非栈上格式化漏洞和手动rop链构造

已于 2024-02-29 19:30:34 修改
阅读量276 收藏
点赞数 7
文章标签: 安全
于 2024-02-24 22:52:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_79899078/article/details/136276871
版权

一般来说,栈上的格式化字符串漏洞利用步骤是先泄露地址,包括ELF程序地址和libc地址;然后将需要改写的GOT表地址直接传到栈上,同时利用%c%n的方法改写入system或one_gadget地址,最后就是劫持流程。但是对于BSS段或是堆上格式化字符串,无法直接将想要改写的地址指针放置在栈上,也就没办法实现任意地址写。下面介绍一下常用的非栈上格式化字符串漏洞的利用方法。

上个例题:

60b8be0f53de474f9bcc517361576a78.png

首先需要得到当前栈的地址和libc的基地址,这些地址可以很轻松的在栈上找到,其中esp+0x28存放了栈地址,esp+0x28存放了libc的地址,可以得到分别是第个参数和第个参数,直接传入%45$p%47$p即可得到栈地址和libc地址。

e7f39bf83e44405fb801f0530d5aa1c6.png

e54b4a2fb75d4140a1e5dba6f605459a.png

254cff7a6fd64ca5a908f730740bd82d.png

这里打印出地址

c2f88ee0c778405384b0ce92496db48a.png

4df68bf09df04afea189ba4e6c65ca7e.png

再次运行write_address0x7f38d46e4b01写上one_gadget地址

a6eca9965a9643b3a7e93d65e9e9e120.png

调试完可以看到成功打通

諍宁
关注
  • 7
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Ropgadget中ropchain的详细分析
流水不争先,争的是滔滔不绝
03-27 1339
通常情况下,由于程序的输入长度有限制,而ROPgadget生成的ropchain过长,导致ropchain无法适用,如果能够针对ropchain进行简单的修改的话,那便能减少构建rop花费的心思。
2017湖湘杯pwn200_wp_格式化字符串漏洞
aptx4869_li的博客
01-02 1589
本文是格式化字符串漏洞的利用,题目为2017年湖湘杯pwn200,题目文件 接:https://pan.baidu.com/s/1geZAemZ 密码:b51f 0x0001 看文件类型为elf文件,用  binwalk  查看一下: 一个32位的文件,用IDA看看: main函数: sub_80485CD():
格式化字符串漏洞泄露StackCanary
ACdream
04-26 3035
2017陕西省的pwn_box这个题作为调试的程序,gdb作为工具 先来熟悉原理,推荐几个pdf学习懂原理吧: Format String Exploitation-Tutorial By Saif El-Sherei Exploiting Format String Vulnerabilities  scut/team teso 看完这几个会对原理有深刻认识,然后如何操作呢? 戳我
某道Pwn(格式化字符串漏洞
热门推荐
龙哥盟
03-18 4万+
格式化字符串漏洞近几年出现频率少了,但是一些 CTF 中还有涉及,就当玩玩好了。首先看这一段代码,什么比赛的题我忘了:#include <stdio.h> int main(void) { int flag = 0; int *p = &flag; char a[100]; scanf("%s",a); printf(a); if(flag ==
格式化字符串漏洞利用实战之 njctf-decoder
weixin_30527551的博客
08-03 192
前言 格式化字符串漏洞也是一种比较常见的漏洞利用技术。ctf 中也经常出现。 本文以 njctf 线下赛的一道题为例进行实战。 题目接:https://gitee.com/hac425/blog_data/blob/master/decoder 正文 程序的流程如下 部分函数已经进行了标注,看程序打印出来的提示信息就知道这个是一个 base64 解码的程序,然后可以通过 猜测 + 验证 的方式...
格式化字符串漏洞原理详解
ditto的博客
12-08 3万+
菜鸡刚学总结下。 理解这个漏洞的原理,你需要有汇编层面的函数调用和函数的参数传递知识。如果你不清楚函数的参数是如何传递的,可以看《加密与解密》的逆向分析技术篇,也可以参考我博客里的(https://blog.csdn.net/qq_43394612/article/details/84350677)和 (https://blog.csdn.net/qq_43394612/article/detai...
Lianwei 安全周报|2024.07.22
联蔚盘云的博客
07-22 595
新的一周又开始了,以下是本周「Lianwei周报」,我们总结推荐了本周的政策/标准/指南最新动态、热点资讯和安全事件,保证大家不错过本周的每一个重点!
粉尘传感器助力面粉厂安全生产
iotsensor的博客
07-19 584
