网络安全最全计算机系统基础实训三—AttackLab实验(1)

要求攻击字符串的执行不许绕开代码中的validate函数，缓冲区溢出之后对应ret的返回地址可以是以下类型：

1.函数touch1、touch2、touch3的首地址；

2.自行注入的攻击的首地址；

3.在后两个阶段中（ROP攻击），与farm.c的对应的可利用的gadget的起始地址，farm.c对应的机器码已经包含在可执行文件中。可以使用的gadget首地址需处于start_farm和end_farm之间的部分。

注意：前三个阶段使用ctarget作为攻击目标文件，后两个阶段中使用rtarget作为攻击目标文件。

每个阶段考察一个缓冲区溢出方式，难度逐级递增：

n阶段1：使用非ROP方式对ctarget进行攻击，调用touch1，且成功输出Touch1!: You called touch1。若不完全满足题目要求，则会提示“Misfire”和FAIL相关字段。

n阶段2：使用非ROP方式对ctarget进行攻击，调用touch2，且成功输出Touch2!: You called touch2。攻击过程中需要改写cookie变量的值。若不完全满足题目要求，则会提示“Misfire” 和FAIL相关字段。

n阶段3：使用非ROP方式对ctarget进行攻击，调用touch3，且成功输出Touch3!: You called touch3。攻击过程中需要使hexmatch的返回值能够正确引导validate函数。若不完全满足题目要求，则会提示“Misfire” 和FAIL相关字段。

n阶段4：使用ROP方式对rtarget进行攻击，调用touch2，且成功输出Touch2!: You called touch2。若不完全满足题目要求，则会提示“Misfire” 和FAIL相关字段。

n阶段5：使用ROP方式对rtarget进行攻击，调用touch3，且成功输出Touch3!: You called touch3。若不完全满足题目要求，则会提示“Misfire” 和FAIL相关字段。

ctarget和rtarget都从standard input读入数据，可以以重定向文件的形式进行输入。实验利用getbuf函数中的缓冲区。getbuf函数的结构如下：

unsigned getbuf()

{

char buf[BUFFER_SIZE];

Gets(buf);

return 1;

}

函数中的Gets函数与标准库中的gets函数类似，它从standard input中读取字符（以\n或者EOF结尾）并将它们添加字符串结尾符\0后存入缓冲区中。学生需要根据ctarget和rtarget文件及其反汇编代码来确定缓冲区位置及大小，并想办法构建出攻击字符串。

实验设备与软件环境

1．Linux操作系统—64位Ubuntu 18.04

2. gdb调试器和objdump反汇编指令

3. 笔记本

实验过程与结果（可贴图）

ctarget的函数调用链：main() -> test() -> getbuf() -> Gets()

我的cookie值为：0x49e7ed15

现将ctarget生成汇编代码，开始做题：

阶段1

首先查看getbuf的汇编代码：objdump -d ./ctarget

实验过程与结果（可贴图）

ctarget的函数调用链：main() -> test() -> getbuf() -> Gets()

我的cookie值为：0x49e7ed15

现将ctarget生成汇编代码，开始做题：

阶段1

首先查看getbuf的汇编代码：objdump -d ./ctarget

从中可以看出BUFFER_SIZE的大小是56 (16进制 0x38)，retq指令作用等价于：可以通过objdump -d命令查看ctarget的汇编代码，从而设计自己的注入字符串。

反汇编函数test

反汇编touch1

touch1函数的起始地址为0x4018e5。getbuf在栈中分配了56个字节的内存来存储输入数据。在执行ret指令后，从%rsp+56处获得返回地址，因此我们需要来利用缓冲区溢出覆盖掉其返回地址，就可以将返回地址修改为touch1的起始地址。

