【CSAPP】探秘AttackLab奥秘：level 5的解密与实战

🌳1. CSAPP与AttackLab简介

🌼1.1 CSAPP

《CSAPP》是指计算机系统基础课程的经典教材《Computer Systems: A Programmer's Perspective》，由Randal E. Bryant和David R. O'Hallaron编写。该书的主要目标是帮助深入理解计算机系统的工作原理，包括硬件和软件的相互关系，其涵盖了计算机体系结构、汇编语言、操作系统、计算机网络等主题，旨在培养学生系统级编程和分析的能力。

🌼1.2 AttackLab

target1实验通常与CS:APP书中的“Buffer Overflow Attack”相关。这个实验旨在教授计算机系统的安全性，防止攻击者定位攻击和锻炼使用金丝雀防护，特别是关于缓冲区溢出漏洞的理解和利用。在这个实验中，尝试利用缓冲区溢出漏洞来修改程序的执行流程，从而实现未授权的操作，比如执行恶意代码或获取系统权限。要求深入了解程序内存布局、堆栈和函数调用等概念，并学会利用输入缓冲区溢出漏洞来修改程序行为，这有助于理解系统安全中的一些基本原则和漏洞。

🌳2. AttackLab

🌼2.1 实验环境

• VMware Workstation虚拟机环境下的Ubuntu 64位。

🌼2.2 实验过程

实验准备阶段：首先需要使用ubuntu联网环境跳转到链接下载实验所需的attacklab：attacklab源文件

下载target1压缩包并输入

tar –xvf target1.tar

进行解压缩，进入该目录所有文件如下所示：

​​​

当前提供材料包含一个攻击实验室实例的材料:

1.ctarget 带有代码注入漏洞的Linux二进制文件。用于作业的第1-3阶段。 2.rtarget 带有面向返回编程漏洞的Linux二进制文件。用于作业的第4-5阶段。 3.cookie.txt 包含此实验室实例所需的4字节签名的文本文件。（通过一些Phase需要用到的字符串） 4.farm.c rtarget实例中出现的gadget场的源代码。您可以编译(使用标志-Og)并反汇编它来查找gadget。 5.hex2raw 生成字节序列的实用程序。参见实验讲义中的文档。（Lab提供给我们的把16进制数转二进制字符串的程序）

在终端处输入命令

tar -xvf target1.tar

将压缩包解压如下：

​​​

图3-2

实验过程阶段：

使用

objdump -d ctarget > ctarget.asm

objdump -d rtarget > rtarget.asm

对ctarget以及rtarget进行反汇编，得到ctarget.asm和rtarget.asm。

​​​

在官方文档的目标程序给出，CTARGET和RTARGET都从标准输入读取字符串。它们使用下面定义的函数getbuf来执行此操作：

​​

函数Gets类似于标准库函数gets—它从标准输入中（从缓冲区）读取字符串 (以’ \n '或文件结束符结束) 并将其(连同空结束符)存储在指定的目的地。即空格/Tab/回车可以写入数组文本文件，不算作字符元素， 不占字节，直到文件结束， 如果是命令行输入的话，直到回车结束（区别getchar ()：是在输入缓冲区顺序读入一个字符 (包括空格、回车和 Tab)结束，scanf：空格/Tab/回车都当作结束。函数Gets()无法确定它们的目标缓冲区是否足够大，以存储它们读取的字符串。它们只是复制字节序列，可能会超出在目的地分配的存储边界（缓冲区溢出）对应汇编代码：

​​

因为Ctarget就是让我们通过缓冲区溢出来达到实验目的，所以可以推断sub $0x28,%rsp的40个字节数就等于输入字符串的最大空间，如果大于40个字节，则发生缓冲区溢出（超过40个字节的部分作为函数返回地址，如果不是确切对应指令的地址，则会误入未知区域,报错：

Type string:Ouch!: You caused a segmentation fault!段错误，可能访问了未知额内存）

🌼2.3 第二部分

解决完level1-level3后，进入到第二部分：面向返回的编程。对程序RTARGET执行代码注入攻击比CTARGET要困难得多，因为它使用两种技术来阻止这种攻击：

