计算机系统基础实训三—AttackLab实验，2年以上经验必看

先自我介绍一下，小编浙江大学毕业，去过华为、字节跳动等大厂，目前阿里P7

深知大多数程序员，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年最新网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新

如果你需要这些资料，可以添加V获取：vip204888 （备注网络安全）

正文

从中可以看出BUFFER_SIZE的大小是56 (16进制 0x38)，retq指令作用等价于：可以通过objdump -d命令查看ctarget的汇编代码，从而设计自己的注入字符串。

反汇编函数test

反汇编touch1

touch1函数的起始地址为0x4018e5。getbuf在栈中分配了56个字节的内存来存储输入数据。在执行ret指令后，从%rsp+56处获得返回地址，因此我们需要来利用缓冲区溢出覆盖掉其返回地址，就可以将返回地址修改为touch1的起始地址。

构造合适的字节序列（16进制表示），写到文件phase1.txt 中。

我的机器使用 小端法 。e5 18 40 00 00 00 00 00 表示的地址就是 0x4018e5

执行以下指令进行测试

cat phase1.txt | ./hex2raw | ./ctarget -q

阶段2

在第二个实验中需要在注入字符串中加入一小段的代码

Touch2的起始地址为0x401913，而“cmp    %edi,0x203bdb(%rip) ”说明touch2中的val则存在$edi中。也就是我们需要先将edi中的值设置为cookie,然后再跳转到touch2执行。

建立phase2.s文档，输入注入代码内容为：

利用gcc -c phase2.s和objdump -d phase2.o命令得到机器代码：

可以得到三条指令序列如下：

48 c7 c7 15 ed e7 49 68 13 19 40 00 c3

接下来就是寻找%rsp的地址，利用gdb进行调试

地址为0x5561fe38，如上所示，我们获取到了%rsp的地址，结合上文所讲，可以构造出如下字符串，在栈的开始位置为注入代码的指令序列，然后填充满至56个字节，在接下来的8个字节，也就是原来的返回地址，填充成注入代码的起始地址，也就是%rsp的地址，可以得到如下字符串：

阶段3

反汇编代码

参数是一个指针变量（即为内存地址），使用gdb调式得到这个地址量

函数test输入参数所在的内存地址为0x5561fe30，touch3起始地址为0x401a2a，模仿第二关的操作，新建phase3.s,先写出攻击代码的汇编

可以得到三条指令序列如下：

48 c7 c7 78 fe 61 55 68 2a 1a 40 00 c3

在hexmatch代码中我们可以看出需要让touch3参数val等于我的cookie字符的字符串表示。

我的cookie:0x49e7ed15

字符串表示为：34 39 65 37 65 64 31 35

找到%rsp的地址

得%rsp地址为0x5561fe38

得到字符串如下：

验证：

阶段4

与第二关相同，需要我们修改返回地址，调用touch2函数

其中两行攻击的代码是第二关的首地址：401913，还有Cookie值：49e7ed15

利用老师给的四张图

结合网上的教程，test 函数调用 getbuf 返回时，由于无法再像第一部分那用在栈中注入攻击代码。所以需要跳转到合适的 gadget 指令。

popq %rax #将cookie弹入 %rax 中

movq %rax,%rdi #将 %rax 的值复制到 %rdi 中，即 touch2 函数中的第一个参数。

有上述图可知：

popq %rax → 58

movq %rax,%rdi → 48 89 c7

将rtarget进行反汇编

得到有两个答案

阶段5（没做出来）

我直接翻译每一个可通过表格的代码

同样将 cookie 写到栈中，并将其地址传入 %rdi 寄存器。栈的位置是随机的，我们这时候若要将cookie放在栈中，则没有办法通过绝对的地址访问到cookie，因此可以采取偏移量的计算方法，用相对地址访问。

计算相对地址需要使用%rsp寄存器保存的地址，因此想办法用gadget进行获取

由于要进行地址计算，而attacklab中给出的字节形式表格的指令只有mov，pop，ret和nop等指令，并没有lea用于计算

查看寻找gadget的gadget farm，有唯一加法函数：

通过这个函数来实现加法，因为lea (%rdi,%rsi,1) %rax就是%rax = %rdi + %rsi。所以，只要能够让%rdi和%rsi其中一个保存%rsp，另一个保存从stack中pop出来的偏移值，就可以表示cookie存放的地址，然后把这个地址mov到%rdi就大功告成了。

从%rax并不能直接mov到%rsi，而只能通过%eax->%edx->%ecx->%esi来完成这个。所以，兵分两路:

1.把%rsp存放到%rdi中

2.把偏移值(需要确定指令数后才能确定)存放到%rsi中

然后，再用lea那条指令把这两个结果的和存放到%rax中，再movq到%rdi中就完成了。

值得注意的是，上面两路完成任务的寄存器不能互换，因为从%eax到%esi这条路线上面的mov都是4个byte的操作，如果对%rsp的值采用这条路线，%rsp的值会被截断掉，最后的结果就错了。但是偏移值不会，因为4个bytes足够表示了。

movq   %rsp,%rax

movq   %rax,%rdi

popq  %rax

偏移值=48

movl  %eax,%edx

movl  %edx,%ecx

movl  %ecx,%esi

lea   (%rdi,%rsi,1),%rax

movq   %rax,%rdi

Touch3

Cookie

第一步，获取到%rsp的地址，movq%rsp,%rax的指令字节为: 48 89 e0,所以这一步的gadget地址为: 401b86+3=401b89

第二步，将%rax的内容传送到%rdimovq %rax,%rdi的指令字节为: 48 89c7所以这一步的gadget地址为: 401afc+1=401afd

第三步，将偏移量的内容弹出到%raxpopq %rax的指令字节为: 58，其中c3为返回指令所以这一步的gadget地址为: 401ae7+3=401aea

学习路线：

这个方向初期比较容易入门一些，掌握一些基本技术，拿起各种现成的工具就可以开黑了。不过，要想从脚本小子变成黑客大神，这个方向越往后，需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容：

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化的资料的朋友，可以添加V获取：vip204888 （备注网络安全）

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

blog.csdnimg.cn/7a04c5d629f1415a9e35662316578e07.png#pic_center)

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化的资料的朋友，可以添加V获取：vip204888 （备注网络安全）
[外链图片转存中…(img-gAamVj4r-1713281433479)]

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！