其他分享
首页 > 其他分享> > csapp attack lab level4

csapp attack lab level4

作者:互联网

完成了Part1前三个缓冲区注入代码改变返回地址的实验,现在来看看Part2.因csdn新手,所以上传pdf并不会。直接截图把
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
这里是介绍部分,大致说明了因为两个原因不能进行代码注入而写shellcode,一个是ALSR栈上地址随机化,一个是NX就是栈没有执行的权限。这样怎么攻击呢?有些聪明的人发现了新的攻击方式,简写ROP就是根据retq这条指令(可以理解pop rip)不断跳转所需要的代码段,最后通过多个ret连接成一个完整的攻击代码段。
就比如讲义举了个例子

void setval_210(unsigned *p)
{ 
  *p = 3347663060U;
}

这个函数反汇编,得到机器码

0000000000400f15 <setval_210>:
400f15: c7 07 d4 48 89 c7   movl $0xc78948d4,(%rdi)
400f1b: c3 retq

其中48 89 c7这个连续的机器码码表示 movq %rax, %rdi,即0x400f15这个地址放入到rip中会执行movq %rax, %rdi,c3表示retq。然后它给了一些指令对应的机器码。
在这里插入图片描述
进入重点,我们来看看phase_4
在这里插入图片描述
意思是可以用这四个指令来完成这个实验,然后它推荐gadgets从start_farm和mid_farm之间找。
我的第一想法
pop %rdi ret
cookie的值
ret
touch2 的地址
我也不知道其他人怎么找的gadget
我是用反汇编整个rtarget然后用管道符然后抓取关键字获取的

在这里插入图片描述
遗憾的没有5f这个指令。

所以只能 popq %rax, retq (58 ) (c3)
cookie的值
movq %rax,%rdi ,ret (48 89 c7) (c3)
touch2 返回地址
在这里插入图片描述
我看了看,选第一给比较靠谱,剩下俩58是字符串的一部分(经实验 第三个可以成功 而中间那个不知道为啥不能成功)
所以popq %rax, retq 为0x4019ab
cookie为0x59b997fa
同理
在这里插入图片描述
movq %rax,%rdi ,ret为 0x4019a2(之间的不行,最下边的可以成功,不知道为啥)
touch2的地址为
在这里插入图片描述
好了万事俱备,编写txt,注意小端序排序


(ab,可以写成cc, a2可以写成c5)
成功!
在这里插入图片描述

标签:csapp,retq,ret,attack,level4,c3,rdi,rax,movq
来源: https://blog.csdn.net/qq_25044201/article/details/110879795