•使用随机化，以便堆栈位置在不同的运行中不同。这使得无法确定注入的代码将位于何处。 •将保存堆栈的内存部分标记为不可执行，因此即使将程序计数器设置为注入代码的开头，程序也会因分段错误而失败。

通过执行现有代码，而不是注入新代码，在程序中完成有用的事情。这种最通用的形式被称为面向返回编程（ROP）[1，2]。ROP的策略是识别现有程序中的字节序列，该序列由一条或多条指令组成，后面跟着指令ret.这样的段被称为gadget. 即Part II和PartI I的区别是：这里用栈随机性和禁止栈中使用命令:栈随机性导致栈的位置不再固定，也导致我们不能像Part I一样，运行命令直接用栈中的确切位置就返回；禁止栈中使用命令为如果我们的命令是在栈中的，即%rip（程序计数器）指向栈，则会报错（段错误）。

​​​

该图表示需要设置要执行的gadget序列，字节值0xc3对ret指令进行编码。说明了如何设置堆栈以执行一系列n个gadget。图中，堆栈包含一系列gadget地址。每个gadget都由一系列指令字节组成，最后一个字节是0xc3，用于编码ret指令。当程序从该配置开始执行ret指令时，它将启动一系列gadget执行，每个gadget末尾的ret指令会导致程序跳到下一个gadget的开头。gadget可以使用与编译器生成的汇编语言语句相对应的代码，尤其是函数末尾的代码。在实践中，可能有一些这种形式的有用gadget，但不足以实现许多重要的操作。例如，编译后的函数不太可能在返回之前将popq%rdi作为其最后一条指令。幸运的是，对于面向字节的指令集，如x86-64，通常可以通过从指令字节序列的其他部分提取模式来找到gadget。

例如，rtarget的一个版本包含为以下C函数生成的代码：

​​

​

这个功能对攻击系统有用的可能性似乎很小。但是，这个函数的反汇编机器代码显示了一个有趣的字节序列：

​​​

字节序列48 89 c7对指令movq%rax，%rdi进行编码。此序列后面是字节值c3，它对ret指令进行编码。函数从地址0x400f15开始，序列从函数的第四个字节开始。因此，此代码包含一个gadget，其起始地址为0x400f18，它将把寄存器%rax中的64位值复制到寄存器%rdi。

RTARGET代码包含许多类似于上面显示的setval_210函数的函数，这些函数位于称为gadget farm的区域中（注意: 重要提示：gadget farm由rtarget副本中的函数start_farm和end_farm划分，不要试图从程序代码的其他部分构造gadget）。工作将是在gadget farm中识别有用的gadget，并使用这些gadget执行类似于第2阶段和第3阶段的攻击。

🌼2.4 level 3（第二部分）

阶段5要求对RTARGET进行ROP攻击，以使用指向cookie的字符串表示的指针调用函数touch3。

🌻2.4.1 解决思路

在第二阶段和第三阶段，已经解决了让一个程序执行自行设计的机器代码。如果CTARGET是一个网络服务器，则可以将自己的代码注入到远处的机器中。第四阶段绕过了现代系统用来阻止缓冲区溢出攻击的两个主要设备。虽然没有注入自己的代码，但可以注入一种通过将现有代码序列拼接在一起来操作的程序类型。这一阶段要求对 RTARGET 进行 ROP 攻击，以使用指向 cookie 字符串表示的指针调用函数 touch3。

要解决阶段5，可以在rtarget中由函数start_farm和end_farm划分的代码区域中使用小工具。除了在阶段4中使用的小工具，这个扩展的场还包括不同的movl指令的编码。这部分场中的字节序列也包含2字节指令，它们作为nops函数，也就是说，它们不改变任何寄存器或内存值。包括指令如andb %al，%al，它们对一些寄存器的低阶字节进行操作，但不改变它们的值。

因为有了栈随机性，我们不能指定指针确切位置了，但是可以通过 相对位置 + 栈顶的位置，先获取到栈顶的位置，然后加上我们放置距离栈顶的相对位置，得到cookie字符串起始地址放置的位置，推导如下：

