【CSAPP】探秘AttackLab奥秘：level 2的解密与实战

🌳1. CSAPP与AttackLab简介

🌼1.1 CSAPP

《CSAPP》是指计算机系统基础课程的经典教材《Computer Systems: A Programmer's Perspective》，由Randal E. Bryant和David R. O'Hallaron编写。该书的主要目标是帮助深入理解计算机系统的工作原理，包括硬件和软件的相互关系，其涵盖了计算机体系结构、汇编语言、操作系统、计算机网络等主题，旨在培养学生系统级编程和分析的能力。

🌼1.2 AttackLab

target1实验通常与CS:APP书中的“Buffer Overflow Attack”相关。这个实验旨在教授计算机系统的安全性，防止攻击者定位攻击和锻炼使用金丝雀防护，特别是关于缓冲区溢出漏洞的理解和利用。在这个实验中，尝试利用缓冲区溢出漏洞来修改程序的执行流程，从而实现未授权的操作，比如执行恶意代码或获取系统权限。要求深入了解程序内存布局、堆栈和函数调用等概念，并学会利用输入缓冲区溢出漏洞来修改程序行为，这有助于理解系统安全中的一些基本原则和漏洞。

🌳2. AttackLab

🌼2.1 实验环境

• VMware Workstation虚拟机环境下的Ubuntu 64位。

🌼2.2 实验过程

实验准备阶段：首先需要使用ubuntu联网环境跳转到链接下载实验所需的attacklab：attacklab源文件

下载target1压缩包并输入

tar –xvf target1.tar

进行解压缩，进入该目录所有文件如下所示：

​​​​

当前提供材料包含一个攻击实验室实例的材料:

1.ctarget 带有代码注入漏洞的Linux二进制文件。用于作业的第1-3阶段。 2.rtarget 带有面向返回编程漏洞的Linux二进制文件。用于作业的第4-5阶段。 3.cookie.txt 包含此实验室实例所需的4字节签名的文本文件。（通过一些Phase需要用到的字符串） 4.farm.c rtarget实例中出现的gadget场的源代码。您可以编译(使用标志-Og)并反汇编它来查找gadget。 5.hex2raw 生成字节序列的实用程序。参见实验讲义中的文档。（Lab提供给我们的把16进制数转二进制字符串的程序）

在终端处输入命令

tar -xvf target1.tar

将压缩包解压如下：

​​​​

图3-2

实验过程阶段：

使用

objdump -d ctarget > ctarget.asm

objdump -d rtarget > rtarget.asm

对ctarget以及rtarget进行反汇编，得到ctarget.asm和rtarget.asm。

​​​​

在官方文档的目标程序给出，CTARGET和RTARGET都从标准输入读取字符串。它们使用下面定义的函数getbuf来执行此操作：

​​​

函数Gets类似于标准库函数gets—它从标准输入中（从缓冲区）读取字符串 (以’ \n '或文件结束符结束) 并将其(连同空结束符)存储在指定的目的地。即空格/Tab/回车可以写入数组文本文件，不算作字符元素， 不占字节，直到文件结束， 如果是命令行输入的话，直到回车结束（区别getchar ()：是在输入缓冲区顺序读入一个字符 (包括空格、回车和 Tab)结束，scanf：空格/Tab/回车都当作结束。函数Gets()无法确定它们的目标缓冲区是否足够大，以存储它们读取的字符串。它们只是复制字节序列，可能会超出在目的地分配的存储边界（缓冲区溢出）对应汇编代码：

​​​

因为Ctarget就是让我们通过缓冲区溢出来达到实验目的，所以可以推断sub $0x28,%rsp的40个字节数就等于输入字符串的最大空间，如果大于40个字节，则发生缓冲区溢出（超过40个字节的部分作为函数返回地址，如果不是确切对应指令的地址，则会误入未知区域,报错：

