【计算机系统】缓冲区溢出攻击实验
github地址
一、 实验目标:
- 理解程序函数调用中参数传递机制;
- 掌握缓冲区溢出攻击方法;
- 进一步熟练掌握GDB调试工具和objdump反汇编工具。
二、实验环境:
- 计算机(Intel CPU)
- Linux 64位操作系统
- GDB调试工具
- objdump反汇编工具
三、实验内容
本实验设计为一个黑客利用缓冲区溢出技术进行攻击的游戏。我们仅给黑客(同学)提供一个二进制可执行文件bufbomb和部分函数的C代码,不提供每个关卡的源代码。程序运行中有3个关卡,每个关卡需要用户输入正确的缓冲区内容,否则无法通过管卡!
要求同学查看各关卡的要求,运用GDB调试工具和objdump反汇编工具,通过分析汇编代码和相应的栈帧结构,通过缓冲区溢出办法在执行了getbuf()函数返回时作攻击,使之返回到各关卡要求的指定函数中。第一关只需要返回到指定函数,第二关不仅返回到指定函数还需要为该指定函数准备好参数,最后一关要求在返回到指定函数之前执行一段汇编代码完成全局变量的修改。
实验代码bufbomb和相关工具(sendstring/makecookie)的更详细内容请参考“实验四 缓冲区溢出攻击实验.pptx”。
本实验要求解决关卡1、2、3,给出实验思路,通过截图把实验过程和结果写在实验报告上。
四、实验步骤和结果
因为本次实验用到的可执行文件是32位,而实验环境是64位的,需要先安装一个32位的库,在root权限下安装如下所示:
还需要安装sendmail
首先利用反汇编命令查看getbuf函数的汇编代码,以便分析getbuf在调用时的栈帧结构,汇编代码如下:
步骤1 返回到smoke()
1.1 解题思路
本实验中,bufbomb中的test()函数将会调用getbuf()函数,getbuf()函数再调用gets()从标准输入设备读入字符串。
系统函数gets()未进行缓冲区溢出保护。其代码如下:
int getbuf()
{char buf[12];Gets(buf);return 1;
}
我们的目标是使getbuf()返回时,不返回到test(),而是直接返回到指定的smoke()函数。
为此,我们可以通过构造并输入大于getbuf()中给出的数据缓冲区的字符串而破坏getbuf()的栈帧,替换其返回地址,将返回地址改成smoke()函数的地址。
1.2 解题过程
对于第一关:
分析getbuf()函数的汇编代码,可以发现,getbuf()在保存%ebp的旧值后,将%ebp指向%esp所指的位置,然后将栈指针减去0x28来分配额外的20个字节的地址空间。字符数组buf的位置用%ebp下0x18(即24)个字节来计算。然后调用Gets()函数,读取的字符串返回到%ebp-0x18,即%ebp-24。
具体的栈帧结构如下:
从以上分析可得,只要输入不超过11个字符,gets返回的字符串(包括末尾的null)就能够放进buf分配的空间里。长一些的字符串就会导致gets覆盖栈上存储的某些信息。
随着字符串变长,下面的信息会被破坏:
因此,我们要替换返回地址,需要构造一个长度至少为32的字符串,其中的第0 ~ 11个字符放进buf分配的空间里,第12 ~ 23个字符放进程序分配后未使用的空间里,第24~27个字符覆盖保存的%ebp旧值,第28-31个字符覆盖返回地址。
由于替换掉返回地址后,getbuf()函数将不会再返回到test()中,所以覆盖掉test()的%ebp旧值并不会有什么影响。也就是说我们构造的长度为32的字符串前28个字符随便是啥都行,而后面四个字符就必须能表示smoke()函数的地址。所以我们要构造的字符串就是“28个任意字符+smoke()地址”。任意的28个字符都用十六进制数00填充就行。
利用objdump查看smoke()函数的地址如下:
由此可得smoke()函数的地址是0x08048eb0,考虑小端法表示,对应的我们要构造的字符串是:
00000000000000000000000000000000000000000000000000000000b08e0408
将输入的字符串保存到0.txt中。
1.3 最终结果截图
步骤2 返回到fizz()并准备相应参数
2.1 解题思路
这一关要求返回到fizz()并传入自己的cookie值作为参数,破解的思路和第一关是类似的,构造一个超过缓冲区长度的字符串将返回地址替换成fizz()的地址,只是增加了一个传入参数,所以在读入字符串时,要把fizz()函数读取参数的地址替换成自己的cookie值,具体细节见解题过程。
2.2 解题过程
首先还是利用objdunp查看并分析fizz()函数的汇编代码:
