格式化字符串-retaddr

最新推荐文章于 2024-02-04 21:11:50 发布
最新推荐文章于 2024-02-04 21:11:50 发布
阅读量938 收藏 3
点赞数 1
分类专栏: pwn漏洞分类 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sea_time/article/details/103604481
版权
本文介绍了如何利用格式化字符串漏洞在Linux环境下劫持程序的返回地址,以达到执行任意代码的目的。通过分析程序,发现存在格式化串漏洞,可以修改栈上的返回地址。在面对Full RELRO保护时,通过计算相对偏移,找到并修改返回地址,使其指向system('/bin/sh')的地址,从而获取shell。文中提供了利用思路和具体操作步骤,并针对不同系统可能遇到的问题给出了解决方案。
摘要由CSDN通过智能技术生成

hijack retaddr(劫持返回地址)

原理

很容易理解,我们要利用格式化字符串漏洞来劫持程序的返回地址到我们想要执行的地址。
这里以三个白帽pwnme_k0为例:
在这里插入图片描述
这里有NX和Full RELRO,先介绍一下RELRO:
Partial RELRO: gcc -Wl, -z, relro:

ELF节重排
.got, .dtors,etc. precede the .data and .bss
GOT表仍然可写

Full RELRO: gcc -Wl, -z, relro, -z, now

支持Partial RELRO的所有功能
GOT表只读

那么这里我们就无法修改got表了。

分析程序

简单分析得知,程序实现了一个类似注册之类的功能,能够查看和修改,我们在查看功能发现了格式化串漏洞,即输出时:
在这里插入图片描述我们看到,printf(&v9+4),这里回溯一下,发现我们输入的password也是&v9+4:
在这里插入图片描述
我们还发现我们输入的username在距离password的20字节处:
在这里插入图片描述

利用思路

我们的最终目的就是为了获得系统的shell,我们发现在0x4008A6地址处有直接调用system(’/bin/sh’)的函数,那如果我们修改某个函数的返回地址为这个地址,那就相当于获得了shell:

