ROP Emporium 挑战是用来学习 ROP 技术的一系列挑战,本文就对于其中涉及的所有挑战记录一下 wirte up。
下载地址:
https://ropemporium.com/
虽然说简单,但是后面 badchar 后面的 rop 还是学到了不少东西的~
程序默认开启 nx
CANARY : disabled FORTIFY : disabled NX : ENABLED PIE : disabled RELRO : Partial
如果是 so 就多开了个 PIE
直接覆盖返回地址为 win 函数
32 位版
这次有个函数执行 /bin/ls
我们看看字符串,刚好有个 /bin/cat flag.txt
exp
就是依次调用 callmeone,two,three,参数是 1,2,3 就行
32 位,栈上传参而已
这个的话没有 /bin/cat flag.txt
字符串了,那么这就需要我们写到内存了
加入我们想用 fgets 写到内存需要 3 个参数,但是 gadgets 里面没有 pop rdx
的,那么就不能给第三个参数传参,那么我们可以找其他方法,通过汇编的 mov 看看有什么组件
我选择了下面两个,目标地址写到 bss
0x0000000000400820 : mov qword ptr [r14], r15 ; ret 0x0000000000400890 : pop r14 ; pop r15 ; ret
我们先写个 cat flag.txt
试试
我们直接写个 sh 试试,只贴 payload
当然你改成 /bin/sh\x00
也可以
这个也是类似的
一开始一看这么简单,badchars 是这几个,但是有个 b 和 s,我们就不能 /bin/sh
了
那我们就要对 payload 加密,之后运行的时候再解密了
按照官方的提示,是要 xor 加密,之后再用 gadgets 解密
首先可以找下可以用于异或的数字,找 10 以内的
运行结果,那我们选个3吧,有时候传不过去的话可能这个 ascii 代表传输结束什么的,
我们通过 ROPgadget,找到一些组件,先将我们的 /bin/sh
写到 bss,再去解密,再执行
这个也用 xor 吧,这次我们异或 0xff
来到这的时候已经没有了 mov 指令了,但下面的吸引了我
mov dword ptr [rdx], ebx ; pop r13 ; pop r12 ; xor byte ptr [r10], r12b ; ret
再找一下给 rdx 赋值的,但我们没法操作 rdx 啊
再找找,找不到啊
看下别人的 wp,原来还有个 --depth 的参数
ROPgadget --binary ./fluff --depth 20
我们就选用这条 mov
0x000000000040084d : pop rdi ; mov qword ptr [r10], r11 ; pop r13 ; pop r12 ; xor byte ptr [r10], r12b ; ret
但找不到 pop r10,r11
啊,返回空
# ROPgadget --binary ./fluff --depth 20 | grep "pop r10" # ROPgadget --binary ./fluff --depth 20 | grep "pop r11"
直接找看看 r11 相关的
最后两个不就可以通过 r12 赋值给 r11 吗,在查下 r12,有 pop 可以
0x0000000000400832 : pop r12 ; mov r13d, 0x604060 ; ret
而且上面有个交换 r11,r10 的,不也可以给 r10 赋值了吗
而且看了下程序,原理作者都写到一块去了
最终 payload
有了上一题的经验,直接找到作者内嵌汇编写的组件
最终代码
一上来我就看这了
这个使用了 so 文件,ret2win 在这个 so 文件里面实现,但是这个 so 是开启了 PIE 的
查看 pwnme 函数,首先给了 256 大小的给你存放 pivot,之后再溢出
所以我们需要先"泄露"地址咯,由于栈溢出的缓冲区大小比较少,完成泄露 + 执行完全不够用,所以要跳到 a1 去 ROP,这技术叫 stack pivot,栈翻转,就是让 esp 指向别处,在那 rop
信息泄露的话,这里只有 foothold_function 是 so 里面的,而且存在 got 表,泄露完计算偏移就好
.got.plt:0000000000602048 off_602048 dq offset foothold_function
由于这个函数没调用,需要调用一次,got 表才会存在真正的地址
最终 exp
这个有如下 gadgets
最终 exp
其实栈翻转我们一般用 leave;ret
, 上面 64 位有 0x0a,所以用不了
上面的 stack pivot 可以用如下 payload: