栈上的格式化字符串漏洞利用

最新推荐文章于 2025-12-05 17:02:52 发布
原创 最新推荐文章于 2025-12-05 17:02:52 发布 · 1k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #开发语言

目录

栈上的格式化字符串漏洞利用

一、简介

二、原理

三、知识点

四、步骤

五、命令或代码示例

六、工具

非栈上格式化字符串漏洞利用

一、简介

二、原理

三、知识点

四、步骤

五、命令或代码示例

六、工具

一、简介

在 PWN 相关领域中,栈上的格式化字符串漏洞利用是一个重要的技术点。格式化字符串漏洞是由于程序在处理格式化函数(如 printf 等)时,没有正确限制用户输入的格式化字符串,从而导致攻击者可以利用此漏洞来控制程序流程、泄露内存信息或修改内存内容等。当这种漏洞出现在栈上时,攻击者可以利用栈的特性来进行攻击。

二、原理

在 C 语言中,格式化函数(如 printf)根据格式化字符串来解析后面的参数。正常情况下,格式化字符串是程序员写死的常量字符串,但如果用户可以控制这个字符串,就可能出现问题。在栈上,函数调用的参数通常是按照一定顺序存放在栈中的。当 printf 等函数执行时,它会根据格式化字符串从栈上读取相应的数据。攻击者可以通过精心构造格式化字符串,实现以下几种情况:

  1. 信息泄露:通过使用格式化字符串中的 % s、% x 等格式说明符,可以读取栈上存储的内容,包括函数的返回地址、局部变量等信息。
  2. 内存修改:利用 % n 等格式说明符,可以将某个值写入到指定的内存地址。攻击者可以通过栈上参数的相对位置来确定要修改的内存地址,从而改变程序的执行流程。
三、知识点

  1. 格式化字符串语法:要熟悉 C 语言中格式化函数的各种格式说明符,如 % d(整数)、% s(字符串)、% x(十六进制)、% n(将已输出的字符数写入到指定地址)等。
  2. 栈的结构和布局:了解函数调用时栈帧的结构,包括参数在栈上的存储位置、局部变量的位置等。这有助于确定构造格式化字符串时如何访问和修改目标数据。
  3. 内存地址计算:能够根据栈上的已知信息计算出目标内存地址的相对位置,以便准确地进行信息泄露或内存修改。
四、步骤

  1. 漏洞发现:首先要找到程序中存在格式化字符串漏洞的地方,这可能需要对程序的输入点和使用格式化函数的地方进行分析。可以通过逆向工程工具(如 IDA Pro)来查看程序的汇编代码,寻找调用格式化函数的地方,并检查是否存在用户输入作为格式化字符串的情况。
  2. 信息收集:构造简单的格式化字符串,如 “% x.% x.% x...”,并观察程序的输出。通过分析输出结果,可以获取栈上存储的数据信息,尝试确定目标数据(如返回地址、关键局部变量等)在栈上的位置。
  3. 构造攻击字符串:根据信息收集阶段确定的目标数据位置,构造精确的格式化字符串。如果是信息泄露,可以使用类似 “% s” 或 “% x” 的格式说明符在合适的位置读取目标数据。如果是内存修改,要结合内存地址计算,使用 “% n” 等格式说明符将值写入目标内存地址。
  4. 利用漏洞:将构造好的攻击字符串作为输入提供给程序,触发格式化字符串漏洞,实现信息泄露或控制程序流程等目的。
五、命令或代码示例

以下是一个简单的示例代码来演示格式化字符串漏洞:

#include <stdio.h>

int main() {
    char buffer[100];
    scanf("%s", buffer);
    printf(buffer);  // 这里存在格式化字符串漏洞,因为用户可以控制 buffer 的内容
    return 0;
}

攻击者可以输入类似 “% x.% x.% x” 这样的字符串来观察栈上的数据输出。如果要利用此漏洞修改内存,可以构造更复杂的格式化字符串,如 “AAAA% n”(这里假设通过之前的分析知道某个内存地址对应的位置可以通过这种方式修改,实际情况会更复杂)。

