[PWN][基础篇]如何利用printf漏洞突破canary保护

最新推荐文章于 2024-01-19 18:51:02 发布
最新推荐文章于 2024-01-19 18:51:02 发布
阅读量4k 收藏 3
点赞数 2
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46363249/article/details/115054998
版权

如何利用printf漏洞突破canary保护

使用的实例代码如下
在这里插入图片描述为了配合本次实例的教学,大家在编译时,不加pie保护,加cannary保护,整个的流程就是,分析程序之后,编写exp,利用printf漏洞(填充func函数,使其返回地址为exploit函数)来突破canary并且覆盖ret。

在这里插入图片描述
之后使用gdb开文件,查看func函数
在这里插入图片描述
来自英语白痴的小tip:
在这里插入图片描述

我们可以大概搞清楚func的流程,就是先read,然后printf,然后read,就是这样子。
我们下断就下到printf这里,我输入的测试用例是HHH

在这里插入图片描述我们回去看一下代码,输出的格式format我们没有给,所以默认的输出就是esp+4,现在我们来看一下栈吧,也就是0x28

在这里插入图片描述在这里插入图片描述
这里查看的canary的值,也就是0x619da200,我们在stack中找到他,然后计算一下canary和栈顶之间的偏移量是多少
在这里插入图片描述在这里插入图片描述

我们重新运行,并且用一下format格式,也就是我输入的%15$08x,上图还是断到了printf函数,我们n,看看输出了什么
在这里插入图片描述

然后我们查看一下stack 0x28,看看canary的值
在这里插入图片描述

也就是我们输出的那个值。
我们成功的将cannary的值输出了,那我们就可以写exp了

在这里插入图片描述上面就是exp了,现在我给大家讲一下exp为甚这样子写

首先导入pwn包,然后process()捕捉进程,然后计算canary的偏移,就是canary和输入的字符串的距离,第二个红框和第三个红框之间的距离,也就是8,所以canary_offset = 8*4(个字节)

在这里插入图片描述canary_offset * ‘a’ 就是把那8行填充为垃圾数据’a’

然后加上canary了,然后定义个变量,canary
首先要发送泄露的地址,也就是p.sendline(%15&08x) 这里就是我们一开始查看的那个,这个格式是一个string.format(),然后我们要接收这个泄露的地址,所以就是canary = recv(),然后打印出canary,是为了测试一下canary对不对,这个写不写无所谓的,后面的[:8],是因为记录了回车,也就是那个\n,但是我们不需要它,所以只要8位就可以了。

payload目前是:canary_offset * ‘a’ + canary

然后我们应该把ret的那段也填充了,所以创建一个变量ret_offset为什么是3*4,如下图
在这里插入图片描述

现在的payload是:canary_offset * ‘a’ + canary + ret_offset * ‘a’

然后我们要加上然后地址,我们要getshell,然后的地址应该是函数exploit(),我们在gdb中用dissass exploit来查看,如下图
在这里插入图片描述
设置新变量exploit_add = p32(0x08049192) p32 告诉电脑这是个32位地址

最后就是sendline,给第二个read(大家回头看看程序的代码)发送payload

最后一步获取运行时环境p.interactive()

还有比较重要的一点就是在我们接收到的canary是人眼看到的正序,但是呢程序是小端存储,所以我们要把canary变成倒叙传给程序,也就是canary = cannary.decode(“hex”)[::-1]

大功告成

我们运行一下exp,看下图:
在这里插入图片描述
在这里插入图片描述

getshell成功!!!!!!!!

希望大家可以有所收获!!!!!!!

exp写起来太恶心了,但是写完的时候是真的爽,pwn基础篇完结撒花,呱唧呱唧!!!!

