more是可以分页显示的可执行文件，管道“|”的作用就是把前面的执行结果放到后面的"more"里面

那我们想让它调用getShell，只要修改“d7ffffff”为 "getShell-80484ba"对应的补码就行

0804847d-80484ba=ffffffc3

于是我们修改可执行文件，将其中的call指令的目标地址由d7ffffff变为c3ffffff：

对pwn2反汇编，检验是否修改正确

运行改后的代码，会得到shell提示符

如上图所示，我们已经完成了对对应文件的修改。原来的可执行文件的功能是输入一段字符串，程序会重复输出该字符串，现在我们的程序变成了打开一个“命令行”。我们执行了ls命令后，成功打印出了当前目录下的所有文件

3 通过构造输入参数，造成BOF攻击，改变程序执行流

3.1 反汇编，了解程序的基本功能

对pwn1反汇编。该可执行文件正常运行是调用函数foo。foo函数有Buffer overflow漏洞：foo读入字符串，但系统只预留了（28）字节的缓冲区，超出部分会造成溢出，我们的目标是覆盖返回地址

3.2 确认输入字符串哪几个字符会覆盖到返回地址

3.2.1安装gdb

在终端中输入gdb -v，若找不到该命令，则需先进行安装操作

sudo chmod a+w /etc/apt/sources.list
sudo chmod a-w /etc/apt/sources.list
sudo su
apt-get update
apt-get install gdb

最后再通过gdb -v，显示出版本号即为安装成功。

3.2.2分析覆盖返回地址的字符

输入为1111111122222222333333334444444455555555时可以看到eip的值0x35353535，也就是5555的ASCII码

输入字符串1111111122222222333333334444444412345678，发现eip的值为0x34333231，即1234（小端）的ASCII码。

那只要把这四个字符替换为 getShell 的内存地址，输给pwn1，pwn1就会运行getShell。

3.3 确认用什么值来覆盖返回地址

之前反汇编时我们已知getShell的内存地址0x0804847d，由1234对应0x34333231分析出应该是小端写法，所以我们应当输入11111111222222223333333344444444\x7d\x84\x04\x08

对比之前 eip 0x34333231 0x34333231，验证了输入正确

3.4 构造输入字符串

按指导书进行操作，最终获取shell

我们没法通过键盘输入\x7d\x84\x04\x08这样的16进制值，所以先生成包括这样字符串的一个文件。\x0a表示回车。使用输出重定向“>”将perl生成的字符串存储到文件input中。

使用16进制查看指令xxd查看input文件的内容是否如预期，然后将input的输入，通过管道符“|”，作为pwn1的输入

可以看到攻击成功，获取了一个交互式的shell

4. 注入Shellcode并执行

4.1 准备一段Shellcode

shellcode就是一段机器指令（code）

通常这段机器指令的目的是为获取一个交互式的shell（像linux的shell或类似windows下的cmd.exe），
所以这段机器指令被称为shellcode。
在实际的应用中，凡是用来注入的机器指令段都通称为shellcode，像添加一个用户、运行一条指令。

4.2 准备工作

输入sudo apt-get install execstack ，安装execstack命令，如果安装失败可参考以下连接

Kali Linux E:Unable to locate package 完美解决

按教程进行操作：

先通过execstack - s指令来设置堆栈可执行
再用execstack -q 指令查询文件的堆栈是否可执行
检查发现randomize_va_space为2，即地址随机化保护是开启的

关闭地址随机化
检查发现randomize_va_space为0，即地址随机化保护是关闭的

4.3 构造要注入的payload

Linux下有两种基本构造攻击buf的方法：
retaddr+nop+shellcode
nop+shellcode+retaddr。
因为retaddr在缓冲区的位置是固定的，shellcode要不在它前面，要不在它后面。
简单说缓冲区小就把shellcode放后边，缓冲区大就把shellcode放前边

--

我们这个buf够放这个shellcode了，所以shellcode放后边

结构为：retaddr+nop+shellcode（指导书里此处是坑）

nop一为是了填充，二是作为“着陆区/滑行区”。
我们猜的返回地址只要落在任何一个nop上，自然会滑到我们的shellcode。

打开两个终端，都进入root模式

终端1注入攻击buf，回车一次即可，不要出现指导书里的乱码

打开终端2，用gdb来调试pwn1这个进程

终端2执行到上图位置时，在终端1中按下回车，此时终端1出现乱码

终端2继续执行，看到 01020304了，就是返回地址的位置。shellcode就在后面，所以地址是 0xffffd320

将 0xffffd320放进shellcode，运行后发现成功获取shell，攻击成功

4.5 结合nc模拟远程攻击

我用的是本机上的两个虚拟机，靶机为kali，攻击机为ubuntu。二者互ping可通

靶机

ip：192.168.137.142

靶机输入以下命令

nc -lvnp 1324 -e ./pwn20201324

攻击机

ip：192.168.137.136

perl -e 'print "11111111222222223333333344444444\x7d\x84\x04\x08\x0a"' > input
(cat input; cat) | nc 192.168.137.142 1324

然后就能获取靶机的shell

6 实践总结
6.1问题与解决

我遇到的主要是虚拟机本身的个性化问题，还有自己操作不熟练的问题。比如zsh: permission denied、E:Unable to locate package等报错，解决方法已经在对应部分给出

除此之外在原理理解上可能也比较困难，比如 3.2.2分析覆盖返回地址的字符 那一部分中，我就不太能理解验证原理。经询问老师，发现指导书步骤不太全面。调试到断点以后，应该是再继续执行几条指令，等到foo执行完毕，return的时候，再检查eip的值，这时的值应该是我们注入的那个值，因而验证注入正确。但我的单步调试一直出问题，现在还没有跑出来，如果有朋友实现出来可以在评论区教我一下，感谢~

比较自豪的是在4.3那一节没有跳进老师挖的坑。仔细阅读一下前面的导入就会发现，既然我们的buf够放这个shellcode了，那么按前文的逻辑shellcode就应该放后边，所以我把指导书翻到后面，发现果然是坑

6.2实验体会

总而言之，按指导书一步步做不会有太大问题，对我来说理解原理其实更费力一点。

实验大概分了三个层次，难度应该是递增的，但我感觉一旦掌握了基本的思路和原理，反而是越来越简单的。我自己好像就是第一部分花的时间最长。所以建议大家不要有畏难情绪，慢慢熟悉（kali比ubuntu好用多了就是说）

我能想到的大家可能遇到的问题应该都写在文章里了，大家要是有其他问题欢迎评论或私聊 ૧(●´৺`●)૭

人比较菜，好多地方理解的感觉也不太到位，如有问题欢迎大家批评指正 o(≧v≦)o