fmt格式化字符串漏洞总结

于 2024-08-18 09:13:53 发布
阅读量1.1k 收藏 7
点赞数 22
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_79542511/article/details/141291951
版权

本文章适合写题时帮助快速回忆,不适合初学者

泄露数据

泄露栈上数据

直接用下面这种形式,n代表想要泄露的地址是printf的第几个参数。$后面代表输出的格式。

%n$x

泄露任意地址数据

64位的程序,printf的前六个参数是寄存器,第七个参数是下图中框起来的位置

那么由于我们可以控制该格式化字符串,我们首先要弄清楚格式化字符串是第几个参数。可以先用输入%p%p%p的方法。

由于地址中末尾肯定是有0,所以下面这种写法是不可取的(也就是ctfwiki上的写法)。因为解析到\x00,程序就会以为字符串结尾了,就不会向下解析了。

addr%k$s

比如如果格式化字符串是第八个参数,那么我们应该这么写:

%9$saaaa+p64(addr)   //四个a是用来占位的,让addr成为第九个参数

任意地址写

覆盖内存用到的是这个:

%n,不输出字符,但是把已经成功输出的字符个数写入对应的整型指针参数所指的变量。

覆盖栈内存

要确定要覆盖的地址,并且这种方法只适合要修改成比较小的数字才管用。

.......addr%k$n

覆盖任意地址内存

直接用pwntools提供的fmstr_payload工具

fmtstr_payload(格式化字符串的偏移, {要覆盖的地址: 覆盖成的值})

pwnlib.fmtstr模块

#用FmtStr类获取`格式化字符串`在printf函数中的参数位置(偏移)

测试函数,用来获取`格式字符串`在printf函数里参数的顺序
'''
def exec_fmt(payload):
    p   = process("./overflow")
    p.recvuntil('\n',drop=True)
    p.sendline(payload)
    return p.recv()

if __name__ == '__main__':
    print("准备泄漏出(格式化字符串)在printf函数参数中的位置:")
    auto_fmtstr = FmtStr(exec_fmt)
    print("(格式化字符串)在printf函数中参数的位置是:{0}".format(auto_fmtstr.offset)

