泄露libc

一

()

pintf泄露libc

虽然存在格式化字符串漏洞，并且GOT表可写，但是程序使用的是printf_chk函数。会检测出形如"%n"和"%12$p"这种利用方式。
考虑到main函数由libc_start_main调用，因此栈上的返回地址是一个libc中的地址，利用格式化字符串漏洞能泄露出libc的基址。
“%p::%p::%p::%p::%p::%p::%p::%p”。第8个%p就能打印出libc上的地址。

函数调用栈结构

二、泄露libc基址

https://www.anquanke.com/post/id/85127

首先说明如何泄露libc的基址，当申请的内存大于某个阈值时，系统会调用mmap直接为应用程序分配页面，此时分配出来的的页面会紧贴着libc页面，所以我们可以通过分配一个大内存，最后得到地址加上大小最终就得到了libc的基址。题目又给了so，所以可以得到system以及_IO_list_all以及main_arena等结构的真实地址。