CSAPP实验三:缓冲区溢出炸弹(Buflab)

Posted CNFINITE

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了CSAPP实验三:缓冲区溢出炸弹(Buflab)相关的知识,希望对你有一定的参考价值。

       本系列文章为中国科学技术大学计算机专业学科基础课《计算机系统》布置的实验,上课所用教材和内容为黑书CSAPP,当时花费很大精力和弯路,现来总结下各个实验,本文章为第三个实验——缓冲区溢出炸弹(Buflab)。

一、实验名称:buflab

二、实验学时: 3

三、实验内容和目的:

       掌握函数调用时的栈帧结构,利用输入缓冲区的溢出漏洞,将攻击代码嵌入当前程序的栈帧中,使得程序执行我们所期望的过程

四、实验原理:

       ·溢出的字符将覆盖栈帧上的数据

           -特别的,会覆盖程序调用的返回地址

           -赋予我们控制程序流程的能力

       ·通过构造溢出字符串,程序将“返回”至我们想要的代码上

五、实验步骤及结果:

       本实验需要你构造一些攻击字符串,对目标可执行程序BUFBOMB分别造成不同的缓冲区溢出攻击。实验分5个难度级分别命名为Smoke(level 0)、Fizz(level 1)、Bang(level 2)、Boom(level 3)和Nitro(level 4),其中,前2个为必做,后3个为选做,我选做了Bang,这一关有个坑,需要关闭进程地址空间随机化,很少有教程会提到,当时找了好久才解决

     1.Overview

       本次lab利用getbuf()方程不检查读取string长度的漏洞破坏该方程的 return address 从而达到对主程序造成破坏的目的。从getbuf() 的assembly code我们可以看到:

       位于 <0x8048fe6> 地址处代码为预读的 string 在 stack 创建了0xc(也就是12)个Byte 的空间。具体位置可以通过gdb在下一行设置 breakpoint 查找 %eax 的值得到,如下所示:

       通过gdb调试得到,getbuf()申请的12字节缓冲区首地址为 <0xffffb87c>,这个地址后面会用到。

       通常在P过程调用Q过程时,程序的stack frame结构如下图所示:

        为了覆盖被存在Return Address上的值(4 Bytes for m32 machine),我们需要读入超过系统默认12 Bytes大小的string。由于Saved ebp 占据了4 Bytes 所以当我们的input string 为20 Bytes时,最后4位Bytes 刚好覆盖我们的目标Return address.

      (Notes: 由于我们在输入文件下写入的都是character(字符)因此我们需要利用hex2raw这个小程序帮助我们将我们写入的character转换成所对应的二进制数列。)

      2. level0:Candle(smoke)

        Smoke任务的目标是构造一个攻击字符串作为bufbomb的输入,在getbuf()中造成缓冲区溢出,使得getbuf()返回时不是返回到test函数,而是转到smoke函数处执行。为此,你需要:

       1) 在bufbomb的反汇编源代码中找到smoke函数,记下它的起始地址:

        如以上实例中,smoke的开始地址是<0x08048e20>

        2) 同样在bufbomb的反汇编源代码中找到getbuf()函数,观察它的栈帧结构:

         如以上实例,你可以看到getbuf()的栈帧是0x18+4个字节,而buf缓冲区的大小是0xc(12个字节)

        3) 构造攻击字符串覆盖返回地址

        攻击字符串的功能是用来覆盖getbuf函数内的数组buf(缓冲区),进而溢出并覆盖ebp和ebp上面的返回地址,所以攻击字符串的大小应该是0xc+4+4=20个字节。并且其最后4个字节应是smoke函数的地址,正好覆盖ebp上方的正常返回地址。这样再从getbuf返回时,取出的根据攻击字符串设置的地址,就可实现控制转移。

        所以,这样的攻击字符串为:

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 20 8e 04 08

       总共20个字节,并且前面16个字节可以为任意值,对程序的执行没有任何影响,只要最后四个字节正确地设置为smoke的起始地址<0x08048e20>即可,对应内存写入20 8e 04 08(小端格式)。

       通过Linux终端执行:

       至此,leve0任务smoke通过!