AttackingLin
关注
CTF pwn题之格式化字符串漏洞详解
lifanxin的博客
03-22 1万+
FmtStr格式化字符串类概念求偏移和任意地址写求偏移任意地址写一个例子程序分析漏洞利用wp总结 概念 在遇到pwn题中格式化字符串漏洞时,我们一般会分两大步实现漏洞利用:首先构造一个payload来寻找输入字符串到栈顶指针的偏移,然后利用偏移实现对目标地址的改写。下面我将介绍pwntools中的FmtStr类如何实现偏移的求解以及对目标地址的改写。 求偏移和任意地址写 求偏移 在格式化字符串漏洞利用中,我们一般都是这样手动构造payload进行偏移求解的,如下图所示,开头输入方便定字符串aaaa,然后
格式化字符串漏洞
2301_79215333的博客
03-19 1600
格式化字符串函数是根据格式化字符串来进行解析的。对于这样的例子,在进入 printf 函数的之前 (即还没有调用 printf),栈上的布局由高地址到低地址依次如下在进入 printf 之后,函数首先获取第一个参数,一个一个读取其字符会遇到两种情况如果没有字符,报错如果下一个字符是 %, 输出 %否则根据相应的字符,获取相应的参数,对其进行解析并输出那么假设,此时我们在编写程序时候,写成了下面的样子此时我们可以发现我们并没有提供参数,那么程序会如何运行呢?
格式化字符串漏洞利用
04-14
格式化字符串漏洞利用
好好说话之64格式化字符串漏洞
hollk’s blog
08-06 3252
64格式化字符串和32的很相似,做题的步骤也相同,唯一不同的是64程序对函数参数存储的方式和32的不同。64为程序会优先将函数的前6个参数放置在寄存器中,超过6个的再存放在栈上,而32直接存放在栈上。寄存器存放顺序可以看我之前写的好好说话之ret2csu 编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ 例题选自2017-UIUCTF-pwn200-GoodLuck checksec搞一下 64程序,开启了NX保护、Canary。因为我们知道这是一道格式化字符串的题
英招杯pwn1(字符串格式化漏洞
qq_53928256的博客
11-16 494
第二个参数writes表示需要利用%n写入的数据,采用字典形式,我们要将printf的GOT数改为system函数地址,就写成{printfGOT:systemAddress};可能需要修改8个字节的数据,太麻烦了!即可将puts函数的真实地址泄露出来,即可获得对应的libc版本和基址,方便我们后面的操作;生成随机数代码,通过ctypes包下的cdll来加载libc,这样才能执行libc下的函数。根据地址泄露我们已经能确定对应的libc版本,加载对应的libc,即可获得libc的基址。
Windows 平台下的堆溢出、格式化字符串漏洞利用技术
04-09
### Windows 平台下的堆溢出与格式化字符串漏洞利用技术 #### 一、概述 在探讨Windows平台下的堆溢出以及格式化字符串漏洞利用技术之前,我们需要理解这两种漏洞的基本概念及其潜在的安全风险。 **堆溢出**是指当...
[CTF]PWN--手搓格式化字符串漏洞
2301_79880752的博客
02-19 1560
而是,原来我们修改了的其实是0x7f1与0x7f2里的东西,那后面我们就需要修改0x7f3与0x7f4里的东西,因此我们+2的意思就是将原来的0x7f1+2,修改成0x7f3,这样,我们在修改的时候改的就是0x7f3与0x7f4里的东西了(思路是这样的,一个栈地址一共八个字节,我们需要将要修改的地址和被修改的地址每两个字节对应的修改,直到最后将所以字节都修改成我们需要的地址。修改最高二的时候也是一样的,由于栈里面的地址与libc里面的地址一般都只占6个字节,因此,我们只需要进行三次修改即可。
Pwn_格式化字符串漏洞_fmtstr1
技术交流
04-29 466
ctf-pwn-练习题
pwntools中fmtstr的使用
fa1c4的blog
02-01 4825
pwntools提供了pwnlib.fmtstr的格式字符串漏洞利用的工具, 熟悉该工具的使用显然是有益的 可以查看源码 该模块中主要定义了一个类FmtStr和一个函数fmtstr_payload class FmtStr(object): def __init__(self, execute_fmt, offset=None, padlen=0, numbwritten=0): self.execute_fmt = execute_fmt self.offset
buu_64fmPWN——axb_2019_fmt6464格式化字符串改got表)不使用fmstr工具包
ngztx的博客
03-22 770
如果这样写,前面的地址数据经p64()打包后占的是8个字节,我们send 的地址和我们构造的格式化字符串中间还有好多个 ‘00’ ,而在字符串中 ‘00’ 就代表了结束,所以在printf到‘00’时,就被认为字符串已经结束了,自然不会继续往后面printf了,也即是说我们的字符串都被’00’给截断了。到这里为止,应该对%k$n有一定的了解了,还是那个原则,%k$n前面有多少个字节,那么就会向第k个参数地址中写多少。只有后面3字节不同,截取倒数第三字节和后两字节进行修改。难点3:分别计算高地址和低地址。
格式化字符串各种泄露覆盖类型 姿势具体讲解
