[CTF]PWN--手搓格式化字符串漏洞

已于 2024-02-19 23:02:28 修改
阅读量1.5k 收藏 37
点赞数 29
文章标签: 安全 网络安全
于 2024-02-19 22:58:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2301_79880752/article/details/136178764
版权
本文详细描述了一种在64位程序中利用格式化字符串漏洞的手动构造payload方法,涉及动态编译、栈溢出预防和hn指令的应用,以修改返回地址实现攻击。作者展示了如何一步步构造payload并利用漏洞控制程序流程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

温馨提示:本期全是干货!!!

保护全开,64位,动态编译,IDA查看:

程序的大体是一个循环,循环的内容是让我们读入一个数,判断是不是1,如果是1就让我们读入一次,无法栈溢出,但是存在格式化字符串漏洞,随后进行下一次循环,直到我们读入的数不是1,就结束循环

既然存在格式化字符串漏洞可以利用,那第一步肯定得先泄露出libc基址与一个栈地址(格式化字符串漏洞常规思路)

随后将某个函数的返回地址修改为one_gadget地址,libc基址用于one_gadget地址,栈地址用于求出返回地址

有些看过我之前写的格式化字符串漏洞修改__stack_chk_fail函数的got地址的朋友就想到了用fmtstr_payload(偏移,{被修改的got表:改之后的地址})来修改,没看过的可以去了解了解

https://blog.youkuaiyun.com/2301_79880752/article/details/135916347?spm=1001.2014.3001.5501