六、工具

  1. IDA Pro:用于逆向分析程序,查看汇编代码,确定程序中格式化函数的调用位置和相关逻辑。命令(在 IDA 界面中操作):打开程序文件后,可以使用各种分析功能,如查看函数列表、反汇编窗口等。例如,使用快捷键 “F5” 可以尝试将汇编代码转换为伪代码,方便理解程序逻辑。
  2. GDB(GNU 调试器):可以动态调试程序,观察程序在运行过程中栈的状态。命令:
    • gdb [程序名]:启动 GDB 并加载程序。
    • b [函数名或行号]:设置断点。
    • r:运行程序。
    • x/[格式] [地址]:用于查看指定内存地址的内容,格式可以是 x(十六进制)、s(字符串)等,例如x/10x $esp可以查看栈顶开始的 10 个十六进制值。这些工具可以帮助更好地理解程序的行为和栈上的情况,从而更有效地利用栈上的格式化字符串漏洞。

第14节 变成博客 先说这个是什么 这个的原理 加上知识点和步骤 加上命令或代码 有工具的话加上工具的命令

非栈上格式化字符串漏洞利用

一、简介

非栈上格式化字符串漏洞利用是信息安全领域中,特别是在漏洞分析与利用方面的一个关键技术。与栈上格式化字符串漏洞不同,这种漏洞涉及到堆、数据段等非栈内存区域的利用方式,攻击者可以利用程序对格式化函数使用不当的漏洞来达到获取敏感信息、控制程序执行流程等恶意目的。

二、原理

  1. 格式化函数与内存操作原理
    • 在程序中,格式化函数(如 printf、sprintf 等)在处理格式化字符串时,会根据格式化字符串中的格式说明符来操作内存。正常情况下,函数期望程序员提供合适的参数。但如果存在漏洞,攻击者可控制格式化字符串。
    • 对于非栈内存,比如堆内存,当程序存在漏洞使得格式化字符串能够影响到堆上的数据结构时,攻击者可以利用格式说明符对堆内存中的数据进行读取或修改。例如,在一些存在漏洞的程序中,格式化字符串可能被存储在堆上,并且在使用格式化函数时没有正确验证。
  2. 内存布局与数据访问
    • 在非栈内存区域,如堆,数据的存储和管理有其特定的方式。堆内存是动态分配的,通过指针等方式来访问。当格式化函数操作涉及到非栈内存时,攻击者可以通过构造特定的格式化字符串,利用格式化函数在内存中查找参数的机制,访问和操作堆上的相关数据。这可能导致信息泄露,例如读取存储在堆上的敏感信息,或者通过修改堆上的数据结构来改变程序的行为,如修改指向重要函数的指针等。
三、知识点

  1. 内存区域知识:需要深入理解非栈内存区域(如堆、数据段等)的结构和管理方式。了解堆内存分配和释放的原理,例如 malloc、free 等函数的工作机制,以及数据在这些区域中的存储格式。
  2. 格式化字符串细节:和栈上格式化字符串类似,要全面掌握格式化函数的各种格式说明符(如 % s、% x、% n 等)在非栈内存环境下的作用和影响。特别是要理解在非栈内存中,这些格式说明符如何与内存地址和数据交互。
  3. 指针与内存地址操作:掌握指针在非栈内存访问中的作用。能够计算和确定非栈内存中目标数据的地址,以及如何通过格式化字符串来操作这些地址对应的内存数据。这包括对内存地址的偏移计算、数据类型的理解等。
四、步骤