从汇编代码可知,fizz()函数被调用时首先保存%ebp旧值并分配新的空间,然后读取%ebp-0x8地址处的内容作为传入的参数,要求传入的参数是自己的cookie值。也就是说传入的参数其实是存在%ebp-0x8处的,具体的栈帧结构如下:
对应到getbuf()函数中的栈帧结构如下:
由以上结构不难判断出,我们需要读入buf的字符串为“28个任意字符+fizz()的地址+4个任意的字符+自己的cookie值”,每个字符还是用十六进制数表示。
为此,首先利用objdump得到fizz()的地址为0x08048e60:
再利用makecookie生成自己的cookie值为0x7e9ebd07:
任意的字符依旧用00表示,则最后我们得到构造出来的字符串为:
00000000000000000000000000000000000000000000000000000000608e04080000000007bd9e7e
将该字符串保存在1.txt中:
然后通过sendstring将1.txt转换成二进制格式,再通过管道输入到bufbomb中:
2.3 最终结果截图
从以上过程可得,最后成功利用缓冲区溢出漏洞,让getbuf()直接返回到fizz()函数并传入自己的cookie值作为参数,最终结果截图如下:
步骤3 返回到bang()且修改global_value
3.1 解题思路
这一关要求先修改全局变量global_value的值为自己的cookie值,再返回到band()。为此需要先编写一段代码,在代码中把global_value的值改为自己的cookie后返回到band()函数。将这段代码通过GCC产生目标文件后读入到buf数组中,并使getbuf函数的返回到buf数组的地址,这样程序就会执行我们写的代码,修改global_value的值并调用band()函数。具体细节见解题过程。
3.2 解题过程
首先,为了能精确地指定跳转地址,先在root权限下关闭Linux的内存地址随机化:
用objdump查看bang()函数的汇编代码如下:
很明显,bang()函数首先读取0x804a1c4和0x804a1d4的地址的内容并进行比较,要求两个地址中的内容相同:
用gdb调试命令查看:
gdb可以发现,0x804a1c4就是全局变量global_value的地址,0x804a1d4是cookie的地址。因此,我们只要在自己写的代码中,把地址0x804a1d4的内容存到地址0x804a1c4就行了。
再利用objdump得到bang()函数的入口地址为0x08048e10:
到这里,就可以确定我们自己写的代码要干的事情了。首先是将global_value的值设置为cookie的值,也就是将0x804a1c4的值设置为0x804a1d4的值,然后将bang()函数的入口地址0x08048e10压入栈中,这样当函数返回的时候,就会直接取栈顶作为返回地址,从而调用bang()函数。接着函数返回,此时返回的地址就是上一条语句中压入栈中的地址,也就是bang()函数的入口地址了。
为此,新建一个名为3.s的文件,里面写相应的汇编代码:
通过gcc编译该汇编代码,再反编译输出到code.txt中:
查看mycode.txt中生成的对应汇编代码的机器码如下:
在将这段机器码放入buf数组中后,为了能让getbuf()返回到buf数组处执行我们的代码,需要想办法得到buf数组的地址。为此,用gdb断点调试查看执行getbuf()时ebp的值为0xffffb148:
从第一关中对getbuf()函数栈帧结构的分析可知buf数组的首地址为%ebp-0x18,即0xffffbaf0
综上所述,最后我们要构造的字符串为自己写的汇编代码生成的机器码(20个字符)+8个任意字符+buf数组的首地址,任意字符依然取00,则对应的字符串为:
8b1425d4a10408891425c4a1040868108e0408c30000000000000000f0baffff
将该字符串保存在2.txt中:
然后通过sendstring将2.txt转换成二进制格式,再通过管道输入到bufbomb中:
3.3 最终结果截图
根据以上解题过程,利用缓冲区溢出,让程序执行自己写的汇编代码对全局变量进行修改后,成功调用了bang()函数。最后结果截图如下:
【计算机系统】缓冲区溢出攻击实验相关推荐
- 计算机系统(2) 实验四 缓冲区溢出攻击实验
计算机系统(2) 实验四 缓冲区溢出攻击实验 一. 实验目标: 二.实验环境: 三.实验内容 四.实验步骤和结果 (一)返回到smoke (二)返回到fizz()并准备相应参数 (三)返回到bang( ...
