實(shí)驗(yàn)4緩沖區(qū)溢出攻擊實(shí)驗(yàn)_第1頁
實(shí)驗(yàn)4緩沖區(qū)溢出攻擊實(shí)驗(yàn)_第2頁
實(shí)驗(yàn)4緩沖區(qū)溢出攻擊實(shí)驗(yàn)_第3頁
實(shí)驗(yàn)4緩沖區(qū)溢出攻擊實(shí)驗(yàn)_第4頁
實(shí)驗(yàn)4緩沖區(qū)溢出攻擊實(shí)驗(yàn)_第5頁
已閱讀5頁,還剩5頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

百度文庫(kù)-讓每個(gè)人平等地提升自我百度文庫(kù)-讓每個(gè)人平等地提升自我PAGEPAGE10百度文庫(kù)-讓每個(gè)人平等地提升自我PAGE深圳大學(xué)實(shí)驗(yàn)報(bào)告課程名稱:計(jì)算機(jī)系統(tǒng)(2)實(shí)驗(yàn)項(xiàng)目名稱:緩沖區(qū)溢出攻擊實(shí)驗(yàn)學(xué)院:計(jì)算機(jī)與軟件學(xué)院專業(yè):指導(dǎo)教師:羅秋明報(bào)告人:學(xué)號(hào):班級(jí):實(shí)驗(yàn)時(shí)間:2017年5月12日實(shí)驗(yàn)報(bào)告提交時(shí)間:2017年5月31日教務(wù)處制一、實(shí)驗(yàn)?zāi)繕?biāo):理解程序函數(shù)調(diào)用中參數(shù)傳遞機(jī)制;掌握緩沖區(qū)溢出攻擊方法;進(jìn)一步熟練掌握GDB調(diào)試工具和objdump反匯編工具。二、實(shí)驗(yàn)環(huán)境:計(jì)算機(jī)(IntelCPU)Linux32位操作系統(tǒng)(Ubuntu16.04)GDB調(diào)試工具objdump反匯編工具三、實(shí)驗(yàn)內(nèi)容本實(shí)驗(yàn)設(shè)計(jì)為一個(gè)黑客利用緩沖區(qū)溢出技術(shù)進(jìn)行攻擊的游戲。我們僅給黑客(同學(xué))提供一個(gè)二進(jìn)制可執(zhí)行文件bufbomb和部分函數(shù)的C代碼,不提供每個(gè)關(guān)卡的源代碼。程序運(yùn)行中有3個(gè)關(guān)卡,每個(gè)關(guān)卡需要用戶輸入正確的緩沖區(qū)內(nèi)容,否則無法通過管卡!要求同學(xué)查看各關(guān)卡的要求,運(yùn)用GDB調(diào)試工具和objdump反匯編工具,通過分析匯編代碼和相應(yīng)的棧幀結(jié)構(gòu),通過緩沖區(qū)溢出辦法在執(zhí)行了getbuf()函數(shù)返回時(shí)作攻擊,使之返回到各關(guān)卡要求的指定函數(shù)中。第一關(guān)只需要返回到指定函數(shù),第二關(guān)不僅返回到指定函數(shù)還需要為該指定函數(shù)準(zhǔn)備好參數(shù),最后一關(guān)要求在返回到指定函數(shù)之前執(zhí)行一段匯編代碼完成全局變量的修改。實(shí)驗(yàn)代碼bufbomb和相關(guān)工具(sendstring/makecookie)的更詳細(xì)內(nèi)容請(qǐng)參考“實(shí)驗(yàn)四緩沖區(qū)溢出攻擊實(shí)驗(yàn).pptx”。本實(shí)驗(yàn)要求解決關(guān)卡1、2、3,給出實(shí)驗(yàn)思路,通過截圖把實(shí)驗(yàn)過程和結(jié)果寫在實(shí)驗(yàn)報(bào)告上。四、實(shí)驗(yàn)步驟和結(jié)果首先是makecookie:步驟1返回到smoke()解題思路步驟1是要修改getbuf()的返回地址,在執(zhí)行完getbuf()后不是返回到原來的調(diào)用者test(),而是跳到一個(gè)叫做smoke()的函數(shù)里。只需構(gòu)造一段字符串讓Gets()全部拷貝到buf數(shù)組了,從而造成緩沖區(qū)溢出。同時(shí)最重要的一點(diǎn)是:將smoke()函數(shù)的初始地址也放到構(gòu)造的字符串內(nèi),使其恰好覆蓋到getbuf()的returnaddress位置。解題過程首先要知道smoke()的初始地址,用objdump查看符號(hào)表smoke的初始地址是0x08048eb0。buf第一個(gè)元素的地址是-0x18,而returnaddress第一個(gè)字節(jié)的地址是0x04,兩個(gè)位置的相差換算成十進(jìn)制就是0x04-(-0x18)=4+24=28。也就是說我們要構(gòu)造28個(gè)字符,然后加上smoke()的地址就能準(zhǔn)確覆蓋到returnaddress了。1.3最終結(jié)果截圖步驟2返回到fizz()并準(zhǔn)備相應(yīng)參數(shù)2.1解題思路通過objdump-t查看符號(hào)表中fizz()函數(shù)的初始地址。拿到了地址0x08048e60,只要用它替換掉之前exploit.raw中smoke()的地址就能讓getbuf()執(zhí)行完畢后返回到fizz()中。然后用makecookie生成我的用戶名ylb。以getbuf()調(diào)用Gets()為例,看一下調(diào)用者的代碼和對(duì)應(yīng)的棧。