计算机基础 - 期末试验 - 个人文章

攻击

首先使用（gdb）disas doSomething查看doSomething函数的汇编代码

QQ图片20200531150526.png
可以看到，这个函数在开始的时候开辟了一个大小为0x28的栈，并在最后释放这个栈。也就是说会获取0x28字节的字符串(即40个字符),最后执行retq指令。

entrance函数需要一个参数,并且该参数的值为cookie值。从已经学到的知识可以知道，传入的参数是放在%rdi寄存器中。所以现在我们要注入自己的代码将变量存储到%rdi中。指导文档中提到，不要尝试使用jmp或call指令实现跳转，因为很难生成一条完整地带有目标地址的jmp或call指令；而ret指令实现跳转是一种最容易实现的方式。所以现在我们需要使gets函数中的retq指令返回到我们注入的代码首地址，之后再由我们注入的代码，通过retq指令返回到entrance函数。由于现在只可能通过输入的字符串注入代码，注入代码的地址便是输入的字符串首地址。
使用disas entrance查看entrance函数的汇编代码

QQ图片20200531151106.jpg
可以得到entrance函数的首地址为0x4018a4，由cmp $0xdf4b73a8,%ebp可以得到cookie的值为0xdf4b73a8

获取字符串的首地址，思路是先用break doSomething在doSomething函数处下一个断点，r运行程序执行到该处，用info registers rsp查看寄存器%rsp的值。

QQ图片20200531192236.png
得到rsp寄存器的地址为0x55585ff8-0x28=0x55585fd0

综上，我们注入的代码应该为


movq $0xdf4b73a8,%rdi

pushq $0x4018a4

retq

先将cookie值(0xdf4b73a8)存入到%rdi寄存器中，用于传参数给entrance函数；再将entrance函数地址(0x4017ec)压栈，使得retq返回到entrance函数。

把以上代码存储为test.s，用gcc和objdump把汇编代码翻译为机器码：

QQ图片20200531152732.png

gcc -c test.S //得到test.o文件
objdump -d test.o  > test.d//得到test.d文件

（这里有一个易错点：拓展名.S中的S一定是大写，否则会爆出如下错误
QQ图片20200531152347.png ）

得到机器码test.d如下： QQ图片20200531152829.png

创建data文件如图：

QQ图片20200531192144.png

拆弹

首先对exam文件进行反汇编：

QQ图片20200601133902.png

定位到phase_0函数：

QQ图片20200601134011.png
可知答案字符串应该存储在rdi寄存器中，地址为OX4013E3+0XC75=0X402058
QQ图片20200601134348.png
得到答案In the sepulchre there by the sea

定位到phase_1函数：

QQ图片20200601134638.png
由cmp $0x4，%eax可知，字符串数字必须大于4个，
查阅acsii表得知0x38，0x2a对应8， ，中间随便输入三个字符（如zhr，姓名缩写），8zhr

定位到phase_2函数：

QQ图片20200601135414.png QQ图片20200601135441.png
由lea 0X7C2(%rip），%rbp得到字符串(Eu8[]?<yW：
QQ图片20200601140716.png
再定位到recursion函数：
QQ图片20200601140126.png
每个字符加一得到：)Fv9^@=zX