构造合适的字节序列（16进制表示），写到文件phase1.txt 中。

我的机器使用 小端法 。e5 18 40 00 00 00 00 00 表示的地址就是 0x4018e5

执行以下指令进行测试

cat phase1.txt | ./hex2raw | ./ctarget -q

阶段2

在第二个实验中需要在注入字符串中加入一小段的代码

Touch2的起始地址为0x401913，而“cmp    %edi,0x203bdb(%rip) ”说明touch2中的val则存在$edi中。也就是我们需要先将edi中的值设置为cookie,然后再跳转到touch2执行。

建立phase2.s文档，输入注入代码内容为：

利用gcc -c phase2.s和objdump -d phase2.o命令得到机器代码：

可以得到三条指令序列如下：

48 c7 c7 15 ed e7 49 68 13 19 40 00 c3

接下来就是寻找%rsp的地址，利用gdb进行调试

地址为0x5561fe38，如上所示，我们获取到了%rsp的地址，结合上文所讲，可以构造出如下字符串，在栈的开始位置为注入代码的指令序列，然后填充满至56个字节，在接下来的8个字节，也就是原来的返回地址，填充成注入代码的起始地址，也就是%rsp的地址，可以得到如下字符串：

阶段3

反汇编代码

参数是一个指针变量（即为内存地址），使用gdb调式得到这个地址量

函数test输入参数所在的内存地址为0x5561fe30，touch3起始地址为0x401a2a，模仿第二关的操作，新建phase3.s,先写出攻击代码的汇编

可以得到三条指令序列如下：

48 c7 c7 78 fe 61 55 68 2a 1a 40 00 c3

在hexmatch代码中我们可以看出需要让touch3参数val等于我的cookie字符的字符串表示。

我的cookie:0x49e7ed15

字符串表示为：34 39 65 37 65 64 31 35

找到%rsp的地址

得%rsp地址为0x5561fe38

得到字符串如下：

验证：

阶段4

与第二关相同，需要我们修改返回地址，调用touch2函数

其中两行攻击的代码是第二关的首地址：401913，还有Cookie值：49e7ed15

利用老师给的四张图

结合网上的教程，test 函数调用 getbuf 返回时，由于无法再像第一部分那用在栈中注入攻击代码。所以需要跳转到合适的 gadget 指令。

popq %rax #将cookie弹入 %rax 中

movq %rax,%rdi #将 %rax 的值复制到 %rdi 中，即 touch2 函数中的第一个参数。

有上述图可知：

popq %rax → 58

movq %rax,%rdi → 48 89 c7

将rtarget进行反汇编

得到有两个答案

阶段5（没做出来）

我直接翻译每一个可通过表格的代码

同样将 cookie 写到栈中，并将其地址传入 %rdi 寄存器。栈的位置是随机的，我们这时候若要将cookie放在栈中，则没有办法通过绝对的地址访问到cookie，因此可以采取偏移量的计算方法，用相对地址访问。

计算相对地址需要使用%rsp寄存器保存的地址，因此想办法用gadget进行获取

由于要进行地址计算，而attacklab中给出的字节形式表格的指令只有mov，pop，ret和nop等指令，并没有lea用于计算

查看寻找gadget的gadget farm，有唯一加法函数：

通过这个函数来实现加法，因为lea (%rdi,%rsi,1) %rax就是%rax = %rdi + %rsi。所以，只要能够让%rdi和%rsi其中一个保存%rsp，另一个保存从stack中pop出来的偏移值，就可以表示cookie存放的地址，然后把这个地址mov到%rdi就大功告成了。

从%rax并不能直接mov到%rsi，而只能通过%eax->%edx->%ecx->%esi来完成这个。所以，兵分两路:

1.把%rsp存放到%rdi中

2.把偏移值(需要确定指令数后才能确定)存放到%rsi中

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供：

因篇幅有限，仅展示部分资料

网络安全面试题

绿盟护网行动

还有大家最喜欢的黑客技术

网络安全源码合集+工具包

所有资料共282G，朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》，可以扫描下方二维码领取（如遇扫码问题，可以在评论区留言领取哦）~

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！