- 计算机系统基础学习笔记(7)-缓冲区溢出攻击实验
缓冲区溢出攻击实验 实验介绍 实验任务 实验数据 目标程序 bufbomb 说明 bufbomb 程序接受下列命令行参数 目标程序bufbomb中函数之间的调用关系 缓冲区溢出理解 目标程序调用的ge ...
- 实验8 缓冲区溢出攻击实验
实验8 缓冲区溢出攻击实验 缓冲区溢出是目前最常见的一种安全问题,操作系统以及应用程序大都存在缓冲区溢出漏洞.缓冲区是一段连续内存空间,具有固定的长度.缓冲区溢出是由编程错误引起的,当程序向缓冲区内写 ...
- 缓冲区溢出攻击实验(C语言 | 汇编语言 | 输出deadbeef)
缓冲区溢出攻击实验(输出deadbeef) C语言题目源码 尝试 运行程序 观察 分析 栈内部情况 决定使用栈溢出 实施 使用vs2019打开反汇编 使用反汇编 构造payload 得到结果 C语言题 ...
- CSAPP缓冲区溢出攻击实验(上)
CSAPP缓冲区溢出攻击实验(上) 下载实验工具,最新的讲义在这.网上能找到的实验材料有些旧了,有的地方跟最新的handout对不上.不过没有关系,大体上只是程序名(sendstring)或者参数名( ...
- 缓冲区溢出攻击实验(一)
无聊之余,想弄一下缓冲区溢出实验,之前一直听说这个,也没有亲自动手做一下,发现真正弄起来的时候还是没那么简单的,其实学到的东西还是不少的.特此记下学习的过程. 一.基础知识 这一部分主要是关于程序内存 ...
- 【网络攻防技术】实验四——缓冲区溢出攻击实验
文章目录 一.实验题目 二.实验步骤 Task1: Get Familiar with the Shellcod Task2: Level-1 Attack Task 3: Level-2 Attac ...
- CSAPP:Attack Lab —— 缓冲区溢出攻击实验
Warm-up X86-64寄存器和栈帧 X86-64有16个64位寄存器 : -%rax 作为函数返回值使用. - %rsp 栈指针寄存器,指向栈顶. - %rdi,%rsi,%rdx,%rcx,% ...
- 缓冲区溢出攻击实验(深大计系2实验4)三题思路+答案
额 今天做的事缓冲区 溢 出 攻 击 实验 思路就是有个函数会一直读字符串,可是对字符串长度没有限制,所以会造成缓冲区的溢出,导致堆栈中的其他值被我们修改,达到攻击的目的 实验资源 链接: https ...
最新文章
- java servlet filter_Java的Servlet、Filter、Interceptor、Listener
- linux执行命令段错误,Linux运行fortran程序 出现段错误(segmentation fault)
- Php pack unpack
- python编写爬虫的步骤-如何编写python脚本?教你做简单的爬虫,适合初学者
- MySQL复制的奇怪问题
- spring boot应用启动原理分析
- Paper之Algorithms:国内外Algorithms高质量论文、CUMCM分类推荐(建议收藏,持续更新)
- javascript王者归来--属性和方法的类型
- 类加载器 java委托机制_解析Java虚拟机中类的初始化及加载器的父委托机制
- javascript 文件转base64
- outlook登陆邮件接收服务器(POP3)失败问题
- Mac大小写切换,中英文切换
- 2022-2028年中国数字示波器行业市场调查研究及投资策略研究报告
- unreal虚幻引擎学习(一)史上最全的Unreal Engine 4学习资料整理
- android paint 线宽_Android绘图:绘制直线的 drawLine方法
- ios修改apn的插件_iPhone手机APN修改方案
- 有哪些产品适合做引流?什么样的产品才适合做引流款
- 【AI with ML】第 5 章 :自然语言处理简介
- Linux常用 bash命令
- 操作系统实验二——进程调度算法(FCFS、RR)