《深入理解计算机系统》-AttackLab学习笔记

最新推荐文章于 2025-01-15 15:35:07 发布
原创 最新推荐文章于 2025-01-15 15:35:07 发布 · 812 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

这篇博客详细记录了《深入理解计算机系统》中的AttackLab实验,涵盖CI(代码注入)和ROP(面向返回编程)攻击。作者通过Level1到Level3的逐步解析,讲解了如何利用漏洞执行自定义代码,包括寻找函数地址、构造注入数据和理解栈帧变化。实验旨在深化对栈溢出和代码执行机制的理解。

这个实验在第三章学完后就可以做了,内容主要就是3.10.3和3.10.4的部分,主要目标是熟悉两种攻击程序的方式:代码注入(Code Injection,CI)和面向返回编程(Return Oriented Programming,ROP)

Let’s Hack!

实验说明

首先还是提醒一下,每个人的程序可能是不一样的,所以答案只是参考,但方法是通用的

  • 目标程序:ctargetrtarget,分别是在CI阶段和ROP阶段存在漏洞的程序。使用-q选项来避免将分数发到服务器,否则会出现illegal host错误。使用-i选项来读取文件作为输入(很重要),因为我们的攻击都是用二进制文件进行攻击

  • 实验原理:在两个目标程序的源代码中,test程序都调用了getbuf函数,这个函数读取我们的输入并保存在栈上,而这个函数的栈帧只开辟了有限的空间,因此存在返回地址被覆盖的漏洞。我们通过输入一定的exploit string就可以让函数返回后不回到test,而是到我们为它安排的地址。如果不是很明白的话可以参考书上的练习题3.46,很有帮助,我自己的理解大概是这样的:
    attack

  • hex2raw:这个工具可以将写好的16进制的exploit string转换成能传给目标程序的文件,我们编写的exploit string应该像真实的内存一样,每个字节之间用空格隔开并使用小端序,举例,假设调用getbuf时栈指针rsp的地址为0x12345678

    00 00 00 00 00 00 00 00 /* 0x12345678 */
00 00 00 00 00 00 00 00 /* 0x12345680 */
ef cd ab 89 00 00 00 00 /* 0x12345688 */

    上面的exploit string会在0x12345688处写入0x89abcdef,如果我们的返回地址正好是0x12345688那么代码就会运行到我们注入的这个地址。hex2raw支持C风格的注释,所以可以使用/**/让你的答案更有可读性,但注意要用空格全部隔开,更多细节可以参考pdf中的附录A

CI

这种攻击方式主要是通过改写栈空间的数据,让程序执行我们希望它执行的代码。我们可以先自己编写汇编指令,将它进行汇编后再进行反汇编,就可以得到指令的字节表示形式了,具体可以参考附录B

Level1

第一阶段的目标是调用touch1,我们只需要找到touch1的地址,把它注入到getbuf的返回地址处即可,不需要额外的代码

首先可以用objdump -d ctarget > dis.s获得ctarget的汇编代码并保存在dis.s中,然后找到touch1的地址
touch1
因此我们直接注入c0 17 40即可,注意是小端序。然后我们查看一下getbuf的汇编代码:
getbuf
可以看到栈指针减少了0x28也就是40,所以我们在40个字节之后注入地址即可,最终的exploit.txt如下:
exploit
用如下的命令将它转换成可以传给ctarget的文件:

