csapp attack lab level4

完成了Part1前三个缓冲区注入代码改变返回地址的实验,现在来看看Part2.因csdn新手,所以上传pdf并不会。直接截图把
csapp attack lab level4
csapp attack lab level4
csapp attack lab level4
这里是介绍部分,大致说明了因为两个原因不能进行代码注入而写shellcode,一个是ALSR栈上地址随机化,一个是NX就是栈没有执行的权限。这样怎么攻击呢?有些聪明的人发现了新的攻击方式,简写ROP就是根据retq这条指令(可以理解pop rip)不断跳转所需要的代码段,最后通过多个ret连接成一个完整的攻击代码段。
就比如讲义举了个例子

void setval_210(unsigned *p)
{ 
  *p = 3347663060U;
}

这个函数反汇编,得到机器码

0000000000400f15 <setval_210>:
400f15: c7 07 d4 48 89 c7   movl $0xc78948d4,(%rdi)
400f1b: c3 retq

其中48 89 c7这个连续的机器码码表示 movq %rax, %rdi,即0x400f15这个地址放入到rip中会执行movq %rax, %rdi,c3表示retq。然后它给了一些指令对应的机器码。
csapp attack lab level4
进入重点,我们来看看phase_4
csapp attack lab level4
意思是可以用这四个指令来完成这个实验,然后它推荐gadgets从start_farm和mid_farm之间找。
我的第一想法
pop %rdi ret
cookie的值
ret
touch2 的地址
我也不知道其他人怎么找的gadget
我是用反汇编整个rtarget然后用管道符然后抓取关键字获取的

csapp attack lab level4
遗憾的没有5f这个指令。

所以只能 popq %rax, retq (58 ) (c3)
cookie的值
movq %rax,%rdi ,ret (48 89 c7) (c3)
touch2 返回地址
csapp attack lab level4
我看了看,选第一给比较靠谱,剩下俩58是字符串的一部分(经实验 第三个可以成功 而中间那个不知道为啥不能成功)
所以popq %rax, retq 为0x4019ab
cookie为0x59b997fa
同理
csapp attack lab level4
movq %rax,%rdi ,ret为 0x4019a2(之间的不行,最下边的可以成功,不知道为啥)
touch2的地址为
csapp attack lab level4
好了万事俱备,编写txt,注意小端序排序

csapp attack lab level4
(ab,可以写成cc, a2可以写成c5)
成功!
csapp attack lab level4

上一篇:CVE-2021-3156:Sudo 堆缓冲区溢出漏洞 POC


下一篇:springBoot(5):web开发-模板引擎FreeMarker与thymeleaf