Type string:Ouch!: You caused a segmentation fault!段错误，可能访问了未知额内存）

🌼2.3 level 2

第2阶段涉及注入少量代码作为漏洞利用字符串的一部分。

在文件ctarget中，存在用于具有以下C表示的函数touch2的代码：

​​​​

任务是让CTARGET执行touch2的代码，而不是返回测试，且输入的字符串要与Cookie文件中的字符串相匹配。

🌻2.3.1 解决思路

根据文件中的信息，得知首先需要把字符串送到寄存器%rdi中，再进入touch2函数，即可通过Level2

所以，指令应该包括以下两个部分：

1.把字符串cookie mov进%rdi中 2.进入touch2

在vim中，编写 InjectCode1.s文件，编写汇编之后再反汇编，将得到的指令的机器码写入最后运行的十六进制（字符串）文件中即可。

查找函数touch2的地址为4017ec：

​​​​

新建一个anwer1.s文件，输入内容如下：

​​​​

其中，movq 0x59b997fa,%rdi是为了将cookie字符串存到%rdi中，pushq 0x4017ec是为了将touch2的地址压入栈中，而retq指令是为了将栈中值弹出，然后跳转到该地址。

创建完成后如下所示

​​​​

输入命令：

gcc -c anwer1.s

会生成机器码文件anwer1.o， 输入命令：

objdump -d anwer1.o > anwer1.txt

进行反汇编，得到anwer1.o和anwer1.txt：

​​​​

进入anwer1.txt得到反汇编结果如下：

​​​​

其中，汇编指令对应的机器码如下：

48 c7 c7 fa 97 b9 59
68 ec 17 40 00
c3

接下来需要找到40个字符 开栈的位置（即调用getbuf()函数数据压入栈后栈顶指针%rsp的值），让getbuf()返回到这片代码区域（touch2的地址即最终返回地址）

查看函数getbuf的汇编代码：

​​​​

起始地址为4017a8，所以需要在4017a8处设置断点（即还没运行4017a8），查看栈顶指针寄存器%rsp的值。

输入命令调试：

gdb ctarget

设置断点：

b *0x4017a8

r -q运行， p $rsp查看%rsp的值

​​​​

得到%rsp此时为 0x5561dca0，根据开栈40字节推算：0x5561dca0-0x28 = 0x5561dc78，即40个字节的开栈位置为0x5561dc78，然后把操作指令放到该位置，让getbuf()返回到这片代码区域（touch2的地址即最终返回地址）。

🌻2.3.2 问题验证

输入命令：

vim lever2.txt

创建内容如下：

​​​​

输入命令：

./hex2raw < level2.txt | ./ctarget -q

​​​​

🌼2.4 实验结果

由于实验通关过程中是分阶段的，故展示通关过程中所需的创建文件如下：

​​​​

🌼2.5 实验体会

1. 深度理解底层系统编程： AttackLab实验让我深入理解了底层系统编程的复杂性。通过解密与实战，我不仅掌握了汇编语言和底层系统的关键概念，还学到了如何在这个层面上进行攻击和防御。这对于一个计算机科学学生来说是一次宝贵的体验，让我更好地理解计算机系统的运作原理。
2. 挑战与解决问题的能力： AttackLab实验为我提供了一个真实世界的挑战，需要我动用在CSAPP课程中学到的知识，尤其是在解密Level 2时。这锻炼了我的问题解决能力和逆向工程技能，使我能够更灵活地思考和应对不同的计算机系统问题。
3. 安全意识的提升： 通过攻击和实战，我深刻认识到计算机系统的脆弱性和安全性的重要性。AttackLab实验让我不仅仅停留在理论层面，更能够将安全意识应用到实际中，为未来的计算机系统设计和维护提供了有力的支持。这种实践性的体验是我学习过程中的一大亮点。

📝 总结

在计算机系统的广袤领域，仿佛是一片未被揭示的复杂网络，隐藏着深奥的密码，而CSAPP的AttackLab实验正是那一场引人入胜的冒险之旅。这实验不仅深入挖掘计算机系统的基本概念，更将目光投向底层的系统实现，逐步揭开计算机系统内核、汇编语言和数据结构这些层次的神秘面纱。

​