【CSAPP】探秘AttackLab奥秘:level 2的解密与实战

简介: 【CSAPP】探秘AttackLab奥秘:level 2的解密与实战



🌳1. CSAPP与AttackLab简介

🌼1.1 CSAPP

《CSAPP》是指计算机系统基础课程的经典教材《Computer Systems: A Programmer's Perspective》,由Randal E. Bryant和David R. O'Hallaron编写。该书的主要目标是帮助深入理解计算机系统的工作原理,包括硬件和软件的相互关系,其涵盖了计算机体系结构、汇编语言、操作系统、计算机网络等主题,旨在培养学生系统级编程和分析的能力。


🌼1.2 AttackLab

target1实验通常与CS:APP书中的“Buffer Overflow Attack”相关。这个实验旨在教授计算机系统的安全性,防止攻击者定位攻击和锻炼使用金丝雀防护,特别是关于缓冲区溢出漏洞的理解和利用。在这个实验中,尝试利用缓冲区溢出漏洞来修改程序的执行流程,从而实现未授权的操作,比如执行恶意代码或获取系统权限。要求深入了解程序内存布局、堆栈和函数调用等概念,并学会利用输入缓冲区溢出漏洞来修改程序行为,这有助于理解系统安全中的一些基本原则和漏洞。

资源获取:关注文末公众号回复  CSAPP AttackLab实验


🌳2. AttackLab

🌼2.1 实验环境

  • VMware Workstation虚拟机环境下的Ubuntu 64位。

🌼2.2 实验过程

实验准备阶段:首先需要使用ubuntu联网环境跳转到链接下载实验所需的attacklab:attacklab源文件

下载target1压缩包并输入

tar –xvf target1.tar

进行解压缩,进入该目录所有文件如下所示:

当前提供材料包含一个攻击实验室实例的材料:

1.ctarget

带有代码注入漏洞的Linux二进制文件。用于作业的第1-3阶段。

2.rtarget

带有面向返回编程漏洞的Linux二进制文件。用于作业的第4-5阶段。

3.cookie.txt

包含此实验室实例所需的4字节签名的文本文件。(通过一些Phase需要用到的字符串)

4.farm.c

rtarget实例中出现的gadget场的源代码。您可以编译(使用标志-Og)并反汇编它来查找gadget。

5.hex2raw

生成字节序列的实用程序。参见实验讲义中的文档。(Lab提供给我们的把16进制数转二进制字符串的程序)

在终端处输入命令

tar -xvf target1.tar

将压缩包解压如下:

图3-2

实验过程阶段:

使用

objdump -d ctarget > ctarget.asm

objdump -d rtarget > rtarget.asm

对ctarget以及rtarget进行反汇编,得到ctarget.asm和rtarget.asm。

在官方文档的目标程序给出,CTARGET和RTARGET都从标准输入读取字符串。它们使用下面定义的函数getbuf来执行此操作:

函数Gets类似于标准库函数gets—它从标准输入中(从缓冲区)读取字符串 (以’ \n '或文件结束符结束) 并将其(连同空结束符)存储在指定的目的地。即空格/Tab/回车可以写入数组文本文件,不算作字符元素, 不占字节,直到文件结束, 如果是命令行输入的话,直到回车结束(区别getchar ():是在输入缓冲区顺序读入一个字符 (包括空格、回车和 Tab)结束,scanf:空格/Tab/回车都当作结束。函数Gets()无法确定它们的目标缓冲区是否足够大,以存储它们读取的字符串。它们只是复制字节序列,可能会超出在目的地分配的存储边界(缓冲区溢出)对应汇编代码:

因为Ctarget就是让我们通过缓冲区溢出来达到实验目的,所以可以推断sub $0x28,%rsp的40个字节数就等于输入字符串的最大空间,如果大于40个字节,则发生缓冲区溢出(超过40个字节的部分作为函数返回地址,如果不是确切对应指令的地址,则会误入未知区域,报错:

Type string:Ouch!: You caused a segmentation fault!段错误,可能访问了未知额内存)


🌼2.3 level 2

第2阶段涉及注入少量代码作为漏洞利用字符串的一部分。

在文件ctarget中,存在用于具有以下C表示的函数touch2的代码:

任务是让CTARGET执行touch2的代码,而不是返回测试,且输入的字符串要与Cookie文件中的字符串相匹配。


🌻2.3.1 解决思路

   根据文件中的信息,得知首先需要把字符串送到寄存器%rdi中,再进入touch2函数,即可通过Level2

所以,指令应该包括以下两个部分:

1.把字符串cookie mov进%rdi中

2.进入touch2

在vim中,编写 InjectCode1.s文件,编写汇编之后再反汇编,将得到的指令的机器码写入最后运行的十六进制(字符串)文件中即可。

查找函数touch2的地址为4017ec:

新建一个anwer1.s文件,输入内容如下:

其中,movq $0x59b997fa,%rdi是为了将cookie字符串存到%rdi中,pushq $0x4017ec是为了将touch2的地址压入栈中,而retq指令是为了将栈中值弹出,然后跳转到该地址。

创建完成后如下所示

输入命令:

gcc -c anwer1.s

会生成机器码文件anwer1.o, 输入命令:

objdump -d anwer1.o > anwer1.txt

进行反汇编,得到anwer1.o和anwer1.txt:

