【CSAPP】探秘AttackLab奥秘:level 5的解密与实战

简介: 【CSAPP】探秘AttackLab奥秘:level 5的解密与实战



🌳1. CSAPP与AttackLab简介

🌼1.1 CSAPP

《CSAPP》是指计算机系统基础课程的经典教材《Computer Systems: A Programmer's Perspective》,由Randal E. Bryant和David R. O'Hallaron编写。该书的主要目标是帮助深入理解计算机系统的工作原理,包括硬件和软件的相互关系,其涵盖了计算机体系结构、汇编语言、操作系统、计算机网络等主题,旨在培养学生系统级编程和分析的能力。


🌼1.2 AttackLab

target1实验通常与CS:APP书中的“Buffer Overflow Attack”相关。这个实验旨在教授计算机系统的安全性,防止攻击者定位攻击和锻炼使用金丝雀防护,特别是关于缓冲区溢出漏洞的理解和利用。在这个实验中,尝试利用缓冲区溢出漏洞来修改程序的执行流程,从而实现未授权的操作,比如执行恶意代码或获取系统权限。要求深入了解程序内存布局、堆栈和函数调用等概念,并学会利用输入缓冲区溢出漏洞来修改程序行为,这有助于理解系统安全中的一些基本原则和漏洞。

资源获取:关注文末公众号回复  CSAPP AttackLab实验


🌳2. AttackLab

🌼2.1 实验环境

  • VMware Workstation虚拟机环境下的Ubuntu 64位。

🌼2.2 实验过程

实验准备阶段:首先需要使用ubuntu联网环境跳转到链接下载实验所需的attacklab:attacklab源文件

下载target1压缩包并输入

tar –xvf target1.tar

进行解压缩,进入该目录所有文件如下所示:

当前提供材料包含一个攻击实验室实例的材料:

1.ctarget

带有代码注入漏洞的Linux二进制文件。用于作业的第1-3阶段。

2.rtarget

带有面向返回编程漏洞的Linux二进制文件。用于作业的第4-5阶段。

3.cookie.txt

包含此实验室实例所需的4字节签名的文本文件。(通过一些Phase需要用到的字符串)

4.farm.c

rtarget实例中出现的gadget场的源代码。您可以编译(使用标志-Og)并反汇编它来查找gadget。

5.hex2raw

生成字节序列的实用程序。参见实验讲义中的文档。(Lab提供给我们的把16进制数转二进制字符串的程序)

在终端处输入命令

tar -xvf target1.tar

将压缩包解压如下:

图3-2

实验过程阶段:

使用

objdump -d ctarget > ctarget.asm

objdump -d rtarget > rtarget.asm

对ctarget以及rtarget进行反汇编,得到ctarget.asm和rtarget.asm。

在官方文档的目标程序给出,CTARGET和RTARGET都从标准输入读取字符串。它们使用下面定义的函数getbuf来执行此操作:

函数Gets类似于标准库函数gets—它从标准输入中(从缓冲区)读取字符串 (以’ \n '或文件结束符结束) 并将其(连同空结束符)存储在指定的目的地。即空格/Tab/回车可以写入数组文本文件,不算作字符元素, 不占字节,直到文件结束, 如果是命令行输入的话,直到回车结束(区别getchar ():是在输入缓冲区顺序读入一个字符 (包括空格、回车和 Tab)结束,scanf:空格/Tab/回车都当作结束。函数Gets()无法确定它们的目标缓冲区是否足够大,以存储它们读取的字符串。它们只是复制字节序列,可能会超出在目的地分配的存储边界(缓冲区溢出)对应汇编代码:

因为Ctarget就是让我们通过缓冲区溢出来达到实验目的,所以可以推断sub $0x28,%rsp的40个字节数就等于输入字符串的最大空间,如果大于40个字节,则发生缓冲区溢出(超过40个字节的部分作为函数返回地址,如果不是确切对应指令的地址,则会误入未知区域,报错:

Type string:Ouch!: You caused a segmentation fault!段错误,可能访问了未知额内存)

🌼2.3 第二部分

解决完level1-level3后,进入到第二部分:面向返回的编程。对程序RTARGET执行代码注入攻击比CTARGET要困难得多,因为它使用两种技术来阻止这种攻击:

•使用随机化,以便堆栈位置在不同的运行中不同。这使得无法确定注入的代码将位于何处。

•将保存堆栈的内存部分标记为不可执行,因此即使将程序计数器设置为注入代码的开头,程序也会因分段错误而失败。

通过执行现有代码,而不是注入新代码,在程序中完成有用的事情。这种最通用的形式被称为面向返回编程(ROP)[1,2]。ROP的策略是识别现有程序中的字节序列,该序列由一条或多条指令组成,后面跟着指令ret.这样的段被称为gadget. 即Part II和PartI I的区别是:这里用栈随机性和禁止栈中使用命令:栈随机性导致栈的位置不再固定,也导致我们不能像Part I一样,运行命令直接用栈中的确切位置就返回;禁止栈中使用命令为如果我们的命令是在栈中的,即%rip(程序计数器)指向栈,则会报错(段错误)。

