格式化字符串漏洞实验

最新推荐文章于 2024-04-10 14:00:00 发布
最新推荐文章于 2024-04-10 14:00:00 发布
阅读量3.6k 收藏 9
点赞数 3
分类专栏: Seed实验 文章标签: 格式化 字符串 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29687403/article/details/46953121
版权
本文通过实验详细解析格式化字符串漏洞,包括利用漏洞访问内存、修改变量值,以及应对更复杂攻击的策略。实验内容包括寻找栈上变量位置、构造攻击字符串,以及在没有用户输入整数情况下实施攻击。
摘要由CSDN通过智能技术生成

格式化字符串漏洞实验

一、 实验描述

格式化字符串漏洞是由像 printf(user_input) 这样的代码引起的,其中 user_input 是用户输入的数据,具有 Set-UID root 权限的这类程序在运行的时候,printf 语句将会变得非常危险,因为它可能会导致下面的结果:

使得程序崩溃
任意一块内存读取数据
修改任意一块内存里的数据

最后一种结果是非常危险的,因为它允许用户修改 Set-UID root 程序内部变量的值,从而改变这些程序的行为。
本实验将会提供一个具有格式化漏洞的程序,我们将制定一个计划来探索这些漏洞。

二、实验内容

1.预备知识

(1)格式化字符串

考虑语句printf ("Number : %d\n", 5688);,其中%d为格式符,在输出时将会被后面的参数5688替换,得到输出Number : 5688(Enter)。格式符除%d外还有很多种。

格式符 含义 含义(英) 传入参数
%d 十进制数(int) decimal
%u 无符号十进制数 (unsigned int) unsigned decimal
%x 十六进制数 (unsigned int) hexadecimal
%s 字符串 ((const) (unsigned) char *) string 引用(指针)
%n %n 符号以前输入的字符数量 (* int) number of bytes written so far 引用(指针)

(2)格式化字符串与栈
格式化函数的行为由格式化字符串控制,printf 函数从栈上取得参数。考虑下面的语句。

printf ("a has value %d, b has value %d, c is at address: %08x\n",a, b, &c);

程序执行语句时,会从栈上读取相应的参数。这条语句对应的栈的结构如下图所示。执行printf函数前,先将所有参数一次压栈,执行时以此读出。
栈结构示意图
那么我们考虑一下参数数量不匹配时会发生的情况。考虑下面的语句。

printf ("a has value %d, b has value %d, c is at address: %08x\n",a, b);

首先,这段程序时可以编译通过的。printf是参数长度可变的函数,编译器在编译时一般不做检查。printf函数本身只知道从栈上读取数据,并不知道数据是否属于当前函数调用。除非指针超过当前函数可访问范围,否则不会报错。
(3)用于访问任意地址的内容
通过不匹配的参数,我们可以访问任意位置的内存地址。换言之,只要我们能把想要访问的地址编码到栈空间中,我们就可以访问这个地址中的内容。

int a = 0x13061188;
printf("%s");

下面我们来实现一个用于访问特定内存地址的程序。

int main(int argc, char *argv[])
{
    char user_input[100];
    ... ... /* other variable definitions and statements */
    scanf("%s", user_input); /* getting a string from user */
    printf(user_input); /* Vulnerable place */
    return 0;
}

对于这个程序,进需要一个语句就可以访问特定内存中(0x10014808)的数据。

printf ("\x10\x01\x48\x08 %x %x %x %x %s");

函数调用时的栈空间示意图如下。printf不知道栈中的参数是不是为当前函数准备的,所以不经判断进行偏移。通过参数的偏移,我们让%s的指针指向了当前字符串的第一个32位数据,也就是我们想要访问的内存地址0x10014808,可想而知我们就可以通过这个%s打印出这一段内存中的数据。可以看出,攻击的难点在于,找到栈指针到我们的输入的偏移量,即参数的数量。
栈结构示意图
(4)利用%n向内存中写入数据
格式化字符串中有一个用于写入的格式%n,作用是将%n前输出的字符数量写入到指针所指的内存中。如果我们将上一段代码中的%s替换为%n,我们就能重写0x10014808中的内容。


                

                
                
        

        

    

  


        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  qq_29687403
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
格式化字符串漏洞

				
			

			

				

					ylcangel的专栏
				

				

					10-30
					
					2878
					
				

			

		

		

			
				
格式化字符串漏洞

github地址:https://github.com/ylcangel/exploits/tree/master/fmtstr

你可以用于学习,但不能用于商用(如出书、以盈利为目的的课程、文章等),转载需标明出处。

测试平台

系统:CentOS release 6.10 (Final)、32 位

内核版本:Linux 2.6.32-754.10.1.el6.i686...

