2. 程式人生 > >Linux逆向---可執行檔案程式碼靜態注入小實驗

Linux逆向---可執行檔案程式碼靜態注入小實驗

阿新 發佈:2018-12-02

分析完節頭之後,我最大的收穫就是,這麼多的01,並不是所有的都是用來執行我寫的那段輸出helloworld的程式的,而且程式碼段中有很大一段空閒空間,這就給我們一個向可執行檔案中注入自己程式碼,然後通過修改程式邏輯達到讓它去執行我們自己寫的的部分的程式碼的邏輯的機會。

這裡我們的原始碼是這樣的:

  1 #include <stdio.h>
  2 int main()
  3 {
  4     printf("hello world");
  5     return 0;
  6 }

也就是我們一直分析的原始碼,把它編譯生成可執行檔案:

gcc hello.c -o hello.out

然後執行看看:

res1

這裡我想完成兩件事:

  1. 通過對其只讀資料節的修改,讓它輸出加個換行
  2. 向程式碼中靜態注入自己的一個函式,然後讓它輸出兩次hello world

這裡我們用hexedit來協助實驗,它的用法很簡單,0-F直接輸入就可以替換原來的值,Ctrl+x儲存退出,Ctrl+c不儲存退出,知道這些就足夠了,沒有的話可以考慮安裝一個。

sudo apt-get install hexedit

1.修改只讀資料段:

這個相對容易一些,之前通過對節的分析,我們知道程式的只讀資料節位於以下位置:

[16] .rodata PROGBITS 00000000004005c0 000005c0
​ 0000000000000010 0000000000000000 A 0 0 4

即偏移為0x05c0的位置,我們檢視一下這一位置:

res2

可以看到"helloworld"這個字串並沒有頂著0x05c0的頭寫,接下來我們再看一下objdump -d hello.out中main方法的指令:

res3

可以看到,讀取這個資料的時候也考慮了偏移量。

那麼現在,為了達到修改資料段並讓函式正確輸出,我們需要做兩件事情:

  1. 修改rodata節中的內容。
  2. 修改main函式中推入暫存器的地址。

1.修改rodata節的內容

換行符的ASCII碼為10,即0x0A,把rodata之前的所有位元組往前推動一位,然後末位新增0x0A即可:

res4

2.修改main函式中的內容

我們只需要把之前的偏移減一,變成0x05c3即可:
res5
好,一切就緒,Ctrl+x儲存退出。

執行一波看看:

res6

可見我們已經用後期幫粗心的程式設計師加上了換行符。

2. 靜態注入函式

注入這個詞聽起來很高階,不過鑑於這只是一個hello world性質的實驗並且本人目前的水平還很一般,這裡其實實現的方式非常簡單,就是在空白的程式碼段的部分增添上自己的程式碼,然後修改程式邏輯讓源控制流指向自己的函式塊而已。這整個過程也是全手動實現,先不用而且也不會太高深的工具。

我們的目的是讓函式輸出兩次hello world,為了達到這個目的,我們需要做兩件事:

  1. 增加自己的函式塊
  2. 修改main函式部分

1.增加自己的函式塊

我們自己的函式邏輯與當前的main函式基本相同,所以我們可以先參考一下當前的main函式的指令

res7

前後兩行是呼叫函式固定的格式,要做的其實就是將字串移入edi暫存器,清空eax暫存器,呼叫printf函式,再清空eax暫存器即可 (到這裡我還沒有去學太多彙編相關的知識,所以有些步驟不一定是必需的,這裡只是為了保證正確性)

接下來我們只要把這些十六進位制格式的指令copy到自己的函式塊所在的地址處就行了,但其實這裡有一個關鍵的問題,我在做這個實驗的時候也被這個問題纏了一會:

觀察呼叫的函式的地址,可以發現,這個值並不直接是0x400400,而是0xfffffec7,這裡其實是有一個地址轉換過程:

