这道题暂且认为是攻防世界pwn新手区比较难的一道题,而难点主要在于读懂题目,读懂后就比较简单了。
查看程序的防御机制,发现除了PIE全开。从题目string可猜测,应该是个格式化字符串的漏洞。可以在Linux中先将程序跑一遍,对程序的流程和分支有个大概了解,本题是个简单的D&D类型的游戏题目。
用ida对程序进行分析,顺着程序的流程走,可以看到在sub_400BB9中有printf(&format, &format)语句,存在格式化字符串漏洞。
此外,在函数sub_400CA6中,可以发现巫师的分支有命令执行的语句,可以直接执行外部输入的命令。
因此,本题的关键在于,如何利用格式化字符串漏洞,让程序的控制流进入到命令执行语句;也就是说,进入sub_400CA6函数中,且满足*a == a1[1]的条件。
进入sub_400CA6函数较为简单,初始化人物时随便输一个名字,然后输入east进入下一个函数(这个判断有点迷,不明白为什么会先判断是不是east,比较成功了再与up比较);输入一个地址(注意必须能转换为int型),然后就是格式化字符串漏洞的输入,之后就进到sub_400CA6中了。
然后就是a的问题,可以发现a来源于main函数中的v4,v4是强制转换位int64后的v3,*v3是68,v3[1]是85,而且main函数会把v4的值打印出来,不需要再去找。
用gdb调试程序,在printf下断点,输入%x测试一下,发现输出是这样的。
由于是64位程序,泄露出来的地址分别是rsi, rdx, rcx, r8, r9, rsp+8, rsp+16等等。在地址输入时,我输入的是24&
本文详细解析了攻防世界中一道涉及格式化字符串漏洞和命令执行的PWN题目。通过ida分析,找到关键函数printf及命令执行部分。利用格式化字符串漏洞控制流进入命令执行函数,并通过调试揭示程序内存布局,构造payload修改特定内存值,最终利用shellcode获取Shell。
最低0.47元/天 解锁文章
300
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