OPC-R2有16个大小的垃圾箱,可以每秒记录PM1、PM2.5和PM10以及大小直方图,这在应用程序需要的不仅仅是PM时至关重要。OPC-R2取代了OPC-R1,带来了比其前身更好的小颗粒检测、更低的风扇噪声和更好的EMC保护。因此,如何有效监测和控制面粉厂的粉尘浓度,成为了保障安全生产的关键。这种传感器能够实时、准确地监测空气中的粉尘浓度,并将数据反馈给控制系统,从而实现对粉尘浓度的有效控制。通过实时监测和控制粉尘浓度,可以有效保障工作人员的健康、设备的安全运行以及环境的保护。
内容安全(深度行为检测技术、IPS、AV、入侵检测方法)
Thewei666的博客
07-17 1108
区分不同的签名。
【ROS2】高级:安全-部署指南
cxyhjl的博客
07-21 320
目标:了解将安全工件部署到生产系统时的最佳实践。教程级别:高级时间:20 分钟内容背景先决条件一般准则构建部署场景生成 Docker 镜像理解 compose 文件运行示例检查容器背景典型的部署场景通常涉及将容器化的应用程序或软件包发送到远程系统。在部署启用安全性的应用程序时应特别注意,要求用户考虑打包文件的敏感性。遵循 DDS 安全标准 https://www.omg.org/s...
ForCloud全栈安全体验,一站式云安全托管试用 开启全能高效攻防
亚信安全官方账号的博客
07-19 473
一站式云安全托管限时试用 开启全能高效攻防
Vue的安全性:防范XSS攻击与安全最佳实践
哎 你看的博客
07-19 600
随着Web应用的普及,前端安全问题日益受到重视。Vue作为当下流行的前端框架,其安全性也成为开发者关注的焦点。跨站脚本攻击(XSS)是常见的Web安全漏洞之一,本文将讨论如何在使用Vue时防范XSS攻击,并分享其他Vue中的安全最佳实践。
高性能、安全、低碳绿色的趋势下,锐捷网络发布三擎云办公解决方案 3.0
CSDN云计算
07-18 1239
去确保性能体验流畅。与上一代产品相比,三擎云办公 3.0 新增 130+功能特性,不仅充分对标了主流云桌面平台的核心功能,如热补丁升级与第三方存储和计算平台支持,还通过一系列创新技术,如智能透明加密技术,独享应用虚拟化技术,增强协议技术,智能 IO 调度技术等,在体验、安全、降本、增效等多个维度上展现出差异化优势。近日,锐捷网络重磅发布了三擎云办公解决方案 3.0,针对新趋势下挑战,一口气推出了 130 多项功能特性,希望为用户构建一个集安全、高效、体验于一身,实现成本优化的云桌面办公系统环境。
简析漏洞生命周期管理的价值与关键要求
XRY_XIAO的博客
07-22 696
简析漏洞生命周期管理的价值与关键要求
从人工巡检到智能防控:智慧油气田安全生产的新视角
TSINGSEE青犀视频官方技术博客
07-18 1053
远程视频监控:支持7/24小时实时高清视频监控,视频画面1、4、9、16个可选,支持自定义视频轮播。
nginx的配置:TLSv1 TLSv1.1 被暴露不安全
keyboard专栏
07-22 75
要在 Nginx 配置中禁用不安全的 SSL 协议(如 TLSv1 和 TLSv1.1),并仅启用更安全的协议(如 TLSv1.2 和 TLSv1.3),您可以更新您的 Nginx 配置文件。这样,您的 Nginx 服务器将只允许更安全的 TLSv1.2 和 TLSv1.3 协议,并且禁用不安全的 TLSv1 和 TLSv1.1。
安全防御:双机热备
AXDRXS的博客
07-19 1255
因为防火墙上不仅需要同步配置信息,还需要同步状态信息(会话表等),所以,防火墙不能像路由器那样单纯的靠动态协议来实现切换,需要用到双机热备技术。也存在冷备的概念,仅工作一台设备,备份一台设备,备份设备仅同步配置,并不工作,只有在主设备出现故障时,再由管理员替换工作,冷备可能会造成较长时间的业务中断.
保护Mojo模型:确保数据模型安全的策略
最新发布
2401_85812026的博客
07-22 397
在机器学习领域,模型的安全性是至关重要的,尤其是当模型被部署到生产环境中时。Mojo模型,作为H2O.ai提供的一种模型导出格式,需要特别注意保护以防止潜在的安全风险。本文将详细介绍如何确保Mojo模型的安全性,包括安全措施、最佳实践和一些实用的代码示例。通过遵循本文的指导,你将能够确保Mojo模型的安全性,构建更加安全可靠的机器学习应用。通过本文的详细介绍和示例代码,我们深入了解了确保Mojo模型安全性的方法和最佳实践。Mojo模型的安全性不仅关乎数据的保密性,还涉及模型的完整性和可用性。
开源安全态势感知平台Security Onion
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
07-18 1403
Security Onion是一款由安全防御人员为安全防御人员构建的免费开放平台。它包括网络可见性、主机可见性、入侵检测蜜罐、日志管理和案例管理等功能。详细信息可以查看官网在网络可见性方面,Security Onion提供了基于签名的检测(通过Suricata)、使用Zeek或Suricata进行的丰富协议元数据和文件提取、使用Stenographer或Suricata进行的全包捕获,以及文件分析。
canary3 利用格式化漏洞泄露canary 利用ROP执行shell
06-09
利用格式化漏洞泄露canary的一般思路是通过格式化字符串的方式来读取栈上的数据,包括canary的值,然后利用这个值来构造一个假的栈帧,绕过canary的检测。具体实现上,可以使用类似于%lx的格式化字符串来读取栈上的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值