深入理解计算机系统|Attack Lab

最新推荐文章于 2024-01-10 19:27:08 发布
最新推荐文章于 2024-01-10 19:27:08 发布
阅读量1.7k 收藏 18
点赞数 4
分类专栏: # 深入理解计算机系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45401156/article/details/115774060
版权

文章目录

Code Injection

Phase_1

任务
执行完 getbuf 函数之后不跳转到 test 函数,而是执行 touch1 函数。

分析流程

  • 首先得到getbuf的汇编代码
    在这里插入图片描述
    得知getbuf的缓冲区大小为0x28(即40)。为了使它跳转到touch1,通过缓冲区溢出把栈帧上面的返回地址改掉;填充40字节内容+touch1地址即可。

  • 查看touch1的汇编代码
    在这里插入图片描述
    得到touch1地址为0x4017c0。

  • 小端排列逆向填充,制作相应的字符文件attack1.txt
    在这里插入图片描述

  • 执行,得
    在这里插入图片描述
    成功

Phase_2

任务
插入一段代码,使得getbuf()函数返回时,执行touch2(),而不是返回test()

分析流程

  • 分析touch2可知,我们需要把cookie作为参数传入touch2中。
    在这里插入图片描述

  • 要做的事情有

    • 注入代码,修改%rdi使它等于cookie(0x59b997fa)。
    • 改变getbuf的返回地址,使其跳转到我们输入的代码块。
    • 使注入的代码执行结束后跳转到touch2。

  • 首先观察touch2的汇编代码
    在这里插入图片描述
    得到其地址为0x4017ec。

  • 接下来编写注入代码,制作相应文件injection2.s

  • 由于retq函数是从栈顶弹出一个值进行跳转,所以除了要改变%rdi的值,还要我们要压入touch2的首地址。具体代码如下
    在这里插入图片描述
    将其编译得到
    在这里插入图片描述

  • 我们的代码从栈顶注入,所以还需要得到栈顶指针
    在这里插入图片描述

  • 在栈的开始位置为注入代码的指令序列,然后填充满至40个字节,在接下来的8个字节,也就是原来的返回地址,填充成注入代码的起始地址,也就是%rsp的地址。为了方便理解,画一下注入后的栈图
    在这里插入图片描述

  • 制作相应的字符文件attack2.txt
    在这里插入图片描述

  • 执行,得
    在这里插入图片描述
    成功

Phase_3

任务
在getbuf()函数返回的时候,执行touch3()而不是返回test()。从touch3()可以看出我们需要注入新的代码,让touch3()以为它接收到的参数是自己的cookie的字符串表示。

分析流程

  • 首先分析hexmatch得源代码
    在这里插入图片描述

查阅资料得
sprintf指的是字符串格式化命令,函数声明为 int sprintf(char *string, char *format [,argument,…]);,主要功能是把格式化的数据写入某个字符串中,即发送格式化输出到 string 所指向的字符串。sprintf 是个变参函数。使用sprintf 对于写入buffer的字符数是没有限制的,这就存在了buffer溢出的可能性。

  • 所以我们需要传入的字符串为“59b997fa”,通过查阅ASCII表,将其转为16进制序列“35 39 62 39 39 37 66 61 00”。我们要将这个序列赋值给%rdi作为参数传入函数,但是字符串类型无法直接传递,我们要把它存进内存

  • 在hexmatch中,由于有
    在这里插入图片描述
    考虑到getbuf栈帧大小,所以把字符串放进getbuf栈帧并不安全。所以考虑将字符串放在test栈帧。剩下的工作就和任务二类似