  1. 漏洞发现与分析
    • 使用逆向工程工具(如 IDA Pro)对目标程序进行分析,查找可能存在非栈上格式化字符串漏洞的代码片段。重点关注对格式化函数的调用,尤其是那些涉及到非栈内存数据作为参数或者可能影响非栈内存数据的地方。例如,查看程序中对存储在堆上的字符串进行格式化输出的代码。
    • 通过动态调试工具(如 GDB)运行程序,观察程序在处理可能存在漏洞的代码时的内存状态。可以设置断点在格式化函数调用处,检查相关内存区域的数据。
  2. 信息收集与目标确定
    • 构造特殊的格式化字符串作为输入,尝试获取非栈内存中的数据信息。例如,在可能存在漏洞的输入点输入类似 “% x.% x.% x...” 的格式化字符串,观察程序的输出,分析其中是否包含来自非栈内存的有用信息,如堆内存中的数据指针、存储在数据段的重要变量值等。
    • 根据收集到的信息,确定要攻击的目标,如获取存储在堆上的敏感数据的完整内容,或者找到可以修改以控制程序流程的关键内存地址(可能是指向重要函数的指针在堆上的存储位置等)。
  3. 构造攻击字符串
    • 根据目标内存地址和要执行的操作(信息泄露或内存修改),精心构造格式化字符串。如果是信息泄露,可以使用合适的格式说明符(如 % s 用于读取字符串数据)在目标地址位置获取数据。如果是内存修改,结合内存地址计算和 % n 等格式说明符来修改目标内存的值。例如,如果要修改堆上某个指针的值,可以通过构造包含 % n 和正确计算的地址偏移的格式化字符串来实现。
  4. 漏洞利用与验证
    • 将构造好的攻击字符串输入到程序中,触发非栈上格式化字符串漏洞,观察程序的行为是否符合预期。如果是获取信息,检查是否成功获取到目标数据;如果是修改内存,检查程序是否按照修改后的内存状态执行,如是否跳转到攻击者指定的函数地址等。
五、命令或代码示例

以下是一个简单的可能存在非栈上格式化字符串漏洞的示例代码:

#include <stdio.h>
#include <stdlib.h>

int main() {
    char *buffer = (char *)malloc(100);
    scanf("%s", buffer);
    printf(buffer);  // 这里存在潜在的格式化字符串漏洞,因为 buffer 是从堆上分配的
    free(buffer);
    return 0;
}

攻击者可以输入类似 “% x.% x.% x” 这样的字符串来观察可能来自堆内存或其他非栈内存的数据输出。如果要利用此漏洞修改内存(假设存在合适的条件和目标地址已知),可以构造更复杂的格式化字符串,如 “AAAA% n”(这里只是简单示意,实际情况需要准确计算地址)。