m0_74220442的博客
12-20 1222
栈上格式化字符串以下题目的条件:RELRO 保护模式不为 FULL RELRO ,GOT表需要可写FULL RELRO当开启这个之后 got表是无法修改的格式化字符串题目: 强网杯(ez_fmt)📎强网先锋 fmt.pdf通过这题还学会了利用 printf函数就是函数本身内部的返回地址,可以通过调试得到通过这道题理清了两个逻辑:这里我们是覆盖让地址的后四为0x1203 这里传的是0x1203也就是4594+14+3+2 这里的4594就是%4594c 14指的就是%39$p泄露的地址0x7fffffff
格式化字符串利器fmtstr_payload | 攻防世界 pwn进阶区 实时数据监测
Kni9hT's Blog
04-21 6796
文章目录0x00.看题0x01.检查保护0x02.利用fmtstr_payload构造payload 0x00.看题 健身回来,继续刷第二题,貌似和上一题一个风格啊。连名字都差不多,偏工业实际。不过这一题学到了一个新东西,fmtstr_payload. 题目描述:小A在对某家医药工厂进行扫描的时候,发现了一个大型实时数据库系统。小A意识到实时数据库系统会采集并存储与工业流程相关的上千节点的数据...
Linux pwn入门教程(6)——格式化字符串漏洞
xiaoi123的博客
08-03 2386
作者:Tangerine@SAINTSEC 0x00 printf函数中的漏洞 printf函数族是一个在C编程中比较常用的函数族。通常来说,我们会使用printf([格式化字符串],参数)的形式来进行调用,例如 char s[20] = “Hello world!\n”; printf(“%s”, s); 然而,有时候为了省事也会写成 char s[20] = “Hello wor...
string-64格式化字符串漏洞
playmaker的博客
06-09 2377
string-64格式化字符串漏洞 题目描述:一个很有趣的题目,题目背景是你遇到了一条龙,一巫师可以帮助你逃离危险。 首先跑一下程序看下程序逻辑。 首先给你两个秘密地址,让你输入用户名之后,依照程序意图继续让你向东走,向东走之后看见一个洞。 进入这个洞,让你输入一个地址,之后再输入你的愿望,看到了格式化字符串漏洞 puts("A voice heard in your mind"); p...
64格式化字符串漏洞pwn入门
z2876563的博客
08-10 2068
CTF竞赛权威指南PWN篇第166页参考程序 如下程序有格式化字符串漏洞,原文是编译成32程序,为了增加难度,我编译成64程序。以下我通过漏洞实现输入arg4的地址获取arg4的内容即ABCD。 //fmtdemo.c -o #include<stdio.h> void main() { char format[128]; int arg1 =1,arg2=0x88888882,arg3=-1; char arg4[10]="ABCD"; scanf("%s
利用格式化字符串漏洞
最新发布
01-24
### 格式化字符串漏洞原理 格式化字符串漏洞源于C语言中的`printf`, `sprintf`, 和`sprintfn`等函数处理不当。这些函数用于将数据按照指定的格式转换为字符串并输出或存储。当程序员错误地直接传递用户可控的数据作为格式说明符而非实际参数时,攻击者可以控制程序的行为。 例如,在正常情况下应该这样调用`printf`: ```c char *pad = "Hello, world!"; printf("%s", pad); ``` 但如果简化为了: ```c printf(pad); // 这里假设pad是由外部输入控制的内容 ``` 那么如果`pad`包含了格式字符(如 `%x`, `%p`),这就会导致未预期的结果,可能泄露内存地址或其他敏感信息甚至执行任意代码[^2]。 ### 防御措施 针对上述风险,有几种有效的防御手段: #### 输入验证与过滤 对于任何来自用户的输入都应严格校验其合法性,并去除潜在危险字符。特别是要防止未经检查的数据被当作格式串的一部分传入标准库函数中去。 #### 使用更安全的API替代品 现代编程实践中推荐采用更为健壮的方法来进行字符串操作,比如使用带有固定数量参数版本的函数或是其他高级别的封装接口,它们能够更好地抵御此类攻击向量。 - C++ 中可以用 `std::format()` 或第三方库 fmtlib 来代替传统的 printf 家族成员; ```cpp #include <fmt/core.h> // ... auto message = fmt::format("{}", user_input); ``` - Python 用户则可以选择内置 f-string 表达式或者模板引擎来构建动态文本片段; #### 编译器选项加固 启用编译期警告以及运行时期检测机制可以帮助识别和阻止一些常见的编码失误。GCC/Clang 提供了 `-Wformat-security` 开关用来标记可疑语句,同时链接阶段也可以加入特定的安全增强特性 (SSP Stack Smashing Protector) 加强堆栈保护力度。 通过以上多方面努力,可以在很大程度上降低遭遇格式化字符串漏洞的风险,保障软件产品的稳定性和安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值