  • 利用gdb得到test的栈顶地址
    在这里插入图片描述
    可知是0x5561dca8

  • 再查看touch3的开始地址
    在这里插入图片描述
    可知是0x4018fa

  • 编写注入代码,制作相应文件injection3.s
    在这里插入图片描述

  • 将其编译得到
    在这里插入图片描述

  • 画出栈图
    在这里插入图片描述

  • 制作相应的字符文件attack3.txt
    在这里插入图片描述

  • 执行,得
    在这里插入图片描述
    成功

R O P

在这里插入图片描述
首先将farm.c编译,得到一个gadget farm
在这里插入图片描述

Phase_4

  • 任务和Phase_2相同,但是要使用rop方式进行攻击
  • 考虑的攻击方式为:通过缓冲区溢出漏洞将cookie写入栈,然后把它pop到某寄存器,再把它move到%rdi中
  • 为方便理解,画出栈图
    在这里插入图片描述
  • 由此我们需要的汇编代码为
popq %rax
movq %rax, %rdi

  • 查表可知指令字节分别为:58,48 89 c7

  • 回到farm中查找,得到
    在这里插入图片描述
    在这里插入图片描述
    得到两条指令的地址:0x17,0x0e。

  • 制作相应的字符文件attack4.txt
    在这里插入图片描述

  • 执行,得
    在这里插入图片描述
    失败

  • 应该是farm里的指令地址出了问题。查询资料得知是没有把farm编译为可执行代码。

  • 重新利用gdb查找指令地址
    在这里插入图片描述
    得到指令地址分别为:0x4019ab,0x4019a2

  • 编写字符文件
    在这里插入图片描述

  • 重新执行
    在这里插入图片描述
    成功

Phase_5

  • 任务和Phase_3相同,但是要使用rop方式进行攻击。

  • 但是由于每一次栈的位置是随机的,不能再像之前直接通过地址来索引字符串的起始地址,考虑先动态获取每次栈顶指针再加上偏移量来索引字符串的地址,再把地址传送到%rdi,调用touch3。

  • 需要做的事情有

    • 获取%rsp的地址。
    • 获取字符偏移量。
    • 计算得到字符串首地址再传送到%rdi。
    • 调用touch3。

  • 查找farm,得到

    • movq %rsp,%rax 的指令字节为48 89 e0,地址为0x401a06
      在这里插入图片描述
      在这里插入图片描述
    • movq %rax, %rdi的指令字节为48 89 c7,地址为0x4019a2
      在这里插入图片描述
      在这里插入图片描述
    • popq %rax的指令字节为58,地址为0x4019cc
      在这里插入图片描述
      在这里插入图片描述
    • movl %eax, %edx的指令字节为89 c2,地址为0x4019dd
      在这里插入图片描述
      在这里插入图片描述
    • movl %edx, %ecx的指令字节为89 d1,地址为0x401a70
      在这里插入图片描述
      在这里插入图片描述
    • movl %ecx, %esi的指令字节为89 ce,地址为0x401a13
      在这里插入图片描述
      在这里插入图片描述
    • lea (%rdi,%rsi,1),%rax的地址为0x4019d6
      在这里插入图片描述
      在这里插入图片描述
    • movq %rax, %rdi的指令字节为48 89 c7,地址为0x4019a2
      在这里插入图片描述
      在这里插入图片描述