2.2解題過程先分析出從getbuf()函數(shù)結(jié)束后,到調(diào)用fizz()函數(shù)前棧的情況:0x0c即將是fizz()棧區(qū)0x08即將是fizz()棧區(qū)0x04getbuf()的返回地址(即fizz()的地址)<-%esp0x00getbuf()中%ebp的保存值得知,在返回并調(diào)用fizz()前,棧指針指向0x04處(相對(duì)getbuf()中的%ebp為0x00),隨后fizz()調(diào)用時(shí),會(huì)把fizz()的%ebp值壓入棧中,8048e66: 8b4508mov0x8(%ebp),%eax8048e69: 3b05d4a10408 cmp0x804a1d4,%eax再結(jié)合這兩行代碼得知,fizz()函數(shù)的傳入?yún)?shù)是應(yīng)該存放在0x8(%ebp)處的,棧的情況應(yīng)變?yōu)椋?x0cfizz的傳入?yún)?shù)0x08fizz()的返回地址0x04fizz()中%ebp的保存值<-%esp(因?yàn)閴簵#琯etbuf()的返回地址被替換)0x00getbuf()中%ebp的保存值01020304050607080910111213141516171819202122232425262728608e0408這串字符串剛覆蓋到0x08,即還需要覆蓋4個(gè)字節(jié),然后傳入黑客cookie值../makecookieylb利用該命令獲得個(gè)人黑客cookie值為0x239772d5黑客cookie值依據(jù)小端法調(diào)整為963cdf30,cookie值前方還需覆蓋4個(gè)字節(jié),故得到完整字符串內(nèi)容為:01020304050607080910111213141516171819202122232425262728608e040801020304d57297230dcatexploit2.txt|./sendstring|./bufbomb–tylb最后通過以上指令來把字符串內(nèi)容構(gòu)造并輸入到bufbomb程序中。2.3最終結(jié)果截圖步驟3返回到bang()且修改global_value解題思路因?yàn)槿肿兞颗c代碼不在一個(gè)段中,所以我們不能讓緩沖區(qū)一直溢出到.bss段(因?yàn)間lobal_value初始化為0,所以它會(huì)被放在.bss而非.data段以節(jié)省空間)覆蓋global_value的值。若修改了.bss和.text之間某些只讀的段會(huì)引起操作系統(tǒng)的“警覺”而報(bào)錯(cuò)。所以在進(jìn)入bang()之前我們需要執(zhí)行一小段我們自己的代碼去修改global_value,這一段代碼就叫做exploitcode。解題過程a.bang()和global_value地址得到bang()的入口地址0x08048e10,以及global_value的地址0x0804a1c4利用gdb調(diào)試獲得buf字符數(shù)組的首地址,即是注入代碼的首地址。gdbbufbomb;調(diào)試程序disassgetbuf;查看getbuf的匯編代碼給getbuf()設(shè)置斷點(diǎn),程序把斷點(diǎn)設(shè)置在0x8048ad6run–tylb;運(yùn)行程序p$ebp-0x18;由lea-0x18(%ebp),%eax分析出buf地址為%ebp地址-0x18得出buf地址,也即注入代碼地址應(yīng)為0xbfffb930接下來編寫注入代碼(匯編代碼):.code32;讓gcc以32位模式來編譯movl$0x333382e2,0x0804a1c4;令global_value=cookie值pushl$0x08048e10;%esp->bang入口地址ret;retbang()gcc–cexploit_code.s//編譯匯編文件為可重定位文件.s->.oobjdump–dexploit_code.o//查看可重定位文件的內(nèi)容最終獲得注入代碼的16進(jìn)制機(jī)器碼,為16字節(jié)。在第1題中返回地址前有28個(gè)字節(jié)的空間,故在注入代碼后面仍需補(bǔ)充12個(gè)字節(jié)的空間,為方便計(jì)數(shù)定為01~12,緊接著則是buf的地址,讓getbuf()返回時(shí)跳轉(zhuǎn)到注入代碼的首地址,按照小端法,buf地址應(yīng)為30b9ffff,故完整字符串為:c705c4a10408e282333368108e0408c301020304050607080910111230b9ffbf0d忽略空格(和下劃線)后,得到exploit3.txt的內(nèi)容為:c705c4a10408e282333368108e0408c301020304050607080910111230b9ffbf0dLinux內(nèi)存地址有隨機(jī)化機(jī)制,若隨機(jī)化機(jī)制打開,那么每次運(yùn)行程序,%ebp的地址可能是不一樣的,即buf地址無法確定(注入代碼開始地址無法確定),這樣的話,注入代碼將無法正確編寫。所以需要先關(guān)閉Linux內(nèi)存地址隨機(jī)化機(jī)制,才能完成實(shí)驗(yàn)??梢酝ㄟ^設(shè)置kernel.randomize_va_space內(nèi)核參數(shù)來設(shè)置內(nèi)存地址隨機(jī)化的行為。#echo0>/proc/sys/kernel/randomize_va_space3.3最終結(jié)果截圖將global_value的值設(shè)為0x333382e2五、實(shí)驗(yàn)總結(jié)與體會(huì)(1)在做第一題的時(shí)候,遇到了一個(gè)問題。Error:Unabletosendvalidationinformationtogradingserver.隨后在網(wǎng)上查閱了相關(guān)的資料,明白了需要先安裝sendmail。執(zhí)行的命令如下:sudoapt-getinstallsendmailsudoapt-getinstallsendmail-cf隨后問題得以解決。(2)而第三題,遇到了一個(gè)問題。Linux有內(nèi)存地址隨機(jī)化機(jī)制

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論