计算机系统--实验三AttackLab实验

已于 2023-12-28 19:20:10 修改
阅读量2.8k 收藏 44
点赞数 34
文章标签: 网络 安全 linux 汇编 ubuntu
于 2023-12-16 14:19:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52363821/article/details/135031763
版权

实验目的与要求

1. 强化机器级表示、汇编语言、调试器和逆向工程等方面基础知识,并结合栈帧工作原理实现简单的栈溢出攻击,掌握其基本攻击基本方式和原理,进一步为编程过程中应对栈溢出攻击打下一定的基础。

2. 理解缓冲区的工作原理和字符填充过程及其特点。对于无边界检测的语言及其工作方式所造成的缓冲区漏洞加深理解。

3. 通过字符串填充的方式,完成5个阶段的缓冲区攻击。分别基于基本返回地址填充、攻击代码填充、ROP等实现这5个难度递增的阶段的缓冲区溢出攻击。

实验原理与内容

“AttackLab”是一个Linux下的可执行C程序,包含了5个阶段(phase1~phase5)的不同内容。程序运行过程中,要求学生能够根据缓冲区的工作方式和程序的反汇编代码来确定攻击字符串长度和字符串中的关键内容。每次成功实现缓冲区溢出攻击时都会有提示相应内容,如果攻击失败则单纯的提示segmentation fault相关信息。

要求攻击字符串的执行不许绕开代码中的validate函数,缓冲区溢出之后对应ret的返回地址可以是以下类型:

1.函数touch1、touch2、touch3的首地址;

2.自行注入的攻击的首地址;

3.在后两个阶段中(ROP攻击),与farm.c的对应的可利用的gadget的起始地址,farm.c对应的机器码已经包含在可执行文件中。可以使用的gadget首地址需处于start_farm和end_farm之间的部分。

注意前三个阶段使用ctarget作为攻击目标文件,后两个阶段中使用rtarget作为攻击目标文件。

每个阶段考察一个缓冲区溢出方式,难度逐级递增: 

  1. 阶段1:使用非ROP方式对ctarget进行攻击,调用touch1,且成功输出Touch1!: You called touch1。若不完全满足题目要求,则会提示“Misfire”和FAIL相关字段。
  2. 阶段2:使用非ROP方式对ctarget进行攻击,调用touch2,且成功输出Touch2!: You called touch2。攻击过程中需要改写cookie变量的值。若不完全满足题目要求,则会提示“Misfire” 和FAIL相关字段。
  3. 阶段3:使用非ROP方式对ctarget进行攻击,调用touch3,且成功输出Touch3!: You called touch3。攻击过程中需要使hexmatch的返回值能够正确引导validate函数。若不完全满足题目要求,则会提示“Misfire” 和FAIL相关字段。
  4. 阶段4:使用ROP方式对rtarget进行攻击,调用touch2,且成功输出Touch2!: You called touch2。若不完全满足题目要求,则会提示“Misfire” 和FAIL相关字段。
  5. 阶段5:使用ROP方式对rtarget进行攻击,调用touch3,且成功输出Touch3!: You called touch3。若不完全满足题目要求,则会提示“Misfire” 和FAIL相关字段。

ctarget和rtarget都从standard input读入数据,可以以重定向文件的形式进行输入。实验利用getbuf函数中的缓冲区。getbuf函数的结构如下:

unsigned getbuf()

{

char buf[BUFFER_SIZE];

Gets(buf);

return 1;

}

函数中的Gets函数与标准库中的gets函数类似,它从standard input中读取字符(以\n或者EOF结尾)并将它们添加字符串结尾符\0后存入缓冲区中。学生需要根据ctarget和rtarget文件及其反汇编代码来确定缓冲区位置及大小,并想办法构建出攻击字符串。

实验设备与软件环境

1.Linux操作系统—64位Ubuntu 18.04

2. gdb调试器和objdump反汇编指令

3. 笔记本

实验过程与结果

一、准备工作

        1、反汇编:

  1. 反编译
objdump -S ctarget > ctarget.s
objdump -S rtarget > rtarget.s

二、实验过程

        1、phase_1

        任务:在中输入过多的char,导致栈溢出,修改getbuf的返回地址,导致不跳回test,而是直接跳到touch1。

getbuf读取的栈大小是0x28(是十六进制的) = 40 bytes

函数touch1的地址是:000000000040185d

调整一下字节序(大部分的是以小端存储的)