该图表示需要设置要执行的gadget序列,字节值0xc3对ret指令进行编码。说明了如何设置堆栈以执行一系列n个gadget。图中,堆栈包含一系列gadget地址。每个gadget都由一系列指令字节组成,最后一个字节是0xc3,用于编码ret指令。当程序从该配置开始执行ret指令时,它将启动一系列gadget执行,每个gadget末尾的ret指令会导致程序跳到下一个gadget的开头。gadget可以使用与编译器生成的汇编语言语句相对应的代码,尤其是函数末尾的代码。在实践中,可能有一些这种形式的有用gadget,但不足以实现许多重要的操作。例如,编译后的函数不太可能在返回之前将popq%rdi作为其最后一条指令。幸运的是,对于面向字节的指令集,如x86-64,通常可以通过从指令字节序列的其他部分提取模式来找到gadget。

例如,rtarget的一个版本包含为以下C函数生成的代码:

这个功能对攻击系统有用的可能性似乎很小。但是,这个函数的反汇编机器代码显示了一个有趣的字节序列:

字节序列48 89 c7对指令movq%rax,%rdi进行编码。此序列后面是字节值c3,它对ret指令进行编码。函数从地址0x400f15开始,序列从函数的第四个字节开始。因此,此代码包含一个gadget,其起始地址为0x400f18,它将把寄存器%rax中的64位值复制到寄存器%rdi。

RTARGET代码包含许多类似于上面显示的setval_210函数的函数,这些函数位于称为gadget farm的区域中(注意: 重要提示:gadget farm由rtarget副本中的函数start_farm和end_farm划分,不要试图从程序代码的其他部分构造gadget)。工作将是在gadget farm中识别有用的gadget,并使用这些gadget执行类似于第2阶段和第3阶段的攻击。


🌼2.4 level 3(第二部分)

阶段5要求对RTARGET进行ROP攻击,以使用指向cookie的字符串表示的指针调用函数touch3。


🌻2.4.1 解决思路

在第二阶段和第三阶段,已经解决了让一个程序执行自行设计的机器代码。如果CTARGET是一个网络服务器,则可以将自己的代码注入到远处的机器中。第四阶段绕过了现代系统用来阻止缓冲区溢出攻击的两个主要设备。虽然没有注入自己的代码,但可以注入一种通过将现有代码序列拼接在一起来操作的程序类型。这一阶段要求对 RTARGET 进行 ROP 攻击,以使用指向 cookie 字符串表示的指针调用函数 touch3。

要解决阶段5,可以在rtarget中由函数start_farm和end_farm划分的代码区域中使用小工具。除了在阶段4中使用的小工具,这个扩展的场还包括不同的movl指令的编码。这部分场中的字节序列也包含2字节指令,它们作为nops函数,也就是说,它们不改变任何寄存器或内存值。包括指令如andb %al,%al,它们对一些寄存器的低阶字节进行操作,但不改变它们的值。

因为有了栈随机性,我们不能指定指针确切位置了,但是可以通过 相对位置 + 栈顶的位置,先获取到栈顶的位置,然后加上我们放置距离栈顶的相对位置,得到cookie字符串起始地址放置的位置,推导如下:

1.需要 获取栈顶的位置,查看Source = %rsp的mov指令机器码,查找与之相关联的寄存器。

2.发现movq %rsp,%rax可用,则先找movq %rax,%rdi,因为最终需要%rdi 来存放 字符串的指针开始地址,因为lea命令可以起到add和mov的作用,lea (%rdi,%rsi,1),%rax 中%rsi可以作 相对位置偏移的量,这个偏移量由最终栈顶离字符串的相对偏移位置来确定,%rdi里面存%rsp刚开始的栈顶位置,由上一步movq %rsp,%rax movq %rax,%rdi得到,最后的偏移位置在%rax中,最后只需要movq %rax,%rdi即可达到目的。

3.需要把偏移量放到%rsi中,因为没有pop %rsi,只能逆向思维,找与mov %rsi相关的指令。

4.在farm部分只找到movl %ecx,$esi ,需要把%eax与%ecx联系起来,因为只有%rax可以pop(可以指定值),所以逆向寻找movl %ecx,得到逆向顺序:%eax -> %edx -> %ecx -> %esi。

新建anwer4.s文件,内容如下所示:

movq %rsp,%rax    (location:0x401a06)
movq %rax,%rdi    (location: 0x4019c5)
popq %rax       (location:0x4019cc)
movq %eax,%edx    (location:0x4019dd)
movq %edx,%ecx     (location: 0x401a69)
movq %ecx,%esi    (location:0x401a13)
lea %rdi + %rsi* 1, %rax     (location:0x4019d6)
movq %rax,%rdi     (location:0x4019c5)
retq    (jmp location: touch3 4018fa)

其中movq %rsp,%rax (location:0x401a06)是为了将%rsp元素存放到%rax中,接着使用movq %rax,%rdi (location:0x4019c5)将%rax数据存放到%rdi中,利用popq %rax  (location:0x4019cc) 将栈元素存放到%rax中,接着连着使用movq 是为了将%eax数据依此存放到%edx、%ecx和%esi。

