计组实验5报告.docVIP

课程实验报告 课 程 名 称： 计算机组成与结构 实验项目名称： buflab-handout 专 业 班 级： 计科1403 姓 名： 学 号： 指 导 教 师： 黄丽达 完 成 时 间： 2016 年 5 月 31 日实验题目：buflab-handout(缓冲区溢出实验) 实验目的：模拟缓冲区溢出攻击，本实验共有5个不同的缓冲区溢出实验，每一个实验要求的返回的地址不一样，前三个允许破坏栈，后两个不允许破坏栈达到攻击目的。 实验环境：联想ThinkPad E545,Ubuntu14（2位）hex2raw文件的作用是如果gets从终端读取时无法输入一些不可打印的数据通过hex1.???? Level0: Candle (10 pts) 题目要求：让test运行完后，不直接返回退出。而是跳到smoke函数处，继续运行，而当smoke运行完毕后，才退出。est源代码 void test() { int val; /* Put canary on stack to detect possible corruption */ volatile int local = uniqueval(); val = getbuf(); /* Check for corrupted stack */ if (local != uniqueval()) { printf(Sabotaged!: the stack has been corrupted\n); } else if (val == cookie) { printf(Boom!: getbuf returned 0x%x\n, val); validate(3); } else { printf(Dud: getbuf returned 0x%x\n, val); } } test源代码void smoke() { printf(Smoke!: You called smoke()\n); validate(0); exit(0); } 由test源代码可以看出其调用了getbuf()函数可以以此为突破口修改函数的返回地址/* Buffer size for getbuf */ #define NORMAL_BUFFER_SIZE 32 int getbuf() { char buf[NORMAL_BUFFER_SIZE]; Gets(buf); return 1; } 可以看出getbuf函数没有检查边界，所以无法避免但缓冲区的数据长度超出给定最大长度（函数定义最大长度为32）造成的后果，我们可以利用这个漏洞来修改test函数执行完成后的返回地址，让test执行完后的返回地址指向smoke函数的入口即可达到实验目的。 首先反汇编getbuf函数：从上面图三句可以看到lea把buf的指针地址(-0x28(%ebp))传给了eax寄存器再把eaxGets()函数，也就是说buf距离有0x28 + 4(%ebp的字节数)即0x2c(44)个字节的距离于是只要在buf开始处随便填入44个字节只要不是换行符\n（ASCII值0x0a，Get所以前44字节只要不是0a都行，并在处中填入smoke函数的入口地址即可。 接下来smoke函数找到函数入口地址0x08048e0a 所以根据这个地址构造0.txt文件： 一开始是将smoke的入口地址 0a 8e 04 08 覆盖buf返回地址，但是0a是换行符，导致出错 所以考虑用smoke入口的下一条地址0x08048e0b覆盖buf的返回地址，既可以避免了换行符的提前结束，也可以进入到smoke函数内部执行，只不过少了push %ebp可能导致ebp2.???? Level1: Sparkler (10 pts) 题目要求：在level 0的基础上，使getbuf函数的返回指向fizz函数，同时将fizz函数的参数置为userid对应的cookie值我的userfizz函数源代码void fizz(int val) { if (val == cookie) { printf(Fizz!: You called fizz(0x%x)\n, val); validate(1); } else printf(Misfire: You called fizz(0x%x)\n, val); exit(0