格式化字符串利器fmtstr_payload | 攻防世界 pwn进阶区 实时数据监测

最新推荐文章于 2024-07-11 17:12:49 发布
最新推荐文章于 2024-07-11 17:12:49 发布
阅读量6.5k 收藏 21
点赞数 4
分类专栏: # pwn 文章标签: 字符串 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43092232/article/details/105647076
版权
本文介绍了在攻防世界pwn进阶区的一道题目,涉及实时数据监测的医药工厂数据库系统。通过fmtstr_payload工具,利用格式化字符串漏洞构造payload,以获取系统访问权限。在检查程序保护后,发现程序没有防护,从而可以利用fmtstr_payload的offset和地址值来修改关键数据。
摘要由CSDN通过智能技术生成

文章目录

0x00.看题

健身回来,继续刷第二题,貌似和上一题一个风格啊。连名字都差不多,偏工业实际。不过这一题学到了一个新东西,fmtstr_payload.

题目描述:小A在对某家医药工厂进行扫描的时候,发现了一个大型实时数据库系统。小A意识到实时数据库系统会采集并存储与工业流程相关的上千节点的数据,只要登录进去,就能拿到有价值的数据。小A在尝试登陆实时数据库系统的过程中,一直找不到修改登录系统key的方法,虽然她现在收集到了能够登陆进系统的key的值,但是只能想别的办法来登陆。

根据题目描述,能知道:现在有了key值,修改key值就能登录系统。

0x01.检查保护

    Arch:     i386-32-little
    RELRO:    Partial RELRO			//可以修改GOT表
    Stack:    No canary found			//可以执行栈溢出
    NX:       NX disabled			//堆栈可执行
    PIE:      No PIE (0x8048000)			//地址随机化未开启
    RWX:      Has RWX segments			//有可读可写可执行的段