./hex2raw <phase_1.txt> test.txt

./ctarget <test.txt -q

2、phase_2

任务和phase_1是一样的。只是这次被返回的是touch2。

并且需要传参。

从phase_1可以得知,我们的Cookie: 0x5134f5ad

  1. 我们仍然需要修改返回地址,然后通过ret指令来跳转到touch2。
  2. 通常我们传参的第一个参数存在了寄存器%rdi当中,所以跳转之前需要把%rdi赋值为0x59b997fa。也就说我们要写额外的语句去完成这个事情。也就是需要代码注入了。
  1. 注入代码块内需要完成以下工作:
    1. 赋值参数%rdi
    2. 把touch2的代码push到栈顶
    3. ret指令 (pc看到return会查看栈顶的地址,从而跳转到那里)

Attack1.s的文件的内容

gcc -c attack1.s

objdump -d attack1.o > attack1.txt

得到了代码块的机器码

查看我们的rsp地址 gdb ctarget.s

然后就生成我们的phase_2.txt

3、phase_3

这次的任务与2基本相同,这次传参不是传十六进制立即数,而是传入string。

先将我们的cookie值转为ASCII值,可以利用网上的转换器进行转换

我们的Cookie: 0x5134f5ad

分别转换为ascill的值:

35 31 33 34 66 35 61 64

存储数组

getbuf的栈顶(也就是touch2在getbuf中打印的rsp的地址):0x5562fcb8 + 0x30(由phase_2可知,一共输入48个bytes就可以到达test栈),当然也可以多加一些。)=0x5562fce8

再查看touch3的地址:00000000004019a2

创建一个attack2.s文件文件内容如下:

利用命令:gcc -c attack2.s生成我们的.o文件

objdump -d attack2.o > attack2.txt

查看我们的attack2.txt文件

将phase3.txt

转为二进制字符文件:

./hex2raw < phase_3.txt > test3.txt

再运行

./ctarget < test3.txt -q

4、phase_4

使用ROP方式对rtarget进行攻击,调用touch2,通过gadgets构建程序,以ret结尾的一串指令(结尾)以一个字节0xc3(retq的二进制表示)编码;ROP的策略是识别现有程序的字节序列,程序会在栈上放入很多gadget地址(小的代码片段,并且会ret),而每次ret都进入一个gadget,这样可以形成一个程序链,通过将程序自身的指令来完成我们的目的。而我们所需的所有gadger在start_farm的汇编代码区域中寻找

上图nop(空指令)对应的机器码是90、ret对应的机器码是c3.

 gadget1 code:寻找包含以下功能代码的地址:(通过上表可知:也就是去寻找58 c3)

pop %rax
ret

gadget2 code:寻找包含以下功能代码的地址:(通过上表可知:也就是去寻找48 89 c7 c3)

movq %rax,%rdi
ret

gadget1:

所以得出0x401a6e 和0x401a76

然后我们再来找gadget2

所以得出:0x401a68

然后我们的Cookie:0x5134f5ad

touch2的首地址为:000000000040188b

!!!我们的地址都是小端存放的。

注意:如何看字节:在getbuf函数可以得出我这里是0x28

./hex2raw < phase_4.txt > test4.txt

再运行

./rtarget -qi test4.txt

5、phase_5

这一关的目标和Phase3一样,使用cookie构造字符串传递到touch3,使用rop的攻击手段。

首先我们先去rtarget.s找出我们所需的代码:根据phase_4可知,我们所需的所有gadger在start_farm的汇编代码区域中寻找

1、首先我们找指令为movq %rsp,%rax 对应的机器码:48 89 e0

我这边找到的是有五个:401abc和401ad1和401aee和401b16和401b31

最后测试成功的是401ad1和401aee ;任选其一作为我们的gadget1。

2、紧接着我们找lea (%rdi,%rsi,1),%rax,机器码为 04 37

gadget2:401a82

3、最后我们找movq %rax,%rdi,机器码为: 48 89 c7

401a4d和 401a68

最后测试得出的401a4d和 401a68;任选其一作为我们的gadget3

最后总结:攻击的文件应该有如下部分,填充区1(为getbug的大小),gadget1,gadget2,gadget3,touch3的地址,填充区2,cookie。第二个填充区的大小为55(0x37)-3*8=31字节(可以直接不用修改,填入31个字节即可)。最后构造文件phase_5.txt如下:

先运行命令: ./hex2raw < phase5.txt > test5.txt
再运行 : ./rtarget -qi test5.txt

到此为止实验三就大功告成了。在这篇文章我仅仅写了方法,如需原理请参考其他文章,做这个实验需要多点耐心,还要仔细一些,填的数字很多而且很容易搞混,需要仔细比对,耐心寻找。