  • 至此,字符串的地址已经被放进了%rdi中,画个栈图理清一下思路
    在这里插入图片描述
    可知偏移量为8*9=72,即为0x48

  • 制作相应的字符文件attack5.txt
    在这里插入图片描述
    在这里插入图片描述

  • 执行,得
    在这里插入图片描述
    成功

小结

在实验过程中对于栈有了更加深刻的理解,同时认识到了缓冲区溢出的危害。对于gcc和objdump的使用更加熟练

陰丹士林藍
关注
专栏目录
深入理解计算机系统attack lab
peanWang的博客
05-26 4万+
Attack lab
CS:APP Lab 深入理解计算机系统 实验 Attack lab
011eH
10-02 494
Attack lab 如何实验:实验文档 生成反汇编文件以便查看 objdump -d ctarget>ctarget.txt hex2raw:将Input.txt中的16进制转换字符串 在文档中写入16进制数后,使用 ./hex2raw <Input.txt >answer.txt 运行程序 -q 不输出结果给服务器,-i 以文件输入,如下方 ./rtarget -qi answer.txt 程序 void test() { int val; val = getbuf();
CSAPP:深入理解计算机系统 AttackLab
m0_51277527的博客
12-09 1129
目的:1、深入理解当程序没有对缓冲区溢出做足够防范时,攻击者可以利用安全漏洞的方法。2、更好地了解如何编写更安全的程序,以及编译器和操作系统提供一些帮助,以减少程序的易受攻击性。3、深入了解x86-64机器代码的堆栈和参数传递机制。4、深入了解x86-64指令的编码方式。5、熟练使用gdb和objdump等调试工具。文件说明ctarget:一个容易遭受code injection攻击的可执行程序。
Attack Lab
jokerMingge的博客
10-23 702
从下载完所需实验包后,内有官方文档以及.tar压缩包,使用解压后,得到如下文件kinclude:attacksattacks我们还是将答案保存在answer.txt,这里运行要用-q,(参考官方文档)毕竟不是 CMU 的学生,-q的作用:。这次的 lab 要仔细看官方的文档,里面是题目的要求,也包含解题指导,对解决问题很有帮助。这次 lab 就是输入攻击字符串,实现调用函数等目的,包含了对栈破坏,注入代码,ROP 攻击等方法,说明了栈溢出的危害。这里要使用。
计算机系统基础实验 AttackLab
凌阳的博客
06-18 2801
本文是作者的作业备份,仅作参考,不可照搬抄袭!本实验分为五个阶段,ctarget的三个使用的是CI(code-injection),rtarget的两个阶段使用的是ROP(return-oriented-programming),如表1所示ctarget和rtarget都是用getbuf函数从标准输入读入字符串,getbuf函数定义如下:函数Gets类似于标准库函数gets,从标准输入读入一个字符串(以’\n’或者end-of-file结束),将字符串(带null结束符)存储在指定的目的地址。从这段代码可以
深入理解计算机系统(3)——attack lab
学渣日记
05-08 2068
目录用到的指令第一部分:Code Injection Attacksphase 1phase 2phase 3第二部分:Return-Oriented Programming Attacksphase 4phase 5 用到的指令 名字 用途 ./hew2raw <1.txt> p1.txt 将攻击字符串转化为可读取格式 gcc -c 1.s 编译生成1.o文件 objdump -d 1.o(or ctarget)>1.txt 反汇编输出含机器码的语句 ./ct
CSAPP: Attacklab
Rachel_IS的博客
11-21 2354
命运多舛的attacklab 从上周卡到今天,愣是卡死在phase2 一度以为这次要gg了… 不过今天心理学课灵感大开!!瞬间写完!!开心???????????????? 来总结一下曲折的经历叭~ 这个lab真的能让人学会很多gdb的操作 先objdump -d 出需要的反汇编代码 先简要描述一下这个lab在干什么: 有一个函数getbuf通过调用Gets 获得你输入的字符串,你可以利用栈溢出修改返回地址和进行一系列操...
深入理解计算机系统(CSAPP) attack-lab详解
独小雪的博客
07-30 2311
深入理解计算机系统(CSAPP) attack-lab详解 下载实验用的程序戳这里 戳这里下载实验说明 开始 target1里的两个程序,ctraget和rtarget,都有缓冲区溢出的bug。实验要求我们做的,是利用这些bug,让程序通过缓冲区溢出,执行我们想执行的代码。下载的文件夹里,ctarget是做代码注入攻击 (code-injection attacks) 用的。rtarget,还有后面的cookie.txt、hex2raw、farm.c都和后面的ROP攻击(return-oriented-pr