六、工具

  1. IDA Pro
    • 用于逆向分析程序。命令(在 IDA 界面中操作):打开程序文件后,可以使用各种分析功能。例如,使用快捷键 “F5” 可以尝试将汇编代码转换为伪代码,方便理解程序逻辑。通过查看函数调用关系、数据引用等,确定可能存在非栈上格式化字符串漏洞的位置,尤其是涉及到非栈内存操作的格式化函数调用点。
  2. GDB(GNU 调试器)
    • 可以动态调试程序,观察程序在运行过程中非栈内存的状态。命令:
    • gdb [程序名]:启动 GDB 并加载程序。
    • b [函数名或行号]:设置断点。例如,在格式化函数调用处设置断点,b printf
    • r:运行程序。
    • x/[格式] [地址]:用于查看指定内存地址的内容,格式可以是 x(十六进制)、s(字符串)等。例如,x/10x [堆内存地址]可以查看堆上某个区域的十六进制值,帮助分析非栈内存中的数据情况。
上的格式化字符串漏洞【超详细,七种利用】(pwn入门)
2402_83422357的博客
05-24 2849
格式化字符串漏洞由于目前编译器的默认禁止敏感格式控制符,而且容易通过代码审计中发现,所以此类漏洞现在已经极少出现了。所以格式化字符串漏洞在实际利用过程中现在几乎挖掘不到了,但是在CTF的pwn题中,由于其可以结合其他溢出漏洞利用,还是经常会遇到格式化字符串漏洞的。格式化字符串漏洞最早被Tymm Twillman在1999年发现,当时并未引起重视。
格式化字符串漏洞利用模板
weixin_65725423的博客
09-30 621
格式化字符串漏洞格式化字符串存储在区域(如堆或 BSS 段)中。由于无法直接操控上的变量,我们需要采用其他方法来实现漏洞利用。本文通过一道例题来总结该形式漏洞利用一般步骤及EXP模板。
PWN-格式化字符串漏洞利用:深入解析与实践
m0_57836225的博客
11-19 1277
攻击者可以通过构造特定的格式化字符串利用格式化函数在处理这些字符串时对内存的操作,来实现对上内存的读写,进而达到攻击目的。攻击者可以利用这个漏洞,通过巧妙构造输入的格式化字符串,来控制程序的行为,比如读取敏感信息、修改内存数据,甚至执行恶意代码,从而对系统的安全性造成严重威胁。这包括对代码的审查技巧,如检查对格式化函数的调用是否存在用户输入的格式化字符串,以及分析程序的输入输出流程,判断是否存在对上内存的不当访问。了解程序的内存布局,包括、堆、bss 段、数据段、代码段等的位置功能。
上的格式化字符串漏洞
Grxer的博客
03-20 1177
利用1处地址,也就是将0xffffcfa8地址处内容0xffffcfb8修改为0xffffcfac,由于开启pie保护,0xffffcfac处所存内容是elf文件所存地址+pie基址生成的,got表也在elf文件的数据区,也是有地址+pie基地址生成,所以我们只需要利用%$hn修改其低四位即可(小端序),buf地址可以利用%$p泄露,这样我们就可以输入buf为printf_got+payload,修改其got为system地址。(目标文件该节在磁盘不占空间,在运行时,内存分配,初始化0))
格式化字符串漏洞格式化字符串漏洞
2301_79879963的博客
03-14 2017
int printf("格式化字符串",参量...)参数的返回值是正确输出的字符的个数,如果输出失败,返回负值参量表中的参数的个数是不定的(参数的个数可以是一个,两个,三个...)格式化字符串函数有很多,例如输入:scanf;printf输出到 stdoutfprintf输出到指定 FILE 流vprintf根据参数列表格式化输出到 stdoutvfprintf根据参数列表格式化输出到指定 FILE 流sprintf输出到字符串snprintf输出指定字节数到字符串
格式化字符串漏洞(BSS段上)
qq_33348179的博客
07-11 502
3.关于泄露rbp+8地址的选择,只要能得出固定偏移即可,在这题中,使用fmt偏移为8的地址同样能打通,只是离rbp+8的距离会改为0x150。1.在动态调试的时候,出现了没有16字节对齐的情况,这个时候需要按照对齐的方法,把后门函数地址+1来保证对齐。2.再利用fmt找到一个带有指向链条的地址并且得出这些地址的fmt偏移(addr1->addr2)这样,就能让RBP+8(返回地址)的位置指向了后门函数,从而get shell。这里使用fmt偏移为10的地址,rbp+8的地址距离为0x38。
PWN--格式化字符串漏洞
2302_79542511的博客
10-06 641
最近刷题碰到了上的格式化字符串漏洞。这类题的特点是格式化字符串不在上,那么就不能用fmt_str工具来任意地址写了,而是必须要自己手搓。那么如何手搓呢?主要是利用%kc%k$hn(双字节)或者%k$hhn(单字节)。%kc(k是一个整数)的作用是打印k个空字符,这样的话可以控制%k$n写入的值。%k$n的作用是对于第k个参数(必须是指针类型),往其指向的地址写入已打印的字符个数。具体如何操作,请看例题。
上的格式化字符串利用例题讲解
fzucaicai的博客
03-06 929