最低0.47元/天 解锁文章
落殇子诚
关注
专栏目录
格式化字符串
m0_49959202的博客
10-29 806
文章目录格式化字符串1.原理1.1 格式化字符串介绍1.1.1 格式化字符串函数1.1.2 格式化字符串1.1.3 参数1.2 32位格式化字符串漏洞基本原理1.3 32位格式化字符串利用思路1.3.1 利用1:程序崩溃1.3.2 利用2:泄露内存1.3.2.1 泄露栈内存1.3.2.1.1 获取栈变量数值1.3.2.1.2 获取栈变量对应字符串1.3.2.2 泄露任意地址内存1.3.3 利用3:覆盖内存1.3.3.1 覆盖栈内存1.3.3.2 覆盖任意地址内存1.3.3.2.1 覆盖为小数字1.3.3.3
格式化字符串漏洞利用
qq_42192672的博客
10-25 3858
学习资料: https://ctf-wiki.github.io/ctf-wiki/pwn/linux/fmtstr/fmtstr_exploit/                        https://veritas501.space/2017/04/28/%E6%A0%BC%E5%BC%8F%E5%8C%96%E5%AD%97%E7%AC%A6%E4%B8%B2%E6%BC%8F%E...
ASIS CTF 2020_full_protection: 格式化字符串与栈溢出的利用
个人笔记
09-10 1422
本题主要利用了格式化字符串漏洞、栈溢出漏洞;其中有两点值得注意:第一、使用 gef 插件找到 canary,便于绕过栈保护;第二、strlen 函数对输入的长度进行了限制,其实是可以利用 \0 绕过。其余知识点都是 pwn 中常用的一些手段,比如改写 alarm,禁用反调试;ROP 构造等。
好好说话之hijack retaddr
hollk’s blog
08-11 1101
格式化字符串做到这里,博主有一些感悟。相比于栈溢出来讲,格式化字符串漏洞对于泄露或者覆盖闲的更容易点,主要注意的就是第几个参数,使用%p、%s、%n这几种格式化字符串。也可能是我做题比较少的原因,只遇到了这几个。最近一直做格式化字符串,所以做得比较顺手,希望看这篇文章的你也能有所收获。编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ hijack retaddr 看名字就能知道这一次我们劫持的是ret返回地址,我们通过覆盖返回地址,printf函数结束后让原有的执行流程发生改变
Linux pwn入门教程——格式化字符串漏洞
dfdhxb995397的博客
07-18 404
本文作者:Tangerine@SAINTSEC 原文来自:https://bbs.ichunqiu.com/thread-42943-1-1.html 0×00 printf函数中的漏洞printf函数族是一个在C编程中比较常用的函数族。通常来说,我们会使用printf([格式化字符串],参数)的形式来进行调用,例如 然而,有时候为了省事也会写成 事实上,这是一种非常...
CTF PWN 格式化字符串
VisualNull的博客
06-05 1317
CTF PWN格式化字符串
windbg 中 ChildEBP RetAddr MODULE!SYMBOL+0x0ffset 的含义
求索
05-27 1299
ChildEBP   RetAddr    MODULE!SYMBOL+0x0ffset   Where: ·          ChildEBP is the 32-bit Base Pointer for that function or subroutine ·          RetAddr is the 32-bit virtual address the
Ep1 逆向及Bof基础实践-20202127
qq_57435798的博客
03-15 309
只要我们构造的字符串能够溢出到EIP所在位置,将其中的返回地址“80484ba”覆盖为getShell函数的地址“804847d”,则程序执行完foo函数后将返回到getShell函数去执行。查看当前所有寄存器的值,其中EIP的值为“0x30393837”,对应字符“0987”,正是我们输入的第33~36个字节的内容。终端2继续执行,看到 01020304了,就是返回地址的位置。对应机器指令为“e8。因此,可以判断输入的第33~36个字节的内容会覆盖到栈上的返回地址,进而CPU会尝试运行这个位置的代码。
20194307肖江宇exp-1
MYRLY的博客
03-17 3200
20194307肖江《网络对抗技术》 exp1 逆向与Bof基础
利用格式化字符串漏洞实现任意地址读写
个人笔记
06-01 4301
理解格式化字符串漏洞关键还是在于理解栈空间布局,任意地址写初学者接触到可能较为抽象,但是结合栈空间布局以及格式化字符串的原理,详细我们就能对格式化字符串有个更加清晰的认知。如果能够复现上述漏洞案例,那么恭喜你,已经完成了 pwn 格式化字符串漏洞这一旅程。
32位格式化字符串漏洞实现任意地址内存覆盖
z2876563的博客
08-11 1173
32位格式化字符串漏洞实现任意地址内存覆盖 原理 int i; printf("AAAA%n",&i) 此时i=4 漏洞利用例子 比如想将2写入0xffffcd28。则构造payload"AA%15nA"+p32(0xffffcd28),开头AA即可将=地址0xffffcd28内容赋值为2,nA"+p32(0xffffcd28),开头AA即可将=地址0xffffcd28内容赋值为2,%15nA"+p32(0xffffcd28),开头AA即可将=地址0xffffcd28内容赋值为2,n5个字节,为了
堆栈操作之———神奇的代码
a18772316132的专栏
04-08 662
下面看一段神奇的代码,这段代码运行之后结果是: hello! haha! //主程序 #include  using namespace std; unsigned int retAddr; void printhaha() { int a; *(int *)(&a+2) = retAddr;            cout } void printhello() {
ChildEBP RetAddr的解释
weixin_30764771的博客
08-22 424
参考文章 http://www.sevenforums.com/crash-lockup-debug-how/34871-advanced-principles-debugging.html ChildEBP: a pointer to a memory location which stores the address of the previous function on the...
使用WinDbg —— .NET篇 (十二)
ecjtu_luowei的专栏
07-23 654
接上篇: 分析总结一下用到的方法: 1. 分析栈回溯信息: 通过“!dumpstack”可以打印出当前线程的所有托管和非托管的栈帧信息,输出信息表格里面第一列是ChildEBP,表示子栈帧的EBP地址,也就是子方法的栈底地址;RetAddr表示当前栈帧的的返回地址,最后一列Caller,Callee就是调用者和被调用者,例如这一列: 0115f218 015
格式化字符串漏洞
最新发布
2301_79880752的博客
02-04 892
开启NX、Canary保护,64位,动态编译,IDA分析:很明显存在格式化字符串漏洞,同时左边还有__stack_chk_fail函数随机生成canary被改变后会退出程序,那它如何退出的呢,就是通过执行__stack_chk_fail函数退出程序既然题目给了我们__stack_chk_fail函数的地址,又存在格式化字符串漏洞,那我们就可以通过fmtstr_payload(偏移,{被修改的got表:改之后的地址})
栈上格式化字符串漏洞总结
weixin_66751120的博客
02-04 2529
例如printf(s),这就是个漏洞函数,那么正确形式应该是printf('%s',s),即以字符串形式输出,那么存在漏洞的原因就是就是没有格式化字符,这时候如果我们在漏洞函数上边输入一个格式化字符,比如%p,那么就会泄露指定位置的地址。因为当程序进行printf函数时,第一个参数是格式化字符,来确定下面一个数据的打印形式。下面是一些格式化字符代表的意思。
Windbg命令学习6(k和x)
weixin_30376453的博客
05-14 189
1.k k*命令显示给定线程的调用堆栈,以及其他相关信息 ~0 k表示打印0号线程的调用堆栈,直接用k表示打印当前线程的调用堆栈 0:002> ~0k ChildEBP RetAddr 0007fddc 77d191be ntdll!KiFastSystemCallRet 0007fdfc 010021b0 USER32!NtUserGetMessage+0xc 0...
【pwnable.kr】unlink - unlink4字节写,劫持ecx到堆中获取main_retaddr
think_ycx的专栏
11-23 328
题目信息 直接看源码: 这题思路很清晰,程序模拟了最简单的unlink过程,unlink的本质就是把中间的chunk从前后解链,同时修改前面chunk的fd和后面chunk的bk。如果可以溢出了会被unlink的chunk,32bit下在FD->bk=BK时,拥有一次4bit写的机会,同时需要保证BK->fd可写(BK->fd=FD同理)。 拥有任意地址写的机会...
从wiki 重新打基础之格式化字符串
qq_41071646的博客
07-16 493
在攻防世界刷题 发现知识点不够用 还是基础打得不够牢固 看出来哪里有漏洞 但是不会利用 想在wiki上打一下基础 先在 格式化字符串开始 第一题 pwn200 GoodLuck 这个题目还是比较一目了然的 看一下ida 然后 发现一个 格式化漏洞 而且 读取的 文件字符在栈里面 可以通过 偏移直接读出来 文件字符内容 然后我们去看一下 红色 是我...
exported symbol 被设置为空时怎么通过__builtin_return_address获得objective-c的方法名
06-09
void *retAddr = __builtin_return_address(0); ``` 2. 调用 Objective-C 的运行时 API `sel_registerName` 函数将返回地址转换为对应的方法选择器,例如: ```c SEL sel = (SEL)retAddr; ``` 3. 调用 Objective-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值