深入理解计算机系统》-AttackLab学习笔记
Luminous
02-21 686
这个实验在第三章学完后就可以做了,内容主要就是3.10.3和3.10.4的部分,主要目标是熟悉两种攻击程序的方式:代码注入(Code Injection,CI)和面向返回编程(Return Oriented Programming,ROP) Let’s Hack! 实验说明 首先还是提醒一下,每个人的程序可能是不一样的,所以答案只是参考,但方法是通用的 目标程序:ctarget和rtarget,分别是在CI阶段和ROP阶段存在漏洞的程序。使用-q选项来避免将分数发到服务器,否则会出现illegal ho
【DNS缓存中毒实验】SEED lab:DNS Remote Attack Lab The Kaminsky Attack
04-11
DNS(域名系统)是互联网的重要组成部分,它负责将人类易读的域名转换为...通过这个实验,你不仅能深入理解DNS缓存中毒的威胁,还能了解到如何预防和检测这类攻击,对于提升个人或组织的网络安全防护能力具有重要意义。
3-Attack Lab
qq_38966867的博客
07-22 278
3-Attack Lab 1. level 1 利用栈溢出覆盖getbuf函数的返回地址 答案 前五行是正常写入buf的数据,第六行是touch1的地址0x4017c0,用于覆盖getbuf()函数的正常返回地址。注意写入的数据不能是0x0a,这个数字表述“\n”,Get()函数遇到0xa会终止。 2. level 2 注入可执行代码 那么如何让程序去执行我们的代码呢?既然我们可以向栈中写入任意内容并且可以设置返回时跳转到的地址,那么我们就可以通过在栈中写入指令,再令从getbuf函数返回的地址为我们栈
CSAPP Lab3:Attack Lab
倪多多的博客
05-16 9607
该实验是《深入理解计算机系统》(英文缩写CSAPP)课程附带实验——Lab3:Attack Lab,和Lab 2:Bomb Lab都对应书中第三章内容(程序的机器级表示),该实验分为代码注入或面向返回的编程两部分,进行缓冲区溢出攻击。
【CSAPP】AttackLab
热门推荐
朝花夕拾
11-03 2万+
这份史上最全的CSAPP之AttackLab实验讲解汇总绝对是攻克这一难题的最佳利器!无论你是刚刚踏入计算机科学的大门,还是已经是一位经验丰富的程序员,这万字详解都将对你产生深远的影响。从最基础的概念到高级的技巧,每一个步骤都被超全面、超详细地剖析。这篇文章是你攻克CSAPP AttackLab的不二之选,不容错过!收藏它,它将成为你的最佳学习伴侣,引领你通往计算机科学的精彩世界!
深入理解计算机系统》实验三Attack Lab
达的程序员日记
11-02 6884
深入理解计算机系统》实验三Attack Lab个人思路和过程
Attack Lab----深入理解计算机系统
weixin_53016579的博客
04-23 2209
阅读(writeup)文件,可以知道该实验分为两大部分。书ctarget是易受代码注入攻击的可执行程序,利用 代码注入(Code injection) 攻击该程序rtarget是易受面向返回的编程攻击的可执行程序,利用 返回导向编程(Return-oriented programming) 攻击该程序另外,如果在 ubuntu 系统上直接运行这两个程序,是无法运行的,因为服务器没有使用 CMU 的内网,无法建立连接。如下在中也提供了解决方法,如下运行程序时,传入命令参数-h可以打印可能的命令行参数列表;
CSAPP-Attack-Lab
H-ZeX Coding Life
09-16 543
CSAPP Attack Lab 本文所有答案都是传给hex2raw的文本,hex2raw会在转换好的字符串后添加换行符,所以答案里没有换行符 第一题答案aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa /*
计算机系统基础实训三—AttackLab实验
最新发布
zyx210603的博客
01-10 2251
通过这两个验室,我显著提高了使用GDB的熟练程度,并对程序执行有了更深入的了解。实验室的结构化和循序渐进的设计有助于以启发性的方式学习。老师提供的富有洞察力和清晰的图片提示对减少混淆非常有帮助。展望未来,提供更多真实世界的案例、调试练习的错误场景、程序执行的可视化、编码练习将进一步增强学习体验。我也会继续通过积极的练习来磨练我自己的GDB调试技能。
[CS:APP] Attack Lab
Aria461863631的博客
08-30 1005
Part 1:缓冲区溢出攻击 Part 2:ROP
深入理解计算机系统bomb lab
peanWang的博客
05-19 9739
Data lab 一:实验梗概 二:实验指南 三:工具 四:实验内容
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值