isitdtuctf_pwn_wp

babyformat

  • x32 elf | FULL RELRP , NX , PIE
  • 漏洞点 : 格式化字符串
  • 限制 :
    • 13 个字符 ,且输入点在bss端
    • 格式化字符串输出限制为3次
  • 利用:
      1. 绕过次数限制
      • 1.1 泄露ebp地址 ,且已知 栈上 第9个参数 指向 第 57个参数
      • 1.2 通过第九个参数 修改第 57个参数,使其指向 &计数器 + 3 (类型 占据4字节 ,具体原因 看tip)
      • 1.3 修改第 57 个参数 , 使其变为一个负数
      • tip : 此处需要考虑计数器的类型, 在只能修改 (1-2)个字节的前提下 ,需要根据类型判断调整修改的地址
      1. leak libc | 栈上 有 __libc_start_main + 247
      1. leak ret 地址 或者 根据 ebp 计算 ret 地址
      1. 通过 1 中的操作 写入 rop system("/bin/sh") 到 ret地址
      1. EXIT 执行

exp

©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容