计组实验5.docx

HUNAN UNIVERSITY课程实习报告题目： 学生姓名 实验环境vm虚拟机ubuntu32位操作系统实验准备使用tar xvf命令解压文件后，会有3个可执行的二进制文件bufbomb，hex2raw，makecookie。bufbomb运行时会进入getbuf函数，其中通过调用Gets函数读取字符串。要求在已知缓冲区大小的情况下对输入的字符串进行定制完成特定溢出操作。从PDF文件中我们得知getbuf函数的源码为：/ /Buffer size for getbuf #define NORMAL_BUFFER_SIZE 32 int getbuf() {char buf[NORMAL_BUFFER_SIZE];Gets(buf);return 1; }这个函数安全性能存在缺陷，gets函数用来获取数据到缓冲区，而gets函数不会对输入的数据进行边界检查。所以当我们的输入超过了缓冲区的大小（这里是32）时，超过缓冲区的数据就会覆盖内存中用作其它用途的数据，从而改变程序的行为。我们接下来的操作就是利用这个缺陷，使程序按照我们的方向去执行。hex2raw可执行文件就是将给定的16进制的数转成二进制字节数据。Makecookie是产生一个userid。输入的相应的用户名产生相应的cookie值。实验解决方案Level0:实验要求：从英文的PDF文件中我们可以得知，我们需要让test运行完后，不直接退出，而是调到smoke函数处执行然后退出。源码：Test源码：void test(){int val;// Put canary on stack to detect possible corruptionvolatile int local = uniqueval();val = getbuf();// Check for corrupted stackif (local != uniqueval()) { printf(Sabotaged!: the stack has been corrupted\n);}else if (val == cookie) {printf(Boom!: getbuf returned 0x%x\n, val); validate(3);} else {printf(Dud: getbuf returned 0x%x\n, val);}}smoke源码:void smoke(){printf(Smoke!: You called smoke()\n);validate(0);exit(0);}解答：对bufbomb函数进行反汇编并获取getbuf函数的反汇编代码：从上面的汇编代码中我们可以得知，lea指令把buf的指针地址(-0x28(%ebp))传给了Gets()。我们画出栈结构为(为绘制图简单，我们将相应的地址直接写在栈内部，如ebp-4写在方框中，实际上应当是这个地址指向这块内存区域，接下来的绘图都将采用这种方式)：getbuf返回地址ebp的值ebp - 4ebp - 8ebp - c……ebp - 28……ebp-38易知(ebp – 28)距离getbuf函数的返回地址之间有44个字节，我们只需要在将getbuf返回地址的字修改为smoke函数的入口地址，这样我们就可以在执行完getbuf函数之后执行smoke函数。我们通过反汇编得到smoke函数的入口地址为0x08048e0a:我们构造文件0.txt,里面存放数据为（按小端机器输入数据）：30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 30 31 31 31 31 31 31 31 31 31 31 31 31 31 31 31 31 31 31 31 31 32 32 32 32 0b 8e 04 08我们之所以将0x08048e0a改成8e04080b是因为0a对应的是换行符，会使该字符无法读入而结束Gets函数。将0a改成0b实际上是延长了代码的执行，不过对程序执行没有影响。运行结果为：Level1：题意：从英文PDF文件中我们可以理解到，使getbuf函数的返回指向fizz函数，同时将fizz函数的参数置为userid对应的cookie值。FIZZ源码：void fizz(int val){if (val == cookie) {printf(Fizz!: You called fizz(0x%x)\n, val);validate(1);} elseprintf(Misfire: You called fizz(0x%x)\n, val);exit(0);}解答：反汇编得到fizz函数的入口地址为0x08048daf：与level0类似，不过fizz需要传入一个