鹏华李
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
格式化字符串漏洞利用之泄露canary
weixin_44113469的博客
03-31 1511
两道格式化字符串漏洞利用入门题,绕过canary的一种姿势,不知道写的对不对,请大家多指正。 0x01 Canary 保护 开启了NX和canary。 题目分析 有个getshell函数,vuln函数里面明显的栈溢出和格式化字符串漏洞,所以可以利用printf函数泄露出canary的值,然后利用栈溢出填充canary,控制返回指针执行getshell函数。 栈 从栈的情况看,var_8...
如何利用printf漏洞突破canary保护
fanghuapyk的博客
03-19 388
如何利用printf漏洞突破canary保护 原理: 1、 在所有函数调用发生时,向栈帧内压入一个额外的随机 DWORD,这个随机数被称作 “canary”,用 IDA 反汇编时,又被称作“Security Cookie”。 2、 canary 位于 EBP 之前,系统还会在.data 的内存区域中存放一个 canary 的副本。 3、 当栈中发生溢出时,canary 将被首先淹没,之后才是 EBP 和返回地址。 4、 在函数返回之前,系统将执行一个额外的安全验证操作,称作 Security Check。
pwn入门笔记(4)——如何利用printf漏洞突破canary保护
weixin_45551695的博客
07-29 437
实例分析 编译printf2.c ,要加canary保护 输入 写exp,利用printf漏洞突破canary 并且覆盖ret #include<stdio.h> void exploit() { system("/bin/sh"); } void func() { char str[0x20]; read(0, str, 0x50); printf(str); read(0, str, 0x50); } int main() { func()
CTF-PWN-printf(实验吧|格式化字符漏洞)
SuperGate的博客
02-01 3238
首先运行文件,发现需要输入name,于是打开ida逆向出正确的name,来到了程序主界面。 首先我们先逐一判断函数的用途。put_file是让我们输入文本名称和内容,get_file是让我们输入文本名称,然后程序输出文本内容。show_dir是按照先来后出输出所有的文本名称,并且无缝衔接。 这个时候我们发现get_file函数中显然有一个格式化字符漏洞。 这种漏洞会导致我们可以控制任意内存的...
Pwnprintf漏洞
weixin_52553215的博客
03-10 1087
参考:https://bbs.pediy.com/thread-250858.htm Format String 介绍 1 printf("Team Name: %s\tPoints: %d\n", "Whitzard", 999); 在上面这行语句中, "Team Name: %s\tPoints: %d\n"为格式化字符串(即printf第一个参数),"Whitzard"、999分别为第二个和第三个参数。在格式化字符串解析时,格式化字符串中的 "%s" 对应
pwn-x64-printf泄露题目
08-04
x64 printf回显漏洞
漏洞利用Pwn的东西
02-20
漏洞利用我的一些pwn漏洞: 使用针对PHP 7.0-7.4的PHP disable_functions旁路。 对于版本7.0-7.3,使用 PHP disable_functions旁路。 错误在PHP 7.4中修复。 在30.05.2019之前发布的版本7.1-7.3中使用...
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
Apache Struts CVE-2017-5638的漏洞利用 用法 测试单个URL。 python struts-pwn.py --url 'http://example.com/struts2-showcase/index.action' -c 'id' 测试网址列表。 python struts-pwn.py --list 'urls.txt' ...
Server-Auto-Pwn:自动Web服务器漏洞扫描程序和漏洞利用程序
05-09
服务器自动拥有SAP为漏洞利用程序提供了一个平台,可以轻松创建该漏洞利用程序,并将其与从shellcode到jsp的各种不同有效负载一起使用,几乎可以与任何漏洞利用程序一起使用。 此外,通过多阶段的shell处理程序,它...
pwn入门笔记(3)——printf漏洞调试
weixin_45551695的博客
07-28 534