  • P-這個值所在的位置:0x400535

  • F-要呼叫的函式所在的位置 0x400400

那麼呼叫地址A=F-P-4=-0x139=FFFFEFC7,(這個4也是有講究的,等看到那部分而且看懂了之後再解釋)。

所以我們在寫我們自己的函式塊的時候也要這樣計算一下,接下來的計算過程我就省略了。

首先我們找到有效程式碼段之後的一塊空白區域,比如這裡:
在這裡插入圖片描述

然後種上我們自己的程式碼,完成後是這個樣子:

res10

2.修改main函式部分

我們已經知道我們的函式的入口位於0x4006F0,值所在位置為0x400535:

res11

則呼叫地址為:0x4006F0-0x400535-4=0x1B7,所以這樣修改:
res12
修改完成,Ctrl+x儲存退出

執行一波看看:

res13

可見我們自己的函式邏輯得以執行而且輸出了想要的結果。

附加實驗

昨晚前兩個之後我突發奇想,能不能輸出除了hello world之外的內容,也就是如果把非只讀資料段位置的資料送入edi暫存器,它能不能被成功輸出?於是這裡我又加了一個實驗,首先我在偏移0x730處增加了一個字串資料:“emmm”

res14

然後我修改我的函式,增加一個指令: mov $0x400730,%edi,修改後的程式碼如下:

res16

然後執行一波可以看到:

res17

出現了我們想要的結果。

相關推薦

Linux逆向---執行檔案程式碼靜態注入實驗

分析完節頭之後,我最大的收穫就是,這麼多的01,並不是所有的都是用來執行我寫的那段輸出helloworld的程式的,而且程式碼段中有很大一段空閒空間,這就給我們一個向可執行檔案中注入自己程式碼,然後通過修改程式邏輯達到讓它去執行我們自己寫的的部分的程式碼的邏輯的機會。 這裡我們的原始碼是

linux 查詢執行檔案

轉自:https://www.cnblogs.com/binyue/p/4707948.htmlLinux下的可執行檔案Linux下如何查詢可執行檔案,作為一個Linux小菜剛剛有了這個問題,在windows中,可以通過後綴名判斷是否是可執行檔案,比如.exe,.bat等是可

Linux執行檔案格式詳解

Linux下面,目標檔案、共享物件檔案、可執行檔案都是使用ELF檔案格式來儲存的。程式經過編譯之後會輸出目標檔案,然後經過連結可以產生可執行檔案或者共享物件檔案。Linux下面使用的ELF檔案和Windows作業系統使用的PE檔案都是從Unix系統的COFF檔案格式演化來的

linux,windows 執行檔案(ELF、PE)

很早記接觸這個縮寫英文了。它是什麼意思呢?要理解這個elf檔案是還是比較容易的,如果要掌握它就花點功夫。ELF (Executable And Linkable)UNIX類作業系統中普遍採用的目標檔案格式 。首先要知道它有什麼作用:工具介面標準委員會TIS已經將ELF作為執

Linux執行檔案

Linux中寫指令碼,執行前需要轉換成可執行檔案。 例如: 寫一個名為filename.sh的shell指令碼。 執行指令碼前,用命令: chmod +x filename.sh 然後就發現f

UNIX/LINUX 平臺執行檔案格式分析

    本文討論了 UNIX/LINUX 平臺下三種主要的可執行檔案格式:a.out(assembler and link editor output 彙編器和連結編輯器的輸出)、COFF(Common Object File Format 通用物件檔案格式)、ELF(Executable and Linki

Golang 在windows下編譯Linux執行檔案

Golang 支援交叉編譯,在一個平臺上生成另一個平臺的可執行程式,最近使用了一下,非常好用,這裡備忘一下。 Windows 下編譯Linux 64位可執行程式 SET CGO_ENABLED=0 SET GOOS=linux SET GOARCH=amd64 go

使用 pyinstaller 建立執行檔案時的一個麻煩

想使用pyinstaller 建立exe檔案,首先安裝 pyinstaller :pip install pyinstaller然後 對一個python 檔案進行操作:pyinstaller -F hello.py 會在dist目錄下產生 hello.exe 但是若你的原始檔

