再谈格式化字符串

2019-06-18  本文已影响0人  萍水间人

pwn真的是爸爸,好多已经做过的实验再做一遍又会有不同的体会

还是这份代码:

#include <stdio.h>
int main() {
  char s[100];
  int a = 1, b = 0x22222222, c = -1;
  scanf("%s", s);
  printf("%08x.%08x.%08x.%s\n", a, b, c, s);
  printf(s);
  return 0;
}

很明显的格式化字符串漏洞对吧
这次我用装了gef插件的gdb来调试一下

当然我肯定是要把所有的保护措施都关掉的

gef➤  checkse
[+] checksec for '/root/chapter2/wiki_format'
Canary                        : No
NX                            : No
PIE                           : No
Fortify                       : No
RelRO                         : Partial

没有canary,NX,PIEhhhh

看下main的反汇编
关键的地方:

   0x080491a4 <+50>:    sub    esp,0x8
   0x080491a7 <+53>:    lea    eax,[ebp-0x78]
   0x080491aa <+56>:    push   eax
   0x080491ab <+57>:    lea    eax,[ebx-0x1ff8]
   0x080491b1 <+63>:    push   eax
   0x080491b2 <+64>:    call   0x8049050 <__isoc99_scanf@plt>
   0x080491b7 <+69>:    add    esp,0x10
   0x080491ba <+72>:    sub    esp,0xc
   0x080491bd <+75>:    lea    eax,[ebp-0x78]
   0x080491c0 <+78>:    push   eax
   0x080491c1 <+79>:    push   DWORD PTR [ebp-0x14]
   0x080491c4 <+82>:    push   DWORD PTR [ebp-0x10]
   0x080491c7 <+85>:    push   DWORD PTR [ebp-0xc]
   0x080491ca <+88>:    lea    eax,[ebx-0x1ff5]
   0x080491d0 <+94>:    push   eax
   0x080491d1 <+95>:    call   0x8049030 <printf@plt>
   0x080491d6 <+100>:   add    esp,0x20
   0x080491d9 <+103>:   sub    esp,0xc
   0x080491dc <+106>:   lea    eax,[ebp-0x78]
   0x080491df <+109>:   push   eax
   0x080491e0 <+110>:   call   0x8049030 <printf@plt>

先在printf处下两个断点
运行
输入%08x.%08x.%08x
来到第一个printf处:
这时候你会发现gef帮我们将很多信息都显示出来了



看到printf的参数没,从低地址往高地址处,依次是格式化字符串,第一个参数1,第二个参数0x22222222,第三个参数-1(此处是补码),然后是第四个参数也就是我们输入的变量s
注意到这里有两处%08x.%08x.%08x,至于为什么我也没想清楚,当时此时printf的格式化字符串显然只有四个,所以只会打印四个参数
continue一下
这个输出是没有问题的,但是下一个printf就有问题了


此时停留在第二个printf处的断点



这时候栈上第一个是格式化字符串,第二个呢?
因为格式化字符串中是有3个%的,所以printf肯定会乖乖的打印三个值出来的,所以此时打印出来的值我不说你也知道就是0xffffd2d0,0xf7ffd950,0x08049189
验证一下:
正好和我们想的一样:


直接泄露printf指定参数的信息

我们可以通过%1$s 去打印栈上被视为第二个参数的信息(因为格式化字符串算第一个参数),其实就是说我们想打印printf的第n个参数(除去格式化字符串),我们就可以直接输入%n$s,当然%n$x也是可以的

比如
%s直接把格式化字符串本身打印出来了


%1s可以泄露栈上被视为第2个参数的值 %2s可以泄露栈上被视为第3个参数的值
所以%2s就会打印0也就是啥都没有 或者输入%2x也行

上一篇下一篇

猜你喜欢

热点阅读