./hex2raw < exploit.txt > exploit-raw.txt

然后用ctarget读入

./ctarget -q -i exploit-raw.txt

这两步也可以合成一步

cat exploit.txt | ./hex2raw | ./ctarget -q

效果如下:
phase1

最低0.47元/天 解锁文章
深入理解计算机系统attack lab
peanWang的博客
05-26 4万+
Attack lab
Attack Lab 【深入理解计算机组成与系统实验】(完结版)
weixin_74790320的博客
12-08 4666
本次实验用到的基本上是缓冲区越界,学过c语言的可以将他类比为数组越界,原本数组开了10个int大小,但是我们给他输入了15个数字,那多出来5个数字就覆盖掉了别的位置的数。一个例子:我们要执行一个函数会向下开辟空间,就是红色区域。然后这个函数执行完会ret返回就是return到开辟之前的空间,就是第一个rsp的位置,然后执行那里的地址的代码。getbuf执行完rsp会回到上图rsp的位置。
计算机系统基础实训三—AttackLab实验
zyx210603的博客
01-10 4489
通过这两个验室,我显著提高了使用GDB的熟练程度,并对程序执行有了更深入的了解。实验室的结构化和循序渐进的设计有助于以启发性的方式学习。老师提供的富有洞察力和清晰的图片提示对减少混淆非常有帮助。展望未来,提供更多真实世界的案例、调试练习的错误场景、程序执行的可视化、编码练习将进一步增强学习体验。我也会继续通过积极的练习来磨练我自己的GDB调试技能。
CSAPP--ATTACKLAB实验
Innocence_0的博客
02-02 2146
一、实验步骤二、目标程序三、实验内容第一部分:代码注入攻击3.1. 第一关3.2. 第二关3.3. 第三关四. 实验内容第二部分:面向返回的编程4.1. 第四关4.2. 第五关附录A HEX2RAW的使用附录B 生成字节代码1.1 第一步:获取文件,输入你的学号和email地址,得到targetXXXX.tar文件。
CSAPP-Lab03 Attack Lab 详细解析
热门推荐
qq_25591221的博客
03-05 1万+
目录实验概览Part 1: Code Injection AttacksPhase 1分析反汇编`test`反汇编`getbuf`SolutionPhase 2分析注入代码栈帧讲解SolutionPhase 3分析注入代码栈帧讲解SolutionPart 2: Return-Oriented ProgrammingPhase 4分析栈帧讲解SolutionPhase 5分析栈帧讲解Solution总结 纸上得来终觉浅,绝知此事要躬行 实验概览 Attack!,成为一名黑客不正是我小时候的梦想吗?这个实验
AttackLab实验
求学者的博客
10-15 1252
1. 强化机器级表示、汇编语言、调试器和逆向工程等方面基础知识,并结合栈帧工作原理实现简单的栈溢出攻击,掌握其基本攻击基本方式和原理,进一步为编程过程中应对栈溢出攻击打下一定的基础。2. 理解缓冲区的工作原理和字符填充过程及其特点。对于无边界检测的语言及其工作方式所造成的缓冲区漏洞加深理解。3. 通过字符串填充的方式,完成5各阶段的缓冲区攻击。分别基于基本返回地址填充、攻击代码填充、ROP等实现这5个难度递增的阶段的缓冲区溢出攻击。
CSAPP 缓冲区溢出实验
poptar的博客
06-06 2209
实验5 缓冲区溢出实验 一、实验目的 1、深入了解缓冲区溢出的隐患,了解如何利用缓冲区溢出这个漏洞对现有程序进行控制流劫持、执行非法程序代码,从而造成对程序进行攻击以及破坏的过程; 2、增强对程序机器级表示、汇编语言、调试器和逆向工程等理解。 二、实验内容 对目标程序实施缓冲区溢出攻击,通过造成缓冲区溢出来破坏目标程序的栈帧结构,继而...
深入理解计算机系统CSAPP课程学习笔记与实验代码-计算机系统原理-汇编语言-操作系统-网络编程-缓存优化-性能分析-并发编程-内存管理-处理器架构-链接与加载-异常控制流-.zip
最新发布
11-13
Module模块化开发实践项目深入理解计算机系统CSAPP课程学习笔记与实验代码_计算机系统原理_汇编语言_操作系统_网络编程_缓存优化_性能分析_并发编程_内存管理_处理器架构_链接与加载_异常控制流_虚.zip
深入理解计算机系统学习笔记项目-计算机系统原理-汇编语言-处理器架构-程序优化-存储器层次-链接技术-异常控制流-虚拟内存-系统IO-网络编程-并发编程-CSAPP读书笔记-技术要.zip
08-13
这份学习笔记项目适合那些对计算机系统原理和编程有深厚兴趣的学习者,特别是那些希望深入理解计算机内部工作机制,提升编程技能的程序员和工程师。通过这份学习笔记,读者可以建立起一个坚实的计算机科学知识体系,...
计算机系统基础】AttackLab实验
m0_74125616的博客
01-15 3281
基于ASCII对照表查找cookie值0x55fd3f95的十六进制数,具体是“35 35 66 64 33 66 39 35”,基于阶段二rsp的地址分析,考虑将cookie放入缓冲区后首地址递推0x10的位置,即cookie的text地址为0x556785b8。也就是需要代码注入了。如下图9所示,打开ctarget.s文件查询“touch3”,查看touch3的首地址为401a62,并发现攻击字符串中需要包含cookie字符串的表示,考虑转为ASCII十六进制数字并衔接“0”字节,使得语法成立。