			
		

	



                

              
                



	

		

			

				
					
[ 信息系统安全实验1 ] 软件安全:格式化字符串漏洞实验

				
			

			

				

					Formy7的博客
				

				

					05-27
					
					3135
					
				

			

		

		

			
				
华科信息系统安全实验1 格式化字符串漏洞实验

			
		

	



                


  
              

                


	

		

			

				
					
2021-2022-1 20212809 格式化字符串漏洞实验

				
			

			

				

					qq_38975218的博客
				

				

					12-12
					
					1083
					
				

			

		

		

			
				
用户需要输入一段数据,数据保存在 user_input 数组,程序会使用 printf 函数打印数据内容,并且该程序以 root 权限运行。更加可喜的是,这个程序存在一个格式化漏洞。让我们来看看利用这些漏洞可以搞些什么破坏。


程序说明:
程序内存存在两个秘密值,我们想要知道这两个值,但发现无法通过读二进制代码的方式来获取它们(实验为了简单起见,硬编码这些秘密值为 0x44 和 0x55)。尽管我们不知道它们的值,但要得到它们的内存地址倒不是特别困难,因为对大多数系统而言,每次运行程序,这些内存..

			
		

	





	

		

			

				
					
字符串格式化及小实验

				
			

			

				

					qq_44792334的博客
				

				

					07-15
					
					278
					
				

			

		

		

			
				
字符串格式化输出的小实验
输入用户的姓名,年龄,职业,薪水。并在输入薪水的时候判断是否符合数字规范,否则退出程序。再以男性的退休标准输入还有多少年退休。最后将输入信息以格式化形式打印出来
效果展示

name = input('Name:')
age = int(input('Age:'))
job = input('Job:')
salary = input('Salary:')

if sa...

			
		

	



		

			
		



	

		

			

				
					
格式化字符串漏洞实验-内含源码以及设计说明书(可以自己运行复现).zip

					
最新发布

				
			

			

				

					05-08
				

			

		

		

			
				
在本实验,我们将深入理解格式化字符串漏洞,并通过提供的源码和设计说明书,亲自运行程序来复现这个问题。  **一、漏洞原理**  格式化字符串漏洞通常发生在以下情况:当一个函数接收用户可控的字符串作为格式化...

			
		

	





	

		

			

				
					
攻防世界格式化字符串漏洞greeting150

				
			

			

				

					Rt1Text的博客
				

				

					04-10
					
					436
					
				

			

		

		

			
				
1.checksec+运行



32位/NX堆栈不可执行/Canary保护

注意一点:没有RELRO保护,got表完全可写

2.IDA常规操作

1.main函数







2.getnline函数







看到以上信息可以 泄露任意地址的内存

但是........上面的看着感觉不是很多对

原来是这样



出现了aaaa---->0x61616161,参数在格式化字符串第12个位置


aaaaaa%p,%p,%p,%p,%p,%p,%p,%p,%p,%p,%p,%p,...

			
		

	





	

		

			

				
					
格式化字符串)溢出实验

				
			

			

				

					ChuMeng1999的博客
				

				

					01-12
					
					858
					
				

			

		

		

			
				
目录实验目的预备知识什么是格式化字符串?栈与格式化字符串如果参数数量不匹配会发生什么?访问任意位置内存在内存写一个数字实验环境实验内容和步骤找出secret[0]的值修改secret[0]的值修改secret[0]为期望值
实验目的
格式化字符串漏洞是一个很古老的漏洞了,现在几乎已经见不到这类漏洞的身影,但是作为漏洞分析的初学者来说,还是很有必要研究一下的,因为这是基础啊!!!所以就有了这个实验了。我实验环境都搭好了,就差你来跟我搞二进制了!%>.<%
格式化字符串漏洞是由像printf(us

			
		

	





	

		

			

				
					
什么是格式化字符串攻击?