但是我要告诉你本题不可以哦,这也是为什么我们标题为手搓格式化字符串漏洞

由于本题的读入字节仅仅是0x30个,而我们用工具生成的payload远超0x30,因此我们需要手搓出修改返回地址的payload

其实也不难,不过这里我们要用到%$hn

学过格式化字符串漏洞的朋友应该都知道%$n的作用吧,那这个%$hn又是跟%$n又有

最低0.47元/天 解锁文章
Pers1st.
关注
CTF| 格式化字符串漏洞
Sakura给爷pwn全场
10-07 746
CTF| 格式化字符串漏洞: https://www.freebuf.com/column/207425.html
CTF-ECHO-200格式化字符串漏洞+shellcode
BadRer的博客
06-01 2358
很开心有成功做了一道格式化字符串,这题我也不清楚是哪次比赛上的,漏洞还是十分的明显,格式化加个shellcode直接搞定。就是这算的比较麻烦一点。 那么直接进入正题咯! 开干!! 首先拿checksec检查一遍(个人习惯哈) 可以看到,开了栈保护,但是NX disabled,说明堆栈可执行,直接上shellcode,也没有PIE。 先试试水。 应该有格式化漏洞。 IDA反汇
CTF-PWM-格式化字符串
llovewuzhengzi的博客
10-15 207
或。
ctf pwn 题目
m0_64195960的博客
04-11 1703
2022年3月21栈迁移 这道题是栈迁移 1)先checksec一下 嗯哼哼,貌似影响不大 2)丢在ida里瞅 1、main() 没啥用再看看其它的 2、vul() 第一个read读进去的东西,可以被printf呸!吐出来! 芜湖!看到了第二个read可以栈溢出,但是可以溢出的空间太少! ————————那么就要来到了,刚学习的栈迁移—————————— 3、hack() 芜湖看到system函数了,那我们就可以获得system的返回地址从而调用.
[CTF]PWN--非栈上格式化字符串漏洞
2301_79880752的博客
02-26 2925
一般来说,栈上的格式化字符串漏洞利用步骤是先泄露地址,包括ELF程序地址和libc地址;然后将需要改写的GOT表地址直接传到栈上,同时利用%c%n的方法改写入地址,最后就是劫持流程。但是对于BSS段或是堆上格式化字符串,也就是非栈上格式化字符串漏洞,无法直接将想要改写的地址指针放置在栈上,也就没办法实现任意地址写。本文主要为大家介绍BSS段上的格式化字符串漏洞的解法。
pwn学习笔记(5)--格式化字符串漏洞(未完全完成)
qq_66013948的博客
03-05 1566
格式化字符串函数可以接收可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数格式化字符串函数格式化字符串[后续参数]
BUUCTF-PWN刷题记录-18(格式化字符串漏洞
weixin_44145820的博客
05-08 1957
目录xman_2019_format(字符串位于堆上)hitcontraining_playfmt(字符串位于bss)wustctf2020_babyfmt xman_2019_format(字符串位于堆上) 一道格式化字符串题目,但是只有一次输入机会,但是有多次利用机会,每次利用使用‘|’隔开 我们先看一下栈的情况 经过多次调试,可以发现返回地址最低一个16进制位一定为0xC,我们只需要爆破倒数第二个16进制位就能得到指向返回地址的栈上地址 Exp: from pwn import * #r =
pwn格式化字符串漏洞小结
PLpa的博客
11-30 2694
格式化字符串漏洞 0x00.前言 在pwn中,格式化字符串漏洞是一个非常基础的漏洞,他通常穿插在各种漏洞之中。比如,当程序开了PIE保护时,在栈溢出之前,我们先可以运用格式化字符串漏洞获取栈中的信息;通过格式化字符串漏洞的任意地址写,我们可以把栈帧劫持到堆地址上;我们甚至可以直接通过任意地址写,劫持got表,实现getshell…… 总而言之,格式化字符串漏洞虽然在目前市面上的软件中比较难以看到,...
[PWN]——格式化字符串漏洞(包含几种解题方法)
ysy___ysy的博客
01-19 4758
如果要自己采用"%x$n"的方式动构造payload容易出错,所以使用pwntools中的FmtStr格式化字符串类来解决格式化字符串漏洞比较方便做题。如果有什么错误的地方请师傅们告诉我一下。本文制作不易,盗版必究。
CTF中的pwn基础题
2301_81031055的博客
01-23 1092
mprotect 函数用于设置一块内存的保护权限(将从 start 开始、长度为 len 的内存的保护属性修改为 prot 指定的值)elf跟libc是两个单独的文件,elf里的函数想要执行,就得先进入plt表,然后在进入got,got表里的是函数的真实地址。通过观察IDA中左边的函数,发现没有后门函数,也没有system函数考虑使用ret2libc解题。通过调试发现,main函数与后门函数的地址相差一个字节,所以将09打包成一个字节。发现有栈溢出且溢出了一个字节,shift+f12查看发现有后门函数。
pwn学习】格式化字符漏洞
Morphy_Amo的博客
12-29 6641
文章目录什么是格式化字符漏洞格式化字符串函数格式化字符串利用泄露内存例题 利用格式化字符串漏洞获取libc基址覆盖内存栈地址覆盖小数覆盖大数覆盖轮子 什么是格式化字符漏洞 格式化字符串函数可以接受可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数。通俗来说,格式化字符串函数就是将计算机内存中表示的数据转化为我们人类可读的字符串格式。几乎所有的 C/C++ 程序都会利用格式化字符串函数来输出信息,调试程序,或者处理字符串。一般来说,格式化字符串在利用的时候主要分为三个部分。 格式化字符串
CTF 一次PWN解题的小技巧
yy1715713348的博客
07-22 639
行文至此,本次测试也就结束了!文章略长,简单做个总结:在本文中,我们通过使用CTF示例讨论了漏洞利用开发的过程,我们了解了程序如何从argv和argc接收输入的参数。最后,了解了由于较小的随机范围,32位系统中的ASLR为何容易受到攻击,以及如何利用此漏洞进行攻击。我们可以使用 "scp "命令轻松地将我们的脚本上传到服务器的tmp目录下,就像这样。[外链图片转存中…(img-lYig6HAY-1690015362559)]终于拿到了我们的flag!行文至此,本次测试也就结束了!
栈上的格式化字符串漏洞【超详细,七种利用】(pwn入门)
2402_83422357的博客
05-24 2546
格式化字符串漏洞由于目前编译器的默认禁止敏感格式控制符,而且容易通过代码审计中发现,所以此类漏洞现在已经极少出现了。所以格式化字符串漏洞在实际利用过程中现在几乎挖掘不到了,但是在CTFpwn题中,由于其可以结合其他溢出漏洞利用,还是经常会遇到格式化字符串漏洞的。格式化字符串漏洞最早被Tymm Twillman在1999年发现,当时并未引起重视。
CTF中的PWN——无安全防护(栈溢出)
壊壊的诱惑你的博客
09-20 2773
前言 今天心情不错,人最大的敌人真的就是自己!!! 好久没学PWN和逆向了,今天写一篇关于CTFPWN的文章回忆一下。本文主要讲的是利用栈溢出的基础PWN,分别有使用shellcode类型、满足函数条件类型及使用软件自带system函数类型,其中自带system函数的类型软件因为传参方式不同进而分为32bit与64bit的软件。 满足函数条件类型 很low的命名...
ctf题目系列】ctfwiki pwn类型
weixin_42072280的博客
08-31 1682
我之所以能够执行,是因为我pwndbg是在kali的虚拟机中执行的,exp是在我ubuntu的虚拟机执行的,所以可以正常执行;如果是正常调用 system 函数,我们调用的时候会有一个对应的返回地址,这里以’4位垃圾数据’ 作为虚假的地址,其后参数对应的参数内容。看到sh的地址为:0x0x08048736,到ida中分析查看,找到了这个sh指的是no_shell-QQ中的sh,所以是不能利用的。可以看到有很多个libc版本,可以1个1个的试(因为程序为32位的,所以可以选择性的把64位的去掉)
pwn学习之格式化字符串CTF绝大多数的可能利用
YJ_12340的博客
02-20 1078
格式化字符串漏洞是一种常见的安全漏洞类型。它利用了程序中对格式化字符串的处理不当,导致可以读取和修改内存中的任意数据。格式化字符串漏洞通常发生在使用 C 或类似语言编写的程序中,其中 、、 等函数用于将数据格式化字符串并进行输出。当这些函数的格式字符串参数(比如 、等)由用户提供时,如果未正确地对用户提供的输入进行验证和过滤,就可能存在格式化字符串漏洞。攻击者可以通过构造特定的格式化字符串,利用漏洞读取和修改程序内存中的敏感数据。一些可能的攻击方式包括:1. 读取内存:通过在格式字符串中使用 或 占位
CTF PWN-攻防世界Overflow整数溢出漏洞
道阻且长,行则将至
07-29 2362
本文学习了缓冲区溢出漏洞常见的一种场景:整数溢出。一旦不认真考虑整数变量的范围,此类漏洞缺陷很容易在程序员的编码过程中发生,这也是安全工作人员需要注意审计的地方。
pwn 格式化字符串
最新发布
01-12
### PWN格式化字符串漏洞利用 #### 背景与原理 格式化字符串漏洞PWN题常见考点之一,主要源于程序使用了用户可控的格式化字符串作为参数传递给`printf`、`sprintf`、`fprintf`等C库中的打印函数[^1]。这种...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值