攻防世界 string 应该是新手区数一数二的难题,难点在理解程序流程。
先观察主函数:
# alarm 函数
# 什么是 alarm 函数?
如上图所示,在做一些 pwn 题的时候,我们有时会遇到 alarm(0x3Cu) 函数。alarm 函数中的参数 0x3Cu 是十六进制无符号数,即十进制对应 60,所以该函数的作用是在程序运行 60 秒后,给进程发送 SIGALRM 信号,如果不另编写程序接受处理此信号,则默认结束此程序。
# 为什么要使用 alarm 函数?
一是比赛中常要远程连接服务器解题,官方不希望有队伍长时间解不出来题浪费服务器资源
二是能对动态调试产生一定影响,干扰选手解题
# 关闭 alarm 函数的方法
在命令行里:
1 | # 将程序名为ProgrammName中的alarm替换为isnan |
不过这道题 alarm 函数对于程序影响不大,可以不用关闭。
# 程序流程
如图,系统分配内存给 v4,v4 数组里的内容分别是 68 和 85。
main 函数中重点关注
程序把 v4 和 v4+1 的地址给泄露出来了。
程序继续进入 sub_400D72 (),提示输入 name 后进入 sub_400A7D (),这里不再赘述,不选择 east 和 1 就会被干掉。
选择 east 和 1 后我们进入 sub_400BB9 ()
这里发现格式化字符串漏洞。
最后进入 sub_400CA6 ()
发现若 a1 [0] 等于 a1 [1],就可将 v1 变成可执行函数
(mmap 是一种内存映射文件的方法),可通过 read 函数读入一串机器码,然后运行,这相当于是把 shellcode 送你脸上来了。
#综合分析
# shellcode
我们的目的是拿到 flag,此题中没有 system 函数,因此需要通过 shellcode 得到 flag,而在 sub_400CA6 () 中可以执行 shellcode。
1 | shellcode =asm(shellcraft.sh()) |
但是这几句有些时候会出错,在 from pwn import * 后加入如下语句则不会出错。
1 | context(arch='amd64', os='linux', log_level='debug') |
# shellcode 的条件
在程序流程中我们分析到了,必须满足 a1 [0]=a1 [1] 才能进行 shellcode,因此我们接下来的目标就是让这两个值相等。sub_400CA6 () 中传入了 a 指针参数,因此 a1 [0],a1 [1] 其实就是 v4 [0] 和 v4 [1], 传递过程是通过 sub_400D72 传入到 sub_400CA6 ()。
那么我们接下来的任务就是让 v4 [0]=v4 [1]。
在分析程序流程时我们提到过,程序在 main 函数里泄露过 v4 的地址,而程序又在 sub_400BB9 () 中存在格式化字符漏洞,那我们就可以得到 v4 地址后将 v4 [0] 的值通过格式化字符串漏洞改为和 v4 [1] 相等
1. 得到 v4 的地址
1 | r.recvuntil("secret[0] is ") |
知识点 1:int (x,y) 是将 x 转换成 y 进制的数,如上就是将收到的值转换成 16 进制
知识点 2:[:-1] 为 python 切片知识,自行百度。
2. 通过 % n 改写 v4 [0] 的值
在此之前我们先说说 % n,% n 的作用不是输出值,而是将一个值写进一个变量或一个地址。
# 什么是偏移
偏移的理解借助另一个博客的文章:
拿改栈上一个参数的值为例,更改我们的输入
我起初不懂为什么会有这个偏移,看 wiki 说的我以为是简单的入栈顺序造成的,后来看了这个才知道为什么有这个偏移,简单来说就是,例如
char a[100];
scanf("%s",a);
printf(a);
这里输入 a 时是把栈上 a 的值给替换成输入的值,这个栈指的是 main 函数的栈,因为 a 是 mian 函数的局部变量,然后就又有 printf 函数的调用,这时 printf 函数的栈在 a 栈桢的上面,然后 printf 入栈的参数是 a 的地址,在这里就有了偏移,我们要改的不是 printf 入栈的那个参数,那个只是地址,改了之后只是不对应 a 了,对 a 真正的值没影响,我们要改的是 a,也就是在这个函数的栈里去修改别的函数的栈的内容,我们要计算 printf 函数入参的那个栈桢相较 a 变量存的栈桢的差,这是偏移的原因
原文链接:[https://blog.csdn.net/sls_xsl/article/details/113798097]
# 我们要做什么
实际上我们要做的事就是往栈里写进一个地址,这个地址就是我们要改变的变量的值的地址,然后找到这个地址在栈中的偏移量,然后利用 % an 或者 % a$n+addr 的方式去利用格式化字符漏洞,地址写在前面或后面,偏移量也会不同。
1 | **注意!!!!!这道题是64位程序,64位程序由于字长为8,64位程序的地址存在零,所以想要利用偏移来泄露地址内容或者改写其内容的话,目的地址不能放在格式化符号之前,否则printf在遇到零字节时会被截断,此时应将目的地址放在格式化符号后面。** |
同时如果要把地址防格式化符号后面,要注意堆栈内容对齐,也就是说我们要在 % an$b 和 addr 的中间填充适当字符来使字符总量能被 8 整除。这样在取偏移量的时候才能使偏移量为整数时,取到我们所需要的地址。
# 偏移量的确定
方法一:gdb 调试。
方法二:输入 aaaaaaaa-% p-% p-% p-% p-% p-% p
注意:64 位程序不能用 % x 来确定偏移量,且 64 位程序需要输入 aaaaaaaa 而不是 aaaa
利用 % x 来获取对应栈的内存,但建议使用 % p,可以不用考虑位数的区别。–转自 ctf-wiki
如图 0x6161616161616161 即为我们输入 aaaaaaaa 的十六进制值,也就是说 print 栈中第一个参数的偏移为 8.
1 | payload ='b'*85+'%20$n'+'a'*6+p64(addr).decode('unicode_escape') |
其中 b 乘 85 是我们需要 v4 [0] 变成的值,a 乘 6 为填充字符来使堆栈内容对齐,计算一下地址前面共有 96 个字符(%20$n 算五个字符,这里博主因为这个检查了快一个小时),偏移量就应该加上 96/8=12,故最后的偏移量为 20。
完整 exp:
1 | from pwn import * |
last:记得把文件名改成 stRing,由于 string 是关键字,运行时可能会出错。
# 解法二:更简单的解法
如图,程序中有一段:give me an address,这其实就给我们提示了,v2 是调用 print 前的最后一个参数,也就是说它在程序中的偏移量是 printf 第一个参数的偏移量减一。我们可以验证一下
如图我们输入的 1111 的十六进制即为 0x457,偏移量为 7。
完整 exp:
1 | from pwn import * |