1.需要 获取栈顶的位置，查看Source = %rsp的mov指令机器码，查找与之相关联的寄存器。 2.发现movq %rsp,%rax可用，则先找movq %rax,%rdi，因为最终需要%rdi 来存放 字符串的指针开始地址，因为lea命令可以起到add和mov的作用，lea (%rdi,%rsi,1),%rax 中%rsi可以作 相对位置偏移的量，这个偏移量由最终栈顶离字符串的相对偏移位置来确定，%rdi里面存%rsp刚开始的栈顶位置，由上一步movq %rsp,%rax movq %rax,%rdi得到，最后的偏移位置在%rax中，最后只需要movq %rax,%rdi即可达到目的。 3.需要把偏移量放到%rsi中，因为没有pop %rsi，只能逆向思维，找与mov %rsi相关的指令。 4.在farm部分只找到movl %ecx,$esi ，需要把%eax与%ecx联系起来，因为只有%rax可以pop（可以指定值），所以逆向寻找movl %ecx，得到逆向顺序：%eax -> %edx -> %ecx -> %esi。

新建anwer4.s文件，内容如下所示：

​​​

movq %rsp,%rax    (location:0x401a06)
movq %rax,%rdi    (location: 0x4019c5)
popq %rax       (location:0x4019cc)
movq %eax,%edx    (location:0x4019dd)
movq %edx,%ecx     (location: 0x401a69)
movq %ecx,%esi    (location:0x401a13)
lea %rdi + %rsi* 1, %rax     (location:0x4019d6)
movq %rax,%rdi     (location:0x4019c5)
retq    (jmp location: touch3 4018fa)

其中movq %rsp,%rax (location:0x401a06)是为了将%rsp元素存放到%rax中，接着使用movq %rax,%rdi (location:0x4019c5)将%rax数据存放到%rdi中，利用popq %rax (location:0x4019cc) 将栈元素存放到%rax中，接着连着使用movq 是为了将%eax数据依此存放到%edx、%ecx和%esi。

关于lea指令在intel开发手册上的官方解释见下。

​​​

官方解释Load Effective Address，即装入有效地址的意思，它的操作数就是地址；因此lea %rdi + %rsi* 1, %rax (location:0x4019d6)含义是将%rdi与%rsi存储的数据相加，并将结果存放到%rax中。而movq %rax,%rdi (location:0x4019c5)指令是为了将%rax值存放到%rdi，最后的retq (jmp location: touch3 4018fa)指令是为了将栈中值弹出，然后跳转到地址touch3 4018fa。

新建level5.txt建立内容如下：

​​​

🌻2.4.2 问题验证

输入命令进行验证：

./hex2raw < level5.txt | ./rtarget -q

显示结果为PASS(需要注意的是，这里的指向文件应该为rtarget而非ctarget,否则显示仍然为Fail)：

​​​

🌼2.5 实验结果

由于实验通关过程中是分阶段的，故展示通关过程中所需的创建文件如下：

​​​

🌼2.6 实验体会

1. 深度理解系统原理： AttackLab实验让我深刻理解了计算机系统的底层原理和安全机制。通过解密与实战，我不仅熟练掌握了系统编程技术，还对汇编语言和数据结构有了更深层次的认识。这种深度理解使我在编程和系统设计方面取得了显著的进步。
2. 逆向工程的挑战： AttackLab的逆向工程要求我们通过分析二进制代码解决炸弹挑战。这种实践锻炼了我的逻辑思维和问题解决能力。每一级别的解密都是一次挑战，需要细致入微的分析和耐心的调试。在这个过程中，我学到了很多解决复杂问题的方法，对逆向工程有了更深入的了解。
3. 团队协作与学术社交： 在实验过程中，我积极与同学进行讨论和合作，分享解决问题的方法和思路。这不仅增加了我对AttackLab的理解，还促进了团队协作和学术社交。与同好共同攻克实验难关，分享心得，使整个学习过程更加充实和有趣。这种团队协作精神在解决复杂计算机科学问题中尤为重要。

📝 总结

在计算机系统的广袤领域，仿佛是一片未被揭示的复杂网络，隐藏着深奥的密码，而CSAPP的AttackLab实验正是那一场引人入胜的冒险之旅。这实验不仅深入挖掘计算机系统的基本概念，更将目光投向底层的系统实现，逐步揭开计算机系统内核、汇编语言和数据结构这些层次的神秘面纱。