pwn真的是爸爸,好多已经做过的实验再做一遍又会有不同的体会
还是这份代码:
#include <stdio.h>
int main() {
char s[100];
int a = 1, b = 0x22222222, c = -1;
scanf("%s", s);
printf("%08x.%08x.%08x.%s\n", a, b, c, s);
printf(s);
return 0;
}
很明显的格式化字符串漏洞对吧
这次我用装了gef插件的gdb来调试一下
当然我肯定是要把所有的保护措施都关掉的
gef➤ checkse
[+] checksec for '/root/chapter2/wiki_format'
Canary : No
NX : No
PIE : No
Fortify : No
RelRO : Partial
没有canary,NX,PIEhhhh
看下main的反汇编
关键的地方:
0x080491a4 <+50>: sub esp,0x8
0x080491a7 <+53>: lea eax,[ebp-0x78]
0x080491aa <+56>: push eax
0x080491ab <+57>: lea eax,[ebx-0x1ff8]
0x080491b1 <+63>: push eax
0x080491b2 <+64>: call 0x8049050 <__isoc99_scanf@plt>
0x080491b7 <+69>: add esp,0x10
0x080491ba <+72>: sub esp,0xc
0x080491bd <+75>: lea eax,[ebp-0x78]
0x080491c0 <+78>: push eax
0x080491c1 <+79>: push DWORD PTR [ebp-0x14]
0x080491c4 <+82>: push DWORD PTR [ebp-0x10]
0x080491c7 <+85>: push DWORD PTR [ebp-0xc]
0x080491ca <+88>: lea eax,[ebx-0x1ff5]
0x080491d0 <+94>: push eax
0x080491d1 <+95>: call 0x8049030 <printf@plt>
0x080491d6 <+100>: add esp,0x20
0x080491d9 <+103>: sub esp,0xc
0x080491dc <+106>: lea eax,[ebp-0x78]
0x080491df <+109>: push eax
0x080491e0 <+110>: call 0x8049030 <printf@plt>
先在printf处下两个断点
运行
输入%08x.%08x.%08x
来到第一个printf处:
这时候你会发现gef帮我们将很多信息都显示出来了
看到printf的参数没,从低地址往高地址处,依次是格式化字符串,第一个参数1,第二个参数0x22222222,第三个参数-1(此处是补码),然后是第四个参数也就是我们输入的变量s
注意到这里有两处%08x.%08x.%08x,至于为什么我也没想清楚,当时此时printf的格式化字符串显然只有四个,所以只会打印四个参数
continue一下
这个输出是没有问题的,但是下一个printf就有问题了
此时停留在第二个printf处的断点
这时候栈上第一个是格式化字符串,第二个呢?
因为格式化字符串中是有3个%的,所以printf肯定会乖乖的打印三个值出来的,所以此时打印出来的值我不说你也知道就是0xffffd2d0,0xf7ffd950,0x08049189
验证一下:
正好和我们想的一样:
直接泄露printf指定参数的信息
我们可以通过%1$s 去打印栈上被视为第二个参数的信息(因为格式化字符串算第一个参数),其实就是说我们想打印printf的第n个参数(除去格式化字符串),我们就可以直接输入%n$s,当然%n$x也是可以的
比如
%s直接把格式化字符串本身打印出来了
%1s可以泄露栈上被视为第3个参数的值
所以%2x也行