具体来说,就是用%n,把如图的0x7fffffffdda0所指向的0x7fffffffddb0改成0xfffffffdd98,这样的话,我们用%n作用在第八个参数就可以修改第七个参数所储存的内容了!%n %s一样,都是类似于指针的东西,比如我对第7个参数进行%n ,那么实际上修改的并不是第七个参数里的数据,而是把第七个参数里存的数据当成。改got只能一次成型,因为如果分多次,导致printf的got表改变,就不会再执行pirntf函数了,因此需要一次性修改,否则将会失败。,然后修改指针指向的对应内容。
格式化字符串漏洞利用例题
09-30
格式化字符串漏洞利用例题
[CTF]PWN--格式化字符串漏洞
2301_79880752的博客
02-26 3180
一般来说,上的格式化字符串漏洞利用步骤是先泄露地址,包括ELF程序地址libc地址;然后将需要改写的GOT表地址直接传到上,同时利用%c%n的方法改写入地址,最后就是劫持流程。但是对于BSS段或是堆上格式化字符串,也就是格式化字符串漏洞,无法直接将想要改写的地址指针放置在上,也就没办法实现任意地址写。本文主要为大家介绍BSS段上的格式化字符串漏洞的解法。
Canary机制及绕过策略-格式化字符串漏洞泄露Canary
01-27
例如,设置断点查看Canary,并通过格式化字符串漏洞来泄露Canary的值。在`printf`函数处下断点,利用格式化字符串的 `%n` 或其他方式来读取上的内存。通过计算偏移量,可以找出Canary相对于上其他已知地址的位置...
格式化字符串漏洞
2302_79813730的博客
02-21 1189
如图,红色框为a-b-c,我们可以利用格式化字符串漏洞更改c为蓝色框的第一个地址,这样我们就得到a-b-c-d,有这个我们一定可以找到b-c-d,这样我们就可以把d改成one_gadget的地址,d正好是main函数的返回地址,我们一般修改的也是这个。但这样实际是行不通的,通过调试我们可以看到三次更改的都是尾字节,为什么呢,原因就在于上,每一次更改都要有对应的返回地址,这是第一次的,第二次要修改的是中间两字节,在原本基础上+2就可以了,第三次原理相似(想学堆上的可以自己去搜索,我目前也没学到。
TensorRT笔记(5):研究timingCache
ouliten的博客
12-02 1016
在里出现了大量的timingCache,但是当时没有取研究这是干啥的,本文就来解析一下。样例都基于上面的文章。
MVP改成MVVM模式
u014035162的专栏
12-05 617
面将登录示例改造成(基于 Android Jetpack 的 ViewModel + LiveData + DataBinding),核心是抛弃 Presenter 中间层,通过 ViewModel 管理数据业务逻辑,LiveData 实现数据驱动 UI,DataBinding 简化视图与数据的绑定。
零基础学JAVA--Day41(IO文件流+IO流原理+InputStream+OutputStream)
最新发布
Dxxyyyy的博客
12-05 560
文件在程序中是以流的形式来操作的流:数据在数据源(文件)程序(内存)之间经历的路径输入流:数据从数据源(文件)到程序(内存)的路径输出流:数据从程序(内存)到数据源(文件)的路径。
基于Springboot2+Vue2的旅游景点购票系统
自学网站s.jf3q.com,菜鸟的成长之路
12-02 660
本系统是一个集旅游景点信息展示、在线购票、用户游记分享与互动交流于一体的综合性平台。核心价值在于提供便捷的景点门票预订服务,同时构建活跃的旅游社区,促进用户间的经验分享。
Java 缓冲区优化
qq_43427354的博客
12-02 689
Java 中,缓冲区(Buffer) 是一块用于临时存储数据的内存区域,核心作用是协调数据生产者消费者的速度差异,减少频繁 I/O 操作或数据拷贝的开销,提升程序性能。它本质是 “数据中转站”,避免了直接对原始数据源(如文件、网络流、数组)的频繁读写,通过 “批量处理” 优化效率。
【Android逆向工程】第8章:Frida 高级应用:函数追踪与 RPC 调用
w987333120的博客
12-01 405
本文介绍了Frida框架的核心功能与应用技巧,包括函数调用追踪、RPC机制、批量Hook、内存操作脚本模块化等关键技术。重点讲解了Thread.backtrace()DebugSymbol.fromAddress()的用法,提供JavaNative函数的调用追踪示例,并展示了调用过滤与分析方法。最后通过实战案例演示登录流程追踪RPC调用,同时给出常见问题解决方案。这些技术可有效提升逆向分析效率,适用于移动应用安全测试场景。
Drools规则引擎实战指南
qq_41262225的博客
12-05 366
Drools规则引擎实战指南摘要 Drools是一款开源的Java业务规则管理系统(BRMS),通过将业务逻辑与代码分离,提高系统灵活性。本文介绍了Drools的核心架构,包括KieBase知识库、KieSession工作内存规则执行队列Agenda。实战部分展示了Maven依赖配置、项目结构设计,以及实体模型定义方法。通过规则引擎,业务人员可直接维护业务规则,无需修改代码即可实现业务逻辑变更,显著提升系统可维护性。文章还提供了Spring Boot集成方案规则文件组织结构,帮助开发者快速上手Drool
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值