Mr_Fmnwon的博客

ret2shellcode，已经不是简单的放到栈上、ret这样一个简单的过程。套一层seccomp的沙箱，打ORW又遇到open受限等等，考虑的蛮多。过程中收获最多的可以说是汇编shellcode手动编写时的一些心得，还是跟着返璞归真师傅的wp做的时候这不会那不会，做完之后写博客，感觉很多都没必要写。。。菜就多练。

如果存在格式化字符串，保护机制开的不健全，通常可以劫持got表，构造后门函数。然而，如果不存在循环、栈溢出控制rop等方式，如果格式化字符串漏洞点正常来说只能执行一次，getshell是比较困难的。不过，linux下的二进制程序，在最后退出时，总会执行一些清扫函数，其中涉及到了fini_array这个数据结构。一、fini_array通过利用fini_array部署并启动ROP攻击 | TaQini-优快云博客简单来说，fini_array数组存放了函数指针，在退出时，会进行调用。

和以往不同的是，格式化字符产参数没有对齐，有两个字节的偏移需要自己填充或者交给fmtstr_payload的参数进行构造。可以通过后门函数获得flag或者getshell获得flag存在两个字节的偏移，fmtstr_payload的各个参数含义要好好掌握。

浅记录一下格式化字符串劫持printf_got表，比较简单，仅记录exp。

Canary、PIE开启，如何进行绕过呢？【PWN · ret2text | PIE 】[NISACTF 2022]ezpie_Mr_Fmnwon的博客-优快云博客【PWN · ret2libc | Canary】[2021 鹤城杯]littleof_Mr_Fmnwon的博客-优快云博客而本题也无外乎这两个要点，然而还是让本蒟蒻感到头疼QAQ（一点睡，六点半起，一整个学期伤身体，ICU里喝小米）本题是遇到的第一道保护全开的题目，各种保护让人头大，对各种漏洞的综合利用也有更高的要求，加油！