用makefile編譯生成.a檔案linux靜態庫),並編譯進執行檔案

檔案列表: 程式碼檔案 /* 下列程式碼儲存到 plus.cpp */ int my_plus(int x,int y) { return x + y; }

C程式碼變成執行檔案的過程

C程式碼是如何變成程式的 C語言是一門典型的編譯語言,原始碼檔案需要編譯成目的碼檔案才能執行。可以認為程式檔案就是編譯好的目的碼檔案。以GCC的編譯過程為例。GCC的翻譯過程可以分成四個階段:前處理器、編譯器、彙編器、連結器,執行這四個階段的程式一起構成了一個編譯系統。 前

VS2010靜態編譯生成.exe執行檔案

VS2010靜態編譯生成的.exe可執行檔案,可以免安裝在其他電腦直接執行   靜態編譯:就是在編譯可執行檔案的時候,將可執行檔案需要呼叫的對應動態連結庫(.so)中的部分提取出來,連結到可執行檔案中去,使可執行檔案在執行的時候不依賴動態連結庫。     編譯方式: 第1種:

軟體素材---linux C語言:linux下獲取執行檔案的絕對路徑--getcwd函式

      //標頭檔案:#include <unistd.h>     //定義函式:char * getcwd(char * buf, size_t size);    

Linux C的執行檔案結構以及程序結構

(公共部分):程式碼區,BSS區,資料區. 1.程式碼區:存放可執行的指令.順便規劃局部變數的相關資訊(??).   獨有性:一份指令在記憶體(不管虛擬記憶體還是實際)中只要有一份就可以的   只讀性:彙編指令包含 操作碼+運算元;一般操作碼是不可變的,但是運算元可

Linux下檢視執行檔案、動態庫的ELF頭等資訊

      用法: readelf <option(s)> elf-file(s)       作用: 和Windows下的PE檔案類似,ELF檔案是linux系統下可執行檔案、動態庫檔案、靜態庫檔案的標準格式。有時候我們需要檢視ELF檔案的頭資訊,或者動態庫檔

Python 中使用 pyrex 生成 Linux 執行檔案

 這個問題是相當有意義的,如果有了比較好的方法,Python 完全可以用來開發商業軟體,而不用擔心原始碼洩露。     前兩天我在網上看了看,有很多的人在問這個問題。大部分的人都在用 py2exe,這是個對 Python 程式打包的東東,實際上只是在 Python 程式中找

Linux:原始碼到執行檔案(CRF++ python安裝)

這一過程又稱為編譯軟體原始碼。編譯是將原始碼(程式語言描述)翻譯成計算機處理器能識別的語言的過程。一 語言發展phase1:機器語言(數值程式碼,二進位制指令。)phase2:組合語言(有一些人理解的符號)phase3:高階程式語言(我們現在使用的語言)二 編譯程式語言(1)

Linux執行執行檔案提示No such file or directory的解決方法

最近在使用Linux作業系統執行一個可執行檔案,結果出現了No such file or directory的提示,表示很疑惑。 ./tshrf bash: ./tshref: No such file or directory 檢視檔案資訊,可以看到

Linux下安裝pyinstaller用於將py檔案打包生成一個執行檔案

(2)cd pyinstaller-2.1 執行 python setup.py install 4. 拷貝py檔案 將需打包的py檔案如test.py 拷貝到當前目錄 5. 生成可執行檔案 cd到pyinstaller目錄, 執行  python pyinstaller.py test.py可能遇到的問題1

linux下把python檔案打包成執行檔案步驟

1.安裝PyInstaller    pip install pyinstaller    pyinstaller --version2.使用PyInstaller打包python檔案  在和myscript.py同目錄下執行命令:pyinstaller mycript.py

linux下將Python指令碼打包為執行檔案

一. 下載pyinstaller 連結 二. 解壓 無需安裝,解壓即可使用 三. 輸入命令,進行打包 命令格式: pyinstaller_path/pyinstaller.py -F s