Exp1 PC平台逆向破解

1. 逆向及Bof基础实践说明

1.1 实践目标

本次实践的对象是一个名为pwn1的linux可执行文件。

该程序正常执行流程是：main调用foo函数,foo函数会简单回显任何用户输入的字符串。

该程序同时包含另一个代码片段，getShell，会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。我们将学习两种方法运行这个代码片段，然后学习如何注入运行任何Shellcode。

三个实践内容如下：

• 手工修改可执行文件，改变程序执行流程，直接跳转到getShell函数。
• 利用foo函数的Bof漏洞，构造一个攻击输入字符串，覆盖返回地址，触发getShell函数。
• 注入一个自己制作的shellcode并运行这段shellcode。

这几种思路，基本代表现实情况中的攻击目标:

运行原本不可访问的代码片段

强行修改程序执行流

以及注入运行任意代码。

1.2 基础知识

1.2.1 NOP, JNE, JE, JMP, CMP汇编指令的机器码

• NOP：NOP指令即“空指令”。执行到NOP指令时，CPU什么也不做，仅仅当做一个指令执行过去并继续执行NOP后面的一条指令。（机器码：90）
• JNE：条件转移指令，如果不相等则跳转。（机器码：75）
• JE：条件转移指令，如果相等则跳转。（机器码：74）
• JMP：无条件转移指令。段内直接短转Jmp
• short（机器码：EB） 段内直接近转移Jmp
• near（机器码：E9） 段内间接转移 Jmp
• word（机器码：FF） 段间直接(远)转移Jmp
• far（机器码：EA）
• CMP：比较指令，功能相当于减法指令，只是对操作数之间运算比较，不保存结果。cmp指令执行后，将对标志寄存器产生影响。其他相关指令通过识别这些被影响的标志寄存器位来得知比较结果。

1.2.2 常用的Linux基本操作

• objdump -d：从objfile中反汇编那些特定指令机器码的section。
• perl -e：后面紧跟单引号括起来的字符串，表示在命令行要执行的命令。
• xxd：为给定的标准输入或者文件做一次十六进制的输出，它也可以将十六进制输出转换为原来的二进制格式。
• ps -ef：显示所有进程，并显示每个进程的UID,PPIP,C与STIME栏位。
• |：管道，将前者的输出作为后者的输入。
• >：输入输出重定向符，将前者输出的内容输入到后者中

2.实验步骤

2.1 实验思路

• 我们知道，所有可执行文件（包括Windows下 .exe文件）的实质都是一串连贯的机器指令，而在本次实验中我们要做的就是直接修改文件中的机器指令，因此我们首先将文件反汇编成为我们能够看得懂的语言。再通过分析比对大胆猜想需要修改的指令所在的位置，再加以修改即可。

2.2 实验步骤

2.2.1 反汇编可执行文件

• 备份文件后输入命令：objdump -d

  

• 观察分析：内存地址80484b5，此处调用了foo函数，我们需要在此处修改为调用getshell函数，因此在这一行机器指令中需要猜出哪一处是指代foo函数的，通过比对下面的函数可以猜测:e8对应的应该是call指令，而后面四个机器指令对应foo函数。
• 我们需要知道：
• 1. 计算机在存储16进制数时是反过来存储的，举例来说：对于0x11 22 33 44在机器中存储的顺序应该是44 33 22 11，这是为了方便进位计算。
• 1. 执行文件时EIP寄存器会存放下一条指令的内存地址，而此处的下一条指令是调用的foo函数，因此这里需要将地址进行相对偏移，也就是说下一条指令的地址由内存地址80484ba变成8048491，通过计算（如下图），可以得出结论，这里的7d正是偏移地址。

• 通过上面的计算分析，要想使call指令调用getshell函数，需要修改偏移地址使EIP寄存器转至80484ba，即使用804847d-80484b5，结果如下：

2.2.2 修改文件

• 输入vi指令打开为二进制文档，再输入:%!xxd指令，查看其十六进制格式。输入/e8 7d查找，并将其修改为c3

  

• 输入指令:%!xxd -r转为二进制，存盘退出

• 验证结果

3. 问题及解决

• 首先是初学linux系统指令，还不太熟悉一些操作，需要记忆，有些指令通过问老师和同学才知道。
• 其次是EIP的指令跳转，通过老师的解释我已经初步理解了该文件是如何一步一步调用函数并最终生成结果的。

原文地址：https://www.cnblogs.com/xubuqiao/p/8525145.html