进入anwer1.txt得到反汇编结果如下:

其中,汇编指令对应的机器码如下:

48 c7 c7 fa 97 b9 59
68 ec 17 40 00
c3

接下来需要找到40个字符 开栈的位置(即调用getbuf()函数数据压入栈后栈顶指针%rsp的值),让getbuf()返回到这片代码区域(touch2的地址即最终返回地址)

查看函数getbuf的汇编代码:

起始地址为4017a8,所以需要在4017a8处设置断点(即还没运行4017a8),查看栈顶指针寄存器%rsp的值。

输入命令调试:

gdb ctarget

设置断点:

b *0x4017a8

r -q运行, p $rsp查看%rsp的值

得到%rsp此时为 0x5561dca0,根据开栈40字节推算:0x5561dca0-0x28 = 0x5561dc78,即40个字节的开栈位置为0x5561dc78,然后把操作指令放到该位置,让getbuf()返回到这片代码区域(touch2的地址即最终返回地址)。


🌻2.3.2 问题验证

输入命令:

vim lever2.txt

创建内容如下:

输入命令:

./hex2raw < level2.txt | ./ctarget -q


🌼2.4 实验结果

由于实验通关过程中是分阶段的,故展示通关过程中所需的创建文件如下:


🌼2.5 实验体会

  1. 深度理解底层系统编程: AttackLab实验让我深入理解了底层系统编程的复杂性。通过解密与实战,我不仅掌握了汇编语言和底层系统的关键概念,还学到了如何在这个层面上进行攻击和防御。这对于一个计算机科学学生来说是一次宝贵的体验,让我更好地理解计算机系统的运作原理。
  2. 挑战与解决问题的能力: AttackLab实验为我提供了一个真实世界的挑战,需要我动用在CSAPP课程中学到的知识,尤其是在解密Level 2时。这锻炼了我的问题解决能力和逆向工程技能,使我能够更灵活地思考和应对不同的计算机系统问题。
  3. 安全意识的提升: 通过攻击和实战,我深刻认识到计算机系统的脆弱性和安全性的重要性。AttackLab实验让我不仅仅停留在理论层面,更能够将安全意识应用到实际中,为未来的计算机系统设计和维护提供了有力的支持。这种实践性的体验是我学习过程中的一大亮点。

📝 总结

在计算机系统的广袤领域,仿佛是一片未被揭示的复杂网络,隐藏着深奥的密码,而CSAPP的AttackLab实验正是那一场引人入胜的冒险之旅。这实验不仅深入挖掘计算机系统的基本概念,更将目光投向底层的系统实现,逐步揭开计算机系统内核、汇编语言和数据结构这些层次的神秘面纱。

对于那些渴望挑战计算机系统安全学习路径,以及希望掌握底层系统编程技术的冒险者们,AttackLab提供了一个独特的机会。点击下方链接,你将能够深入研究计算机科学的奇迹,探讨安全编程技术的实际应用和创新。我们引领趋势的🌱计算机科学专栏《斯坦福大学之CSAPP》将为你展开一场精彩的学术冒险,带你穿越计算机系统的迷雾,解锁其中的奥秘。🌐🔍

目录
相关文章
|
6月前
|
存储 安全 Ubuntu
【CSAPP】探秘AttackLab奥秘:level 1的解密与实战
【CSAPP】探秘AttackLab奥秘:level 1的解密与实战
72 0
|
6月前
|
存储 安全 Ubuntu
【CSAPP】探秘AttackLab奥秘:level 3的解密与实战
【CSAPP】探秘AttackLab奥秘:level 3的解密与实战
72 0
|
6月前
|
存储 前端开发 rax
【CSAPP】探秘AttackLab奥秘:level 5的解密与实战
【CSAPP】探秘AttackLab奥秘:level 5的解密与实战
95 0
|
算法 Java 程序员
重温经典《Thinking in java》第四版之第五章 初始化与清理(三十一)
重温经典《Thinking in java》第四版之第五章 初始化与清理(三十一)
48 0
|
Java C语言
重温经典《Thinking in java》第四版之第四章 控制执行流程(二十四)
重温经典《Thinking in java》第四版之第四章 控制执行流程(二十四)
55 1
|
6月前
|
存储 NoSQL Ubuntu
【CSAPP】探究BombLab奥秘:Phase_3的解密与实战
【CSAPP】探究BombLab奥秘:Phase_3的解密与实战
55 0
【CSAPP】探究BombLab奥秘:Phase_3的解密与实战
|
6月前
|
存储 前端开发 rax
【CSAPP】探秘AttackLab奥秘:level 4的解密与实战
【CSAPP】探秘AttackLab奥秘:level 4的解密与实战
62 0
|
6月前
|
存储 机器学习/深度学习 安全
【CSAPP】探究BombLab奥秘:Phase_4的解密与实战
【CSAPP】探究BombLab奥秘:Phase_4的解密与实战
70 0
|
6月前
|
存储 NoSQL 安全
【CSAPP】探究BombLab奥秘:Phase_5的解密与实战
【CSAPP】探究BombLab奥秘:Phase_5的解密与实战
87 0
|
6月前
|
存储 NoSQL Ubuntu
【CSAPP】探究BombLab奥秘:Phase_2的解密与实战
【CSAPP】探究BombLab奥秘:Phase_2的解密与实战
56 0
下一篇
无影云桌面