e9698.png)
root@KaliYL:~# objdump -d pwn2 | more 080484af <main>: 80484af: 55 push %ebp 80484b0: 89 e5 mov %esp,%ebp 80484b2: 83 e4 f0 and $0xfffffff0,%esp 80484b5: e8 c3 ff ff ff call 804847d <getShell> 80484ba: b8 00 00 00 00 mov $0x0,%eax
运行下改后的代码,会得到shell提示符#
root@KaliYL:~# ./pwn2
ls
![](https://oscdn.geek-share.com/Uploads/Images/Content/202006/29/a26b1903cad529d901a55f2bf273f189.png)
通过构造输入参数,造成BOF攻击,改变程序执行流
反汇编,了解程序的基本功能![](https://oscdn.geek-share.com/Uploads/Images/Content/202006/29/327e56ce164cdb02d7e1e6e52f32ae50.png)
确认输入字符串哪几个字符会覆盖到返回地址
![](https://oscdn.geek-share.com/Uploads/Images/Content/202006/29/3b14ab8697cb76f991391689746a8127.png)
构造输入字符串
![](https://oscdn.geek-share.com/Uploads/Images/Content/202006/29/dc4b5191b752a403a7bc7bcd7033c19f.png)
然后将input的输入,通过管道符“|”,作为pwn1的输入。
相关文章推荐
- 20145211《网络对抗》逆向及BOF基础实践
- 20145308 《网络对抗》 逆向及BOF基础实践 学习总结
- 《网络对抗》 逆向及Bof基础实践
- 20145334赵文豪《网络对抗》-逆向及Bof基础实践
- 20145239《网络对抗》- 逆向及Bof基础实践
- 20145206邹京儒《网络对抗》逆向及Bof基础实践
- 20145335郝昊《网络对抗》逆向及Bof基础实践
- 20145312《网络对抗》 逆向及Bof基础实践
- 20145320《网络对抗》逆向及Bof基础实践
- 20145330 《网络对抗》逆向及BOF基础实践
- 20145209刘一阳 《网络对抗》逆向及BOF基础实践
- 20145303 刘俊谦《网络对抗》逆向及BOF基础实践
- 20145216《网络对抗》逆向及BOF基础实践
- 20145240《网络对抗》逆向及Bof基础实践
- 20145204《网络对抗》逆向及bof基础实践
- 20145327 《网络对抗》逆向及BOF基础实践
- 20145238-荆玉茗 《网络对抗》-逆向及Bof基础实践
- 20145208蔡野 《网络对抗》逆向及BOF基础实践
- 20145201李子璇《网络对抗》逆向及Bof基础实践
- 20145305 《网络对抗》逆向及Bof基础实践