AttackLab实验-计算机系统基础-gddrxy
03-30
实验原理与内容 “AttackLab”是一个Linux下的可执行C程序,包含了5个阶段(phase1~phase5)的不同内容。程序运行过程中,要求学生能够根据缓冲区的工作方式和程序的反汇编代码来确定攻击字符串长度和字符串中的关键内容。每次成功实现缓冲区溢出攻击时都会有提示相应内容,如果攻击失败则单纯的提示segmentation fault相关信息。 要求攻击字符串的执行不许绕开代码中的validate函数,缓冲区溢出之后对应ret的返回地址可以是以下类型: 1.函数touch1、touch2、touch3的首地址; 2.自行注入的攻击的首地址; 3.在后两个阶段中(ROP攻击),与farm.c的对应的可利用的gadget的起始地址,farm.c对应的机器码已经包含在可执行文件中。可以使用的gadget首地址需处于start_farm和end_farm之间的部分。 注意:前三个阶段使用ctarget作为攻击目标文件,后两个阶段中使用rtarget作为攻击目标文件。 每个阶段考察一个缓冲区溢出方式,难度逐级递增:  阶段1:使用非ROP方式对ctarget进行攻击,调用touc
深入理解计算机系统(CSAPP) attack-lab详解
独小雪的博客
07-30 2572
深入理解计算机系统(CSAPP) attack-lab详解 下载实验用的程序戳这里 戳这里下载实验说明 开始 target1里的两个程序,ctraget和rtarget,都有缓冲区溢出的bug。实验要求我们做的,是利用这些bug,让程序通过缓冲区溢出,执行我们想执行的代码。下载的文件夹里,ctarget是做代码注入攻击 (code-injection attacks) 用的。rtarget,还有后面的cookie.txt、hex2raw、farm.c都和后面的ROP攻击(return-oriented-pr
深入理解计算机系统AttackLab实验
AL.千灯学长的博客
03-21 8866
深入理解计算机系统AttackLab实验,函数中的Gets函数与标准库中的gets函数类似,它从standard input中读取字符(以\n或者EOF结尾)并将它们添加字符串结尾符\0后存入缓冲区中。学生需要根据ctarget和rtarget文件及其反汇编代码来确定缓冲区位置及大小,并想办法构建出攻击字符串。
计算机系统--实验三AttackLab实验
weixin_52363821的博客
12-16 1万+
AttackLab实验
计算机系统基础实验 AttackLab
凌阳的博客
06-18 3322
本文是作者的作业备份,仅作参考,不可照搬抄袭!本实验分为五个阶段,ctarget的三个使用的是CI(code-injection),rtarget的两个阶段使用的是ROP(return-oriented-programming),如表1所示ctarget和rtarget都是用getbuf函数从标准输入读入字符串,getbuf函数定义如下:函数Gets类似于标准库函数gets,从标准输入读入一个字符串(以’\n’或者end-of-file结束),将字符串(带null结束符)存储在指定的目的地址。从这段代码可以
CSAPP - AttackLab实验(阶段1-5)
Jerome_Tong的博客
06-09 1万+
官网:http://csapp.cs.cmu.edu/3e/labs.html“AttackLab”是一个Linux下的可执行C程序,包含了5个阶段(phase1~phase5)的不同内容。程序运行过程中,要求学生能够根据缓冲区的工作方式和程序的反汇编代码来确定攻击字符串长度和字符串中的关键内容。每次成功实现缓冲区溢出攻击时都会有提示相应内容,如果攻击失败则单纯的提示segmentation fault相关信息。
CSAPP实验(三)——attacklab
haha123486的博客
05-21 7287
phase_1 使用objdump -d ctarget > ctarget.dis命令把可执行程序ctarget的反汇编代码保存到ctarget.dis文件里。再用vim打开ctarget.dis文件,从中得到下图。图中可知,函数touch1的起始地址在0x4017c0。 下图是getbuf的汇编代码,首先分配了40(0x28)个字节的栈空间。也就是说当输入字符串大于40个字节时会覆盖函数getbuf的返回地址。 建立exploit1.txt,具体内容如下图所示。需要注意的是采用小端字节排序。
CS:APP3e 深入理解计算机系统_3e Attacklab 实验
a_18067的博客
10-22 1085
详细的题目要求和资源可以到 http://csapp.cs.cmu.edu/3e/labs.html 或者 http://www.cs.cmu.edu/~./213/schedule.html 获取。 getbuf()实现为: unsigned getbuf() { char buf[BUFFER_SIZE]; Gets(buf); /* 没有边界检查 */ r...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值