babyformat
- x32 elf | FULL RELRP , NX , PIE
- 漏洞点 : 格式化字符串
- 限制 :
- 13 个字符 ,且输入点在bss端
- 格式化字符串输出限制为3次
- 利用:
-
- 绕过次数限制
- 1.1 泄露ebp地址 ,且已知 栈上 第9个参数 指向 第 57个参数
- 1.2 通过第九个参数 修改第 57个参数,使其指向 &计数器 + 3 (类型 占据4字节 ,具体原因 看tip)
- 1.3 修改第 57 个参数 , 使其变为一个负数
- tip : 此处需要考虑计数器的类型, 在只能修改 (1-2)个字节的前提下 ,需要根据类型判断调整修改的地址
- leak libc | 栈上 有 __libc_start_main + 247
- leak ret 地址 或者 根据 ebp 计算 ret 地址
- 通过 1 中的操作 写入 rop system("/bin/sh") 到 ret地址
- EXIT 执行
-
网友评论