printf 在C语言中,我们经常使用各种函数来进行输出操作 printf,fprintf,vprintf,vfprintf,sprint等, 其中Fomat String是其第一个参数,我们一般称之为格式化字符串 printf 接受变长的参数,其中第一个参数为格式化字符串,后面的参数在实际运行时将与格式化字符串中特定格式的子字符串进行对应,将格式化字符串中的特定子串,解析为相应的参数值。 解析 我们都知道printf在执行的时候,首先进行格式化字符串的解析,,从栈或者寄存器中获取参数并与符号说明相匹配,然
BugkuCTF-PWNpwn6-printf超详细讲解(未提供Libc版本)
am_03的博客
08-31 1046
查看文件类型: 查看保护机制: IDA64位打开: 伪码: 查看子程序: case 2: case 3: case 1:
[PWN][基础]printf漏洞介绍
网络安全知识分享
03-20 5078
printf漏洞介绍1、概念2、漏洞成因 1、概念 printf接受变长的参数,其中第一个参数为格式化字符串,后面的参数在实际运行时将与格式化字符串中特定的子字符串进行对应,将格式化字符串中的特定字串,解析为相应的参与值。格式化字符串就是%这种。 2、漏洞成因 printf函数在执行时,首先进行格式化字符串的解析–从栈(或者寄存器)获取参数并与符号说明进行匹配,然后将匹配的结果输出到屏幕上,那么 ,如果格式化字符串中的符号声明与栈上参数不能正确匹配,比如参数个数少于符号声明个数时,就会造成泄漏。 而本书,p
pwn学习---借助格式化输出绕过canary保护
gclome的博客
03-29 492
0x01 原理简介 格式化字符串漏洞是因为c语言中printf的参数个数不是确定的,参数的长度也不是确定的,当printf把我们的输入当作第一个参数直接输出的时候,我们输入若干格式化字符串,会增加与格式化字符串相对应的参数,会泄露出栈中的内容 Stack canary保护机制在刚进入函数时,在栈上放置一个标志canary,然后 在函数结束时,判断该标志是否被改变,如果被改变,则表示有攻击行为发生。...
pwn学习资料整理——x64中的printf回显漏洞
recover517的博客
08-04 365
利用printf打印栈中内容 B站上有讲解有关printf回显栈数据的课程,但都是以x86为例,这次做题遇到x64架构下的相关漏洞,故做本次记录。 IDA伪代码 int __cdecl main(int argc, const char **argv, const char **envp) { char v4[32]; // [rsp+0h] [rbp-30h] BYREF char buf[16]; // [rsp+20h] [rbp-10h] BYREF setvbuf(stdin, 0L
hctf[pwn]babyprintf_ver2
九层台
11-15 796
0x01程序分析 程序给出了data段的地址,然后允许向这个地址处输入0x1ff个字节。 这个data段到底存的是什么呢? pwndbg&gt; print $rbx + $rax $1 = 0x555555756011 pwndbg&gt; x /50xg 0x555555756011 0x555555756011: 0x7200676664647364 0x200000000000646c ...
[pwn]关于printf输出时机的坑
Breeze的博客
08-26 8307
关于printf输出时机的坑 今天遇到了一个特别有意思的题,本来很简单的利用,但一直没有算出来,最后发现是一个很简单的却很细节的问题。 welpwn详细writeup 题目地址:welpwn 首先查看一下安全策略: 保护很少,然后看一下代码逻辑: read读入了0x400个字节,一般这么长必有溢出,注意echo并不是系统函数,查看echo逻辑: s2只有16个字节,但却复制了一个0x400字...
pwn 格式化字符串漏洞及例题
limenzzz的博客
10-21 1821
一些输出函数例如printf,sprintf都接受参数输入,例如printf("%d",s)。但如果在编写函数时为方便写为printf(s),则可通过对s输入的构造来执行一些操作。 在其中常见的有通过-%p %08x等参数来查看偏移值,简单来说,就是输入的值存在于栈的哪个地方。
[PWN]——格式化字符串漏洞(包含几种解题方法)
最新发布
ysy___ysy的博客
01-19 1991
如果要自己采用"%x$n"的方式手动构造payload容易出错,所以使用pwntools中的FmtStr格式化字符串类来解决格式化字符串漏洞比较方便做题。如果有什么错误的地方请师傅们告诉我一下。本文制作不易,盗版必究。
pwn格式化字符串漏洞
08-30
pwn中的格式化字符串漏洞是指通过向程序输入格式化字符串,然后利用程序内部的输出函数来读取或修改内存中的数据。这种漏洞会导致程序的安全性受到威胁,攻击者可以利用漏洞执行任意代码或者获取敏感信息。 格式...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

鹏华李

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值