攻防世界-pwn-实时数据监测
1.ida查看代码
程序很简单
利用imagemagic()中的printf()的漏洞来达到目的
2.查看保护机制
什么都没有开
3.知识点
格式化字符串漏洞
例子
printf("aa%16$n")
32位程序时
会向栈地址为esp+15中的地址addr所指向的内存单元写入2
因为aa表示了两个字节所以向[addr]中 写入2
若想写入15 则可以利用
printf("a*15%16$n") or printf("15x%16$n")
来向栈地址为esp+15中的地址addr所指向的内存单元写入0xf
64位程序时
由于函数调用时会使用寄存器传递参数,所以利用%p 来看你想要改变的内存的地址在栈中的位置
4.编写脚本
我们由ida可知key=0x804a048,并且当key的数据为0x2223322时,会自动执行system("/bin/sh")
于是我们利用了格式化字符串漏洞
通过format="%x %$n"的组合向特定的内存地址写入数据
5.结果
6.注意
由于%35795746x比较大 所以程序会运行一会,请耐心等待一分钟左右。