一、实验目的
1掌握NOP, JNE, JE, JMP, CMP汇编指令的机器码。
2掌握反汇编与十六进制编程器。
3能正确修改机器指令改变程序执行流程。
4能正确构造payload进行bof攻击。
二、实验环境
VMware Workstation pro环境下安装kali-linux-2025.2-installer-amd64.iso镜像
三、实验内容与实验要求
1手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数。
2利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数。
3注入一个自己制作的shellcode并运行这段shellcode。
四、实验过程与分析
实验内容一:直接修改机器指令,改变程序流程
(1)下载目标文件pwn1,反汇编
使用chmod +x pwn1指令赋予执行权限,再复制、改名
(2)计算返回地址
使用objdump -d pwn20232418_2 | more命令,对文件pwn20232418_2进行反汇编
call 8048491 "是汇编指令,main函数调用foo,对应机器指令为“ e8 d7ffffff”,让调用foo改为getShell,只要修改“d7ffffff”为,"getShell-80484ba"对应的补码c3ffffff就行。
按ESC将显示模式切换为16进制模式(:%!xxd),查找要修改的内容,修改d7为c3,转换16进制为原格式(:%!xxd -r),存盘退出vi(:wq),得到修改后的pwn20232418_2
再反汇编看一下,call指令是否正确调用getShell
实验内容二:通过构造输入参数,造成BOF攻击,改变程序执行流
从代码中 lea -0x1c(%ebp),%eax 可知,缓冲区的大小是 0x1c 字节(即 28 字节)。因为 lea 指令这里是获取缓冲区的地址,-0x1c(%ebp) 表示从 ebp 寄存器指向的地址减去 0x1c 得到缓冲区的起始地址
call调用foo,会将下一条指令的地址压入堆栈作为返回地址。观察代码,call 指令(地址 80484b5)的下一条指令地址是 80484ba,在堆栈上压上返回地址值:0x80484ba
进行调试,在调试过程中往foo函数中输入超过28字节的字符串(1111111122222222333333334444444412345678),查看各个寄存器的值,确定需要输入的地址数据
发现寄存器eip的值变为0x34333231,即得到了输入1234字符串。如果输入字符串1111111122222222333333334444444412345678,那 1234 那四个数最终会覆盖到堆栈上的返回地址,进而CPU会尝试运行这个位置的代码。那只要把这四个字符替换为 getShell 的内存地址,输给pwn1,pwn1就会运行getShell。
由为我们没法通过键盘输入\x7d\x84\x04\x08这样的16进制值,所以先生成包括这样字符串的一个文件。(\x0a表示回车,如果没有的话,在程序运行时就需要手工按一下回车键)使用16进制查看指令xxd查看input文件,然后将input的输入,通过管道符“|”,作为pwn1的输入。
实验内容二:注入Shellcode并执行
首先安装execstack命令行工具,用于查询和修改可执行文件或共享库的堆栈执行权限。 使用命令apt install execstack无法安装,我选择在Ubuntu官网中下载execstack安装包,并使用sudo dpkg -i execstack_0.0.20131005-1_1_amd64.deb命令安装。
注意:是amd.deb不是arm.deb
通过命令execstack -s pwn1,修改可执行文件的堆栈执行权限,将堆栈设置可执行,使用命令execstack -q pwn1查询文件的堆栈可执行情况,若返回X,则说明可执行;
通过命令more /proc/sys/kernel/randomize_va_space来控制地址空间布局随机化(ASLR)的级别。其中返回值2表示完全开启 ASLR,即堆栈、堆、库文件的基址都会随机化;返回值1表示部分开启 ASLR,即仅随机化堆栈、堆、库文件的基址,但 mmap 基址固定;返回值0表示完全关闭 ASLR,即所有地址固定。
通过命令echo "0" > /proc/sys/kernel/randomize_va_space 将0写入到 /proc/sys/kernel/randomize_va_space 文件。用于完全关闭ASLR,使得程序每次运行时,其堆栈、堆、库文件的地址都是固定的。 如果echo命令无效(用户无权访问),可以使用tee命令echo 0 | sudo tee /proc/sys/kernel/randomize_va_space以管理员权限将 echo 输出的 0 写入到 /proc/sys/kernel/randomize_va_space 文件中。
此处采用nop(填充)+shellcode+retaddr(缓冲区)这一构造,将shellcode放在缓冲区的前面。 shellcode的地址暂时使用\x4\x3\x2\x1占位,后续分析得到shellcode的地址后将其替换。
打开另外一个终端,使用ps -ef | grep pwn20232418_1命令找到进程的ID号,即PID,再根据其进行gdb调试。
通过设置断点,来查看注入buf的内存地址
在另外一个终端中按下回车来结束 input_shellcode,使用命令以16进制形式显示从地址0xffffd54c开始的一部分数据,发现此处有注入的0x01020304,这就是返回地址的位置。而shellcode的地址则是0xffffcf6c+4=0xffffcf70,于是应当将原先的\x4\x3\x2\x1更换为\x70\xcf\xff\xff。
将文件input_shell_20232418通过管道符作为pwn20232418_1的输入,可以发现程序可以调用getShell函数,从而获得了一个shell。
五、实验结果总结
1.实验结果分析
这次实验做了三件事,结果都成了。一是改了程序指令,把调用foo函数的机器码改成调用getShell的,运行后直接能进getShell,还能输ls这些命令。二是利用foo的溢出漏洞,弄了个超过缓冲区大小的输入,把返回地址换成getShell的地址,程序就触发getShell了。三是注入自己做的shellcode,先装了execstack设堆栈可执行、关了地址随机化,再调好shellcode地址,最后成功执行,拿到了交互shell。整个过程没出原理性问题,结果都符合预期。
2.实验心得体会
通过本次实验,我不仅掌握了 NOP、JMP 等汇编指令机器码识别、反汇编工具使用、BOF 攻击 payload 构造等实操技能,更深入理解了 x86 架构下栈帧结构与程序执行流程的底层逻辑 —— 例如通过 GDB 调试观察到输入数据覆盖返回地址时%eip寄存器的变化,直观验证了 “缓冲区溢出劫持程序流程” 的原理。实验过程中也意识到细节的重要性,如首次修改call指令补码时因计算错误导致程序段错误,后续通过重新核对 “目标函数地址 - 下一条指令地址” 的补码公式才解决问题;注入 Shellcode 时忘记关闭 ASLR 导致地址随机化,使返回地址失效,这让我明白漏洞利用对环境配置与数据精度的严格要求。同时,从 “攻击” 视角反向理解了系统防护机制的作用,如 ASLR 对地址固定的影响、堆栈不可执行属性对 Shellcode 的限制,为后续学习安全防御奠定了基础。
3.实验改进意见。
简化工具安装与调试流程,实验中因为kali虚拟机镜像版本不同,我从清华源下载的镜像后,虚拟机许多软件软件包都缺少,execstack也需要从 Ubuntu 官网下载 deb 包手动安装,学习通中的execstack包下载后解压也遇到了libelf需要应用补丁,makefile文件无法安装的问题,建议可直接提供虚拟机或者镜像来减少这部分时间的损耗。
