前提: 最近遇到一个使用read函数但是buff段有字数限制无法进行栈溢出得题目,但是题目中有printf函数,我们可以使用格式化字符串将len值修改,从而进行栈溢出使用libc从而获取shell.
首先我们先看一下程序:
先checksec一下
在看一下file
没有任何保护并且是动态链接
我们发现了格式化字符串漏洞,同时我们在点进buf段与len里看看
我们发现想要栈溢出的话,buf的长度是远远不够的。这时候我们就想用格式化字符串来对len地址所指向的值进行修改了,先记录一下len的地址,0x404020.
接着我们就可以开始愉快gdb调试了。现在printf出下个断点,然后往里面输入一点数据、
我们发现他是从第一行就开是输入数据了,所以加上前面的寄存器,我们可以计算出栈的位置是从第6个参数开始进行的即%6$,
所以利用格式化字符串,我们写出%99c%x$n这个可以帮我们把第x的参数地址所指向的值改为99.这里我们还需要注意的是,因为小序端,且地址很短,所以用n输入即可,无需hhn,并且len的后面会用0x00补全,而printf遇到0x00就会停止输出自动截断。所以我们需要把len的地址放后面传,这也就导致了第六个参数的位置被我们的%99c%x$n所占据了,所以我们需要修改的是第七个参数,即被我们传输的len的地址。
我们用gdb联动看看
修改成功了,接下来就可以开心的re2libc了,便不过多阐述,看wp即可。
如果re2libc没学过的话,可以看看我之前的脚本概括理解,或者其他师傅的文章。