     3. level1:Sparker(fizz)

       level1 和 level0 大同小异,唯一的区别是本次要求跳入函数 fizz(int) 且该函数有一个参数(要求用所给cookie作参数)。

       原理与smoke相同,观察栈帧结构可以发现只需要在smoke攻击字串后面再继续覆盖调用栈帧的参数。

       我们知道在执行完ret指令后栈顶指针 %esp 会自动增加4以还原栈帧。

       通过查找fizz()得知:

        fizz()函数的起始地址为 <0x08048dc0> 与smoke相同,ebp+4为栈帧返回地址。执行完ret指令后栈顶指针 %esp 会自动增加4以还原栈帧。在fizz汇编代码段,cmp指令是将存放cookie的变量与%ebp+0x8处的值相比,此时参数地址也就是旧的ebp+4+8。我们只需要将自己的cookie放置在该位置即可。

        所以构造攻击文件fizz.txt如下:

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 c0 8d 04 08 00 00 00 00 12 2c 46 22

       其中,<0x08048dc0>为fizz函数起始地址,<0x22462c12>为自己的cookie,通过参数传递给fizz。

       最后执行测试结果如下:

        至此,leve1任务fizz通过!

     4. level2:Firecracker(bang)

       level2的难度开始增加,除了需要跳转至目标函数bang() 地址为<0x08048d60>

       我们还需要执行一些自行设计的指令,因为该任务我们需要将global_value 的值改成我们的cookie,通过objdump -D bufbomb | less (注意D要大写我们才能看到header的代码,-d不会显示):

       通过objdump -D 反汇编可以看到:

       global_value的地址是<0x0804a1dc>, 目前该位置的初始值为 0 ;

       cookie的地址是<0x0804a1cc>, 目前该位置的值初始为 0,程序运行后会变为cookie的值。Cookie:0x22462c12

       我们需要做的就是,在程序运行时将global_value的值设置为cookie的值。

       构造自定义攻击指令bang.s:

       由于是Assembly code 不需要考虑 little endian的问题。先将global_value 用mov指令变cookie (0x0804a1dc前不加$表示地址),然后将bang()函数地址<0x08048d60>写给esp,再执行ret指令时,程序自动跳入bang()函数。

       指令 gcc -m32 -c bang.s 将assembly code写成machine code -->bang.o,再用objdump -d bang.o 读取machine code如下:

        将指令代码抄入攻击文件,除此之外我们还需要找到input string存放的位置作为第一次ret指令的目标位置,具体操作方法见Overview, 经过gdb调试分析getbuf()申请的12字节缓冲区首地址为<0xffffb87c>

       所以构造攻击字符串bang.txt如下:

c7 05 dc a1 04 08 12 2c 46 22 68 60 8d 04 08 c3 7c b8 ff ff

      使用sendstring获得新的攻击字符,执行程序测试运行结果

      提示运行失败,这里出现段错误是因为Linux系统默认开启了栈保护机制,用于阻止缓冲区溢出攻击

解决方法:

      安装execstack sudo apt-get install execstack

      修改程序堆栈的可执行属性 execstack -s bufbomb

      这还不够,还要关闭进程地址空间随机化:

      sudo -s

      echo 0 > /proc/sys/kernel/randomize_va_space

      再次测试运行结果:

       至此,leve2任务bang通过!

以上是关于CSAPP实验三:缓冲区溢出炸弹(Buflab)的主要内容,如果未能解决你的问题,请参考以下文章

CSAPP实验三:缓冲区溢出炸弹(Buflab)

CSAPP实验三:缓冲区溢出炸弹(Buflab)

CSAPP实验四----缓冲区溢出实验bufbomb

buflab实验

CSAPP缓冲区溢出攻击实验(上)

CSAPP实验二:二进制炸弹(Bomb Lab)