关于lea指令在intel开发手册上的官方解释见下。

官方解释Load Effective Address,即装入有效地址的意思,它的操作数就是地址;因此lea %rdi + %rsi* 1, %rax (location:0x4019d6)含义是将%rdi与%rsi存储的数据相加,并将结果存放到%rax中。而movq %rax,%rdi (location:0x4019c5)指令是为了将%rax值存放到%rdi,最后的retq (jmp location: touch3 4018fa)指令是为了将栈中值弹出,然后跳转到地址touch3 4018fa。

新建level5.txt建立内容如下:


🌻2.4.2 问题验证

输入命令进行验证:

./hex2raw < level5.txt | ./rtarget -q

显示结果为PASS(需要注意的是,这里的指向文件应该为rtarget而非ctarget,否则显示仍然为Fail):


🌼2.5 实验结果

由于实验通关过程中是分阶段的,故展示通关过程中所需的创建文件如下:


🌼2.6 实验体会

  1. 深度理解系统原理: AttackLab实验让我深刻理解了计算机系统的底层原理和安全机制。通过解密与实战,我不仅熟练掌握了系统编程技术,还对汇编语言和数据结构有了更深层次的认识。这种深度理解使我在编程和系统设计方面取得了显著的进步。
  2. 逆向工程的挑战: AttackLab的逆向工程要求我们通过分析二进制代码解决炸弹挑战。这种实践锻炼了我的逻辑思维和问题解决能力。每一级别的解密都是一次挑战,需要细致入微的分析和耐心的调试。在这个过程中,我学到了很多解决复杂问题的方法,对逆向工程有了更深入的了解。
  3. 团队协作与学术社交: 在实验过程中,我积极与同学进行讨论和合作,分享解决问题的方法和思路。这不仅增加了我对AttackLab的理解,还促进了团队协作和学术社交。与同好共同攻克实验难关,分享心得,使整个学习过程更加充实和有趣。这种团队协作精神在解决复杂计算机科学问题中尤为重要。

📝 总结

在计算机系统的广袤领域,仿佛是一片未被揭示的复杂网络,隐藏着深奥的密码,而CSAPP的AttackLab实验正是那一场引人入胜的冒险之旅。这实验不仅深入挖掘计算机系统的基本概念,更将目光投向底层的系统实现,逐步揭开计算机系统内核、汇编语言和数据结构这些层次的神秘面纱。

对于那些渴望挑战计算机系统安全学习路径,以及希望掌握底层系统编程技术的冒险者们,AttackLab提供了一个独特的机会。点击下方链接,你将能够深入研究计算机科学的奇迹,探讨安全编程技术的实际应用和创新。我们引领趋势的🌱计算机科学专栏《斯坦福大学之CSAPP》将为你展开一场精彩的学术冒险,带你穿越计算机系统的迷雾,解锁其中的奥秘。🌐🔍

目录
相关文章
|
6月前
|
存储 安全 Ubuntu
【CSAPP】探秘AttackLab奥秘:level 1的解密与实战
【CSAPP】探秘AttackLab奥秘:level 1的解密与实战
72 0
|
6月前
|
存储 安全 Ubuntu
【CSAPP】探秘AttackLab奥秘:level 2的解密与实战
【CSAPP】探秘AttackLab奥秘:level 2的解密与实战
85 0
|
6月前
|
存储 安全 Ubuntu
【CSAPP】探秘AttackLab奥秘:level 3的解密与实战
【CSAPP】探秘AttackLab奥秘:level 3的解密与实战
72 0
|
算法 Java 程序员
重温经典《Thinking in java》第四版之第五章 初始化与清理(三十一)
重温经典《Thinking in java》第四版之第五章 初始化与清理(三十一)
48 0
|
Java C语言
重温经典《Thinking in java》第四版之第四章 控制执行流程(二十四)
重温经典《Thinking in java》第四版之第四章 控制执行流程(二十四)
55 1
|
6月前
|
存储 NoSQL Ubuntu
【CSAPP】探究BombLab奥秘:Phase_3的解密与实战
【CSAPP】探究BombLab奥秘:Phase_3的解密与实战
55 0
【CSAPP】探究BombLab奥秘:Phase_3的解密与实战
|
6月前
|
存储 前端开发 rax
【CSAPP】探秘AttackLab奥秘:level 4的解密与实战
【CSAPP】探秘AttackLab奥秘:level 4的解密与实战
62 0
|
6月前
|
存储 机器学习/深度学习 安全
【CSAPP】探究BombLab奥秘:Phase_4的解密与实战
【CSAPP】探究BombLab奥秘:Phase_4的解密与实战
70 0
|
6月前
|
存储 NoSQL Ubuntu
【CSAPP】探究BombLab奥秘:Phase_6的解密与实战
【CSAPP】探究BombLab奥秘:Phase_6的解密与实战
89 0
|
6月前
|
存储 NoSQL 安全
【CSAPP】探究BombLab奥秘:Phase_5的解密与实战
【CSAPP】探究BombLab奥秘:Phase_5的解密与实战
87 0
下一篇
无影云桌面