这一查,程序不是全裸嘛…

0x02.利用fmtstr_payload构造payload

最低0.47元/天 解锁文章
_n19hT
关注
专栏目录
CTF pwn题之格式化字符串漏洞详解
lifanxin的博客
03-22 1万+
FmtStr格式化字符串类概念求偏移和任意地址写求偏移任意地址写一个例子程序分析漏洞利用wp总结 概念 在遇到pwn题中格式化字符串漏洞时,我们一般会分两大步实现漏洞利用:首先构造一个payload来寻找输入字符串到栈顶指针的偏移,然后利用偏移实现对目标地址的改写。下面我将介绍pwntools中的FmtStr类如何实现偏移的求解以及对目标地址的改写。 求偏移和任意地址写 求偏移 在格式化字符串漏洞利用中,我们一般都是这样手动构造payload进行偏移求解的,如下图所示,开头输入方便定位的字符串aaaa,然后
格式化字符串漏洞入门 fmtstr1,fmtstr2
gftydc的博客
05-20 323
fgets将输入的字符串写入format中,可以输入AAAA,然后看他在哪里出现,由此判断format相对于参数指针的偏移:(这里我是一个一个位置试的,因为只能读取19个字节,一次只能打印三个位置,但这个方法有点笨拙……写入地址的时候要注意,要先从最小的(比如这里是0x42)开始写,因为输出字符个数越来越大,所以只能越写越大,而且要注意是小端存储,输入顺序是反的。这里使用到了%$14p,是指打印偏移为14的地方的内容。问了下同学,他说格式化字符串payload不要自己写,有现成的函数,就是:……
axb_2019_fmt32(fmtstr_payload(offset, writes, numbwritten=0, write_size=‘byte’))
weixin_61283545的博客
06-15 197
fmtstr_payload(offset, writes, numbwritten=0, write_size=‘byte’) 第一个参数表示格式化字符串的偏移 第二个参数表示需要利用%n写入的数据,采用字典形式,我们要将printf的GOT数据改为system函数地址,就写成{printfGOT:systemAddress}; 第三个参数表示已经输出的字符个数 第四个参数表示写入方式,是按字节(byte)、按双字节(short)还是按四字节(int),对应着hhn、hn和n,默认值是byte,即按hhn
pwn入门--格式化字符串
最新发布
yjh_fnu_ltn的博客
07-11 570
gdb中格式化字符串在栈上的位置的,就是偏移。
pwntools中fmtstr的使用
fa1c4的blog
02-01 3984
pwntools提供了pwnlib.fmtstr的格式字符串漏洞利用的工具, 熟悉该工具的使用显然是有益的 可以查看源码 该模块中主要定义了一个类FmtStr和一个函数fmtstr_payload class FmtStr(object): def __init__(self, execute_fmt, offset=None, padlen=0, numbwritten=0): self.execute_fmt = execute_fmt self.offset
Pwn 学习 fmt_str_level_1_x86 格式化字符串
MrTreebook的博客
09-07 1158
【代码】Pwn 学习 fmt_str_level_1_x86 格式化字符串
CTF-pwn pwntools用法探索
dzqxwzoe的博客
02-02 1766
相信各位CTF pwners一定对pwntools熟悉得不能再熟悉,做一道题时写下的第一行代码很可能就是。很多pwners对于pwntools的了解可能仅限于远程交互、ELF文件简单分析这些最基础的功能,但pwntools真的只有这些功能吗?你真的会使用pwntools吗?本文从入手,进行pwntools功能的探索。
Pwntools 工具使用
潜心习安全
07-12 6700
简单介绍 pwntools 工具的使用
fmtstr_payload
04-15
fmtstr_payloadpwntools库中的一个工具函数,用于简化构造格式化字符串漏洞的payload。它的语法如下: ```python fmtstr_payload(offset, writes, numbwritten=0, write_size='byte') ``` - offset:表示格式化...
格式化字符串漏洞入门简述(含例子:攻防世界pwn新手题GCfsb)
ins_Digger的博客
10-30 1062
##本文参考的文章有如下的博客(实在太菜,所以花了好长时间去练习,找题,看博客才稍微有一点点明白,其实还是不是特别明白) https://www.freebuf.com/column/207425.html 《黑客攻防技术宝典:系统篇》第四章 格式化字符串漏洞的简单概述 学过 c 语言应该就会知道printf()函数的使用方法,如下图: int main(){ char str[100]; s...
c语言格式化字符漏洞,格式化字符串漏洞题目练习
weixin_30111277的博客
05-22 913
整合一下最近做的格式化字符串题目的练习,把wp给写一下,方便对总结对这个漏洞的利用套路和技巧。inndy_echo保护和arch[*] '/media/psf/mypwn2/buuctf/inndy_echo/echo'Arch: i386-32-littleRELRO: Partial RELROStack: No canary foundNX: NX enabl...
Pwn 学习 fmt_str_level_1_x64 格式化字符串
MrTreebook的博客
09-10 363
第四个参数表示写入方式,是按字节(byte)、按双字节(short)还是按四字节(int),对应着hhn、hn和n,默认值是byte,即按hn写。fmtstr payload函数返回的就是payloadpwntools工具: fmtstr_payload(offset, writes, numbwritten=0, write_size=‘byte’)第二个参数表示需要利用&n写入的数据, 采用字典形式,格式目标地址:准备修改的值}第三个参数表示已经输出的字符个数, 这里没有, 为0, 采用默认值即可;
Pwntools使用介绍
AlexYoung28的博客
10-18 7933
pwntools是一个用python编写的CTF pwn题exploit编写工具,目的是为了帮助 使用者更高效便捷地编写exploit。 目前最新稳定版本为3.12.0(2018年5月 )。文档地址:docs.pwntools.com。 一、环境变量设置 Pwntools的许多设置都是通过全局变量context进行控制的,例如系统、架构、字节序等都可以通过如下的方法更改: >>...
buuctf gyctf_2020_borrowstack(栈迁移)和r2t4,axb_2019_fmt32(格式化字符串和fmtstr_payload工具的使用)
carol2358的博客
05-24 1355
头痛,之前栈学的漏洞好多,只学了相关知识没有做题,真正碰到题目就不会了,真的头痛 gyctf_2020_borrowstack 栈迁移 payload设置 此种攻击方法的关键在于如何同时控制ebp和eip,那么如何同时控制ebp和eip的值的? 1、使用ROPgadget查找leave;ret指令所在的地址 2、覆盖完成bufer后,使用可控制的地址覆盖ebp的值,使用上述leave;ret指令所在地址覆盖ret的值。 程序运行(32位,64位同理): 1、当函数正常返回时,执行leave;re
手动构造格式化字符串payload
2302_79813730的博客
02-21 1054
pay=(b'%'+str(要改成的数).encode()+b'c%13(要改的栈地址的偏移)$hn').ljust(0x28,b'\x00')+p64(stack)#stack是要修改的栈地址。,明显存在格式化字符串漏洞,我们首先想到用格式化字符串漏洞去泄露函数地址利用libc,之后多次利用格式化字符串漏洞去更改地址为one_gadget。一般可修改的返回地址:printf的返回地址,fmt的返回地址,main函数的返回地址(libc_start_main),但当溢出字节不够时,或者p,s被禁用(
ouc 网络安全实验 格式化字符串漏洞
m0_59598029的博客
04-10 623
这个实验很难,前前后后三周左右才啃下来这个硬骨头,期间和同学以及助教讨论学习了很多,通过这门课确实学到了不少有用的东西,只要认真做实验,对漏洞这方面的理解会很深的。
[PWN]——格式化字符串漏洞(包含几种解题方法)
ysy___ysy的博客
01-19 2536
如果要自己采用"%x$n"的方式手动构造payload容易出错,所以使用pwntools中的FmtStr格式化字符串类来解决格式化字符串漏洞比较方便做题。如果有什么错误的地方请师傅们告诉我一下。本文制作不易,盗版必究。
Linux pwn入门教程——格式化字符串漏洞
dfdhxb995397的博客
07-18 390
本文作者:Tangerine@SAINTSEC 原文来自:https://bbs.ichunqiu.com/thread-42943-1-1.html 0×00 printf函数中的漏洞printf函数族是一个在C编程中比较常用的函数族。通常来说,我们会使用printf([格式化字符串],参数)的形式来进行调用,例如 然而,有时候为了省事也会写成 事实上,这是一种非常...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值