CSAPP-AttackLab：从代码注入到ROP的栈溢出攻防实战

1. 初识AttackLab：缓冲区溢出的第一课

第一次接触CSAPP的AttackLab时，我完全被这个精巧设计的实验震撼到了。这个实验就像一场精心设计的闯关游戏，只不过我们扮演的是黑客的角色，要通过缓冲区溢出漏洞一步步攻破系统防线。最有趣的是，这个实验完美模拟了真实世界中的漏洞利用场景，但又完全控制在安全的实验环境中。

实验的核心目标是通过五个难度递增的关卡（Phase），从最简单的返回地址覆盖，到复杂的ROP攻击。每个阶段都对应着不同的攻击技术演进，就像在讲述计算机安全防护与攻击技术之间的"军备竞赛"历史。我特别喜欢这种渐进式的设计，它让我能够清晰地看到攻击技术是如何随着防御机制的升级而不断进化的。

在开始实验前，我们需要准备一些基本工具：Linux环境、gdb调试器、objdump反汇编工具，以及实验提供的ctarget和rtarget可执行文件。建议在Ubuntu这类主流Linux发行版上进行实验，因为很多调试工具都是原生支持的。记得我第一次尝试时，花了整整一天才把环境配置好，现在想来那些折腾都是值得的。

2. 基础攻击：代码注入的艺术

2.1 Phase1：修改返回地址的初体验

Phase1是整个实验中最简单的部分，但却是理解栈溢出原理的最佳切入点。这个阶段的任务是通过缓冲区溢出修改函数的返回地址，让它跳转到touch1函数而不是正常返回。

我清楚地记得第一次成功完成Phase1时的兴奋感。关键是要理解getbuf函数的栈帧结构：它有一个固定大小的缓冲区（通常是0x18字节），我们需要用垃圾数据填满这个缓冲区，然后在紧接着的内存位置写入touch1函数的地址。由于x86-64是小端序，地址字节需要倒序写入。

# Phase1的攻击字符串示例 00 00 00 00 00 00 00 00 # 填充缓冲区 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 e5 18 40 00 00 00 00 00 # touch1的地址

使用gdb调试时，我学会了几个非常实用的命令：

• layout asm：同时查看源代码和汇编代码
• ni：单步执行汇编指令
• x/20x $rsp：查看栈内存内容

2.2 Phase2：注入可执行代码

Phase2难度明显提升，不仅要修改返回地址，还要注入一小段汇编代码来修改寄存器值。这个阶段教会了我如何在实际攻击中执行任意代码。

关键步骤是：

1. 编写汇编代码将cookie值存入rdi寄存器
2. 将汇编代码编译后提取机器码
3. 确定缓冲区在栈中的确切地址
4. 构造攻击字符串：注入代码 + 返回地址指向注入代码

# inject2.s 内容示例 movq $0x32546d03, %rdi # 将cookie值存入rdi pushq $0x401913 # touch2的地址 ret

这个阶段最大的挑战是确定注入代码在栈中的准确位置。我通过gdb在getbuf函数设置断点，查看rsp寄存器的值，然后根据缓冲区大小计算出注入代码的起始地址。这个过程让我深刻理解了栈帧布局和函数调用约定。

2.3 Phase3：传递字符串参数

Phase3进一步挑战我们传递字符串参数的能力。与Phase2不同，这次需要将cookie作为字符串传递，这意味着我们需要在内存中构造这个字符串，并传递它的地址。

解决这个问题的关键点：

1. 将cookie值转换为ASCII码形式
2. 确定字符串在内存中的安全位置（避免被后续操作覆盖）
3. 编写注入代码计算字符串地址并存入rdi寄存器

# cookie值0x32546d03对应的ASCII码 33 32 35 34 36 64 30 33 00

这个阶段教会了我内存布局的重要性。由于hexmatch函数会使用栈空间，我们必须将字符串放在不会被覆盖的位置。我通过反复试验发现，放在getbuf的返回地址之后是个不错的选择。