L.Ru
关注
CSAPP实验——AttackLab
C__C_的博客
12-19 1万+
Attack Lab 缓冲区溢出攻击实验 本次实验涉及对两个具有不同安全漏洞的程序进行五次攻击,攻击方式分为两种Code injection代码注入和Reeturn-oriented programming(ROP)面向返回编程。 1、深入理解当程序没有对缓冲区溢出做足够防范时,攻击者可以利用安全漏洞的方法。 2、更好地了解如何编写更安全的程序,以及编译器和操作系统提供一些帮助,以减少程序的易受攻击性。 3、深入了解x86-64机器代码的堆栈和参数传递机制。 4、深入了解x86-64指令的编码方式。
计算机系统基础实训三—AttackLab实验,2024年最新网络安全开发面经分享
2401_83621136的博客
04-21 871
值得注意的是,上面两路完成任务的寄存器不能互换,因为从%eax到%esi这条路线上面的mov都是4个byte的操作,如果对%rsp的值采用这条路线,%rsp的值会被截断掉,最后的结果就错了。第六步,将%edx的内容传送到%ecx,movl%edx,%ecx的指令字节为:89 d1,所以这一步的gadget地址为: 401ba2+2=401ba4。第一步,获取到%rsp的地址,movq%rsp,%rax的指令字节为: 48 89 e0,所以这一步的gadget地址为: 401b86+3=401b89。
Attack Lab
jokerMingge的博客
10-23 682
从下载完所需实验包后,内有官方文档以及.tar压缩包,使用解压后,得到如下文件kinclude:attacksattacks我们还是将答案保存在answer.txt,这里运行要用-q,(参考官方文档)毕竟不是 CMU 的学生,-q的作用:。这次的 lab 要仔细看官方的文档,里面是题目的要求,也包含解题指导,对解决问题很有帮助。这次 lab 就是输入攻击字符串,实现调用函数等目的,包含了对栈破坏,注入代码,ROP 攻击等方法,说明了栈溢出的危害。这里要使用。
计算机系统基础实验 AttackLab
凌阳的博客
06-18 2776
本文是作者的作业备份,仅作参考,不可照搬抄袭!本实验分为五个阶段,ctarget的三个使用的是CI(code-injection),rtarget的两个阶段使用的是ROP(return-oriented-programming),如表1所示ctarget和rtarget都是用getbuf函数从标准输入读入字符串,getbuf函数定义如下:函数Gets类似于标准库函数gets,从标准输入读入一个字符串(以’\n’或者end-of-file结束),将字符串(带null结束符)存储在指定的目的地址。从这段代码可以
CSAPP: Attacklab
Rachel_IS的博客
11-21 2327
命运多舛的attacklab 从上周卡到今天,愣是卡死在phase2 一度以为这次要gg了… 不过今天心理学课灵感大开!!瞬间写完!!开心???????????????? 来总结一下曲折的经历叭~ 这个lab真的能让人学会很多gdb的操作 先objdump -d 出需要的反汇编代码 先简要描述一下这个lab在干什么: 有一个函数getbuf通过调用Gets 获得你输入的字符串,你可以利用栈溢出修改返回地址和进行一系列操...
3-Attack Lab
qq_38966867的博客
07-22 265
3-Attack Lab 1. level 1 利用栈溢出覆盖getbuf函数的返回地址 答案 前五行是正常写入buf的数据,第六行是touch1的地址0x4017c0,用于覆盖getbuf()函数的正常返回地址。注意写入的数据不能是0x0a,这个数字表述“\n”,Get()函数遇到0xa会终止。 2. level 2 注入可执行代码 那么如何让程序去执行我们的代码呢?既然我们可以向栈中写入任意内容并且可以设置返回时跳转到的地址,那么我们就可以通过在栈中写入指令,再令从getbuf函数返回的地址为我们栈
AttackLab实验-计算机系统基础-gddrxy
03-30
实验原理与内容 “AttackLab”是一个Linux下的可执行C程序,包含了5个阶段(phase1~phase5)的不同内容。程序运行过程中,要求学生能够根据缓冲区的工作方式和程序的反汇编代码来确定攻击字符串长度和字符串中的关键...
CSAPP实验-attacklab
最新发布
06-15
《CSAPP实验-attacklab》是针对计算机系统基础(Computer Systems: A Programmer's Perspective,简称CSAPP)课程的一次实验,主要围绕“Attack Lab”展开。这个实验旨在帮助学生深入理解计算机系统安全性和攻击...
CSAPP AttackLab实验解决源码(亲测有效!!!)
11-15
这个实验旨在教授计算机系统安全性,防止攻击者定位攻击和锻炼使用金丝雀防护,特别是关于缓冲区溢出漏洞的理解和利用。在这个实验中,尝试利用缓冲区溢出漏洞来修改程序的执行流程,从而实现未授权的操作,比如...
《深入理解计算机系统》-AttackLab学习笔记
Luminous
02-21 671