				
			

			

				

					zyqviolet的专栏
				

				

					10-28
					
					3511
					
				

			

		

		

			
				
格式化字符串漏洞同其他许多安全漏洞一样是由于程序员的懒惰造成的。当你正在阅读本文的时候,也许有个程序员正在编写代码,他的任务是:打印输出一个字符串或者把这个串拷贝到某缓冲区内。他可以写出如下的代码:

  printf(“%s”,str);

  但是为了节约时间和提高效率,并在源码少输入6个字节,他会这样写:

  printf(str);

  为什么不呢?干嘛要和多余的pr

			
		

	





	

		

			

				
					
c语言格式化字符漏洞,C语言格式化字符串漏洞实验

				
			

			

				

					weixin_39928480的博客
				

				

					05-22
					
					581
					
				

			

		

		

			
				
格式化字符串漏洞实验在线实验环境:格式化字符串漏洞实验文章转载自:https://github.com/shiyanlou/seedlab/blob/master/formatstring.md一、 实验描述格式化字符串漏洞是由像printf(user_input)这样的代码引起的,其user_input是用户输入的数据,具有Set-UID root权限的这类程序在运行的时候,printf语句将...

			
		

	





	

		

			

				
					
格式化字符串漏洞执行任意代码分析

				
			

			

				

					小强的博客
				

				

					10-10
					
					3619
					
				

			

		

		

			
				
首先使用vc++6.0编译一个程序FormatStr.exe,源代码:

代码:
_#include 
#include 

int main (int argc, char *argv[])
{
    char buff[1024];  // 设置栈空间

        strncpy(buff,argv[1],sizeof(buff)-1);
        printf(buff)

			
		

	





	

		

			

				
					
格式化字符串

				
			

			

				

					sh_45的博客
				

				

					09-25
					
					423
					
				

			

		

		

			
				
格式化字符串:
在%操作符的左侧放置一个需要进行格式化字符串,这个字符串带有一个或多个嵌入式转换目标,都以%开头(例如,%d)。
在%操作符右侧放置一个(或多个,嵌入到元组)对象,这些对象爱将会插入到左侧想让python进行格式化字符串到一个(或多个)转换目标到位置上去。
字符串格式化代码
  代码
  意义  s
  字符串(或任何对象)
  r
  s,但使用repr,而不是str
  c

			
		

	





	

		

			

				
					
格式化字符串利用小结

				
			

			

				

					Juny0117的博客
				

				

					11-27
					
					256
					
				

			

		

		

			
				
格式化字符串漏洞基本原理:
Printf()函数的一般形式为printf(“format”,输出表列),其第一个参数就是格式化字符串,用来告诉程序以什么格式进行输出。正常情况下,这样使用:
char str[100];
scanf(“%s”,str);
printf(“%s”,str);

但也有人这么用:
char str[100]
scanf(“%s”,str);
...

			
		

	





	

		

			

				
					
ouc 网络安全实验 格式化字符串漏洞

				
			

			

				

					m0_59598029的博客
				

				

					04-10
					
					624
					
				

			

		

		

			
				
这个实验很难,前前后后三周左右才啃下来这个硬骨头,期间和同学以及助教讨论学习了很多,通过这门课确实学到了不少有用的东西,只要认真做实验,对漏洞这方面的理解会很深的。

			
		

	





	

		

			

				
					
格式化字符串漏洞利用时计算的偏移到底是什么?

				
			

			

				

					weixin_48066554的博客
				

				

					02-07
					
					2456
					
				

			

		

		

			
				
格式化字符串漏洞利用时计算的偏移到底是什么?
我们平时在自己做题或者是看大佬们的wp时都会看见这种说法
说法一:

说法二:

相信有不少半路出家的小白都和我一样都只是知其然不知其所以然,那这里所说的“偏移”到底是什么意思呢?
我们结合这道题来详细讲一讲这些个偏移量所具体代表的意思
先来看伪代码
//main函数
void __fastcall __noreturn main(int a1, char **a2, char **a3)
{
  int v3; // [rsp+24h] [rbp-Ch] BY

			
		

	





	

		

			

				
					
pwn 学习笔记   格式化串计算偏移量

				
			

			

				

					SsMing的博客
				

				

					08-15
					
					4939
					
				

			

		

		

			
				
学习参照:https://ctf-wiki.github.io/ctf-wiki/pwn/fmtstr/fmtstr_exploit/

利用%s泄露libc函数的got表内容

addr%k$s可以用来泄露指定地址的内容,但要先确定k的值,可控制的格式化字符串参数是函数第几个参数(k+1),减一就是格式化字符串的第几个参数(k)。

利用  [tag]%p%p%p%p%p%p%p%p%p%p来确...

			
		

	





	

		

			

				
					
seedlab 格式化字符串漏洞

				
			

			

				

					06-01
				

			

		

		

			
				
Seedlab 的格式化字符串漏洞实验是一个针对 C 语言常见漏洞实验,通过这个实验可以帮助学生了解格式化字符串漏洞的原理和防范方法。  在这个实验,学生需要编写一个程序,该程序接受用户输入的字符串,并将其...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值