3. 对抗防御：ROP攻击实战

3.1 Phase4：初识ROP技术

从Phase4开始，实验引入了现代防御机制：栈不可执行(NX)和地址随机化(ASLR)。这意味着我们不能再简单地将代码注入栈中执行了，必须使用更高级的ROP(Return-Oriented Programming)技术。

ROP的精妙之处在于利用程序中已有的代码片段(gadget)来拼接出我们需要的功能。每个gadget都是一小段以ret结尾的指令序列，通过精心安排栈内容，我们可以让程序按照我们的设计执行一系列gadget。

对于Phase4，我们需要实现与Phase2相同的目标：将cookie值存入rdi寄存器。但由于不能注入代码，我们必须从rtarget程序中找到合适的gadget来达成目的。

# 查找gadget的实用命令 objdump -d rtarget | grep -A 5 "pop %rdi"

经过反复尝试，我发现程序中没有直接的"pop %rdi; ret" gadget，但可以通过组合其他gadget来实现相同功能。例如：

1. 使用"pop %rax; ret"将cookie值存入rax
2. 使用"mov %rax,%rdi; ret"将值转移到rdi

3.2 Phase5：高级ROP技巧

Phase5是整个实验的终极挑战，要求使用ROP技术传递字符串参数。这需要更复杂的gadget组合和精确的地址计算。

解决这个问题的关键在于：

1. 找到计算内存地址的gadget（如lea指令）
2. 构建完整的ROP链来计算字符串地址
3. 将字符串安全地存储在不会被覆盖的位置

我花了整整三天时间才完成这个阶段，主要困难在于：

• 可用的gadget非常有限
• 需要精确计算字符串的偏移量
• 必须处理32位和64位寄存器的差异

最终解决方案使用了多个gadget组合：

1. 获取当前栈指针到rdi
2. 将偏移量通过一系列寄存器传递到rsi
3. 使用加法gadget计算字符串地址
4. 将结果传回rdi

# Phase5的部分ROP链示例 # mov %rsp,%rax; ret # mov %rax,%rdi; ret # pop %rax; ret (偏移量) # mov %eax,%edx; ret # mov %edx,%ecx; ret # mov %ecx,%esi; ret # lea (%rdi,%rsi,1),%rax; ret # mov %rax,%rdi; ret

这个阶段让我深刻理解了现代漏洞利用技术的复杂性，也让我对计算机系统的安全防护有了更深的敬畏。

4. 实验中的实用技巧与心得

4.1 调试技巧分享

在完成AttackLab的过程中，我积累了一些非常实用的调试技巧：

1. gdb脚本自动化：可以编写gdb脚本自动设置断点和打印信息

   # .gdbinit 示例 b getbuf commands x/10x $rsp continue end

2. 可视化工具辅助：除了gdb，还可以使用DDD或IDA Pro等图形化工具更直观地查看内存和代码

3. 栈帧绘图法：在纸上绘制栈帧布局能帮助理解内存结构，特别是在构造ROP链时

4.2 常见问题解决

新手在做这个实验时经常会遇到一些问题，这里分享我的解决方案：

1. segmentation fault：通常是返回地址错误或执行了非法指令，检查地址是否有效

2. Misfire错误：说明触发了目标函数但条件不满足，检查寄存器值和参数传递

3. hex2raw转换问题：确保输入文件格式正确，每两个字符表示一个十六进制字节

4. gadget找不到：尝试组合多个简单gadget实现复杂功能，注意指令的字节编码

4.3 安全启示录

通过AttackLab，我不仅学会了攻击技术，更重要的是理解了防御的重要性：

1. 边界检查：所有输入都应该进行严格的边界检查
2. 现代防护技术：NX、ASLR、Stack Canary等机制能有效阻止大多数简单攻击
3. 安全编码实践：永远不要使用不安全的函数如gets、strcpy等
4. 深度防御：多层防护比单一防护更有效

这个实验改变了我编写代码的方式，现在我总是会下意识地思考：这段代码是否存在潜在的安全风险？这种安全意识可能是AttackLab带给我的最宝贵财富。