这个实验在第三章学完后就可以做了,内容主要就是3.10.3和3.10.4的部分,主要目标是熟悉两种攻击程序的方式:代码注入(Code Injection,CI)和面向返回编程(Return Oriented Programming,ROP) Let’s Hack实验说明 首先还是提醒一下,每个人的程序可能是不一样的,所以答案只是参考,但方法是通用的 目标程序:ctarget和rtarget,分别是在CI阶段和ROP阶段存在漏洞的程序。使用-q选项来避免将分数发到服务器,否则会出现illegal ho
CSAPP Lab3:Attack Lab
倪多多的博客
05-16 9317
实验是《深入理解计算机系统》(英文缩写CSAPP)课程附带实验——Lab3:Attack Lab,和Lab 2:Bomb Lab都对应书中第三章内容(程序的机器级表示),该实验分为代码注入或面向返回的编程两部分,进行缓冲区溢出攻击。
【CSAPP】AttackLab
热门推荐
朝花夕拾
11-03 2万+
这份史上最全的CSAPP之AttackLab实验讲解汇总绝对是攻克这一难题的最佳利器!无论你是刚刚踏入计算机科学的大门,还是已经是一位经验丰富的程序员,这万字详解都将对你产生深远的影响。从最基础的概念到高级的技巧,每一个步骤都被超全面、超详细地剖析。这篇文章是你攻克CSAPP AttackLab的不二之选,不容错过!收藏它,它将成为你的最佳学习伴侣,引领你通往计算机科学的精彩世界!
Attack Lab----深入理解计算机系统
weixin_53016579的博客
04-23 2113
阅读(writeup)文件,可以知道该实验分为两大部分。书ctarget是易受代码注入攻击的可执行程序,利用 代码注入(Code injection) 攻击该程序rtarget是易受面向返回的编程攻击的可执行程序,利用 返回导向编程(Return-oriented programming) 攻击该程序另外,如果在 ubuntu 系统上直接运行这两个程序,是无法运行的,因为服务器没有使用 CMU 的内网,无法建立连接。如下在中也提供了解决方法,如下运行程序时,传入命令参数-h可以打印可能的命令行参数列表;
CSAPP-Attack-Lab
H-ZeX Coding Life
09-16 528
CSAPP Attack Lab 本文所有答案都是传给hex2raw的文本,hex2raw会在转换好的字符串后添加换行符,所以答案里没有换行符 第一题答案aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa /*
《深入理解计算机系统实验三Attack Lab
达的程序员日记
11-02 6818
《深入理解计算机系统实验三Attack Lab个人思路和过程
[CS:APP] Attack Lab
Aria461863631的博客
08-30 981
Part 1:缓冲区溢出攻击 Part 2:ROP
《深入理解计算机系统实验三Attack Lab 详解(附栈图)
weixin_44415493的博客
01-07 799
CMU课程中Attack Lab的详解,结合汇编代码和栈的示意图详细分析得出攻击串的流程
CSAPP实验(三)——attackLab
weixin_51418670的博客
12-16 355
在touch3函数中调用了hexmatch函数,这个函数的功能是匹配cookie和传进来的字符是否匹配。在本文中cookie的值是0x2f06d07c,所以我们传进去的参数应该是"2f06d07c",(即 32 66 30 36 64 30 37 63)。s的位置是随机的,所以之前留在getbuf中的数据,则有可能被hexmatch所重写,所以放在getbuf中并不安全。touch3的输入参数是一个指针变量(即为内存地址),使用gdb调式得到这个地址量,具体操作如下所示。可知函数test输入参数所在的。
深入理解计算机系统Attack Lab
阴丹士林蓝的学习笔记
04-16 1655
文章目录Code InjectionPhase_1Phase_2Phase_3R O PPhase_4Phase_5小结 Code Injection Phase_1 任务 执行完 getbuf 函数之后不跳转到 test 函数,而是执行 touch1 函数。 分析流程 首先得到getbuf的汇编代码 得知getbuf的缓冲区大小为0x28(即40)。为了使它跳转到touch1,通过缓冲区溢出把栈帧上面的返回地址改掉;填充40字节内容+touch1地址即可。 查看touch1的汇编代码 得到to
attacklab实验
04-26
Attacklab实验是CMU计算机系统课程(15-213/18-213/15-513)的一部分,它旨在教授计算机系统的基本概念和技能。该实验是一个二进制代码注入实验,旨在让学生了解和实践常见的代码注入攻击技术和防御技术。该实验包含多个级别,每个级别需要使用不同的攻击技术和防御技术来完成。该实验涉及的技术包括汇编语言、栈和内存管理、程序控制流、格式化字符串漏洞、缓冲区溢出漏洞等。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值