2019.11.3 unctf babyfmt (格式化字符串任意地址的读和写)

最新推荐文章于 2024-07-11 17:12:49 发布
原创 最新推荐文章于 2024-07-11 17:12:49 发布 · 1.8k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了如何利用格式化字符串漏洞进行任意地址的读写操作。通过泄露数组首地址,结合栈地址变化计算相对偏移,实现bss段shellcode的写入。同时,讨论了另一种方法,涉及泄露已执行的got表,确定libc基址,修改got表以调用`system`函数执行`/bin/sh`。

i春秋的一篇关于格式化字符串文章把任意地址的读和写讲的很清晰:

https://bbs.ichunqiu.com/thread-43624-1-1.html

在这里插入图片描述
在这里插入图片描述
方法一:先输入一个 %p 泄露出数组的首地址,再retn处下个断点,用返回地址减去数组的首地址,计算出他们之间的相对偏移。因为栈的地址每次都是变化的,所以我们每次都要泄露栈的地址,然后计算出返回地址。
重要的步骤就是利用fmtstr_payload0往bss段写shellcode,然后将返回地址改为bss段的shellcode的处。
在这里插入图片描述

方法二:这里有个while循环,我们直接泄露一个已经执行的got表,利用LibcSearcher找到对应的libc版本,算出基址,紧接着算出system的真实地址,利用fmtstr_payload 修改一个已经执行的函数的got表为system,并且输入‘/bin/sh’在这里插入图片描述

最低0.47元/天 解锁文章
格式化字符串任意地址入、函数指针执行shellcode——攻防世界string复现及知识点简述
独沐晨霖
08-24 1320
文章目录原题复现——攻防世界string漏洞分析攻击思路exp要注意的小细节 原题复现——攻防世界string 漏洞分析 题目去除了符号表,简单分析即可还原函数功能,用ida改名即可 先进行基础检查,是64位程序,未开启PIE main函数中会给出v3[0]v3[1]的地址 游戏开始需要输入角色名称,无利用点 go_east函数,没有可以利用的地方,必须输east才能继续游戏 许愿函数,入用户输入地址以及format,可以结合main函数给我们的地址进行任意地址利用 .
格式化字符串漏洞:任意
深度技术安全
02-05 561
linux pwn: 格式化字符串漏洞任意
pwn刷题num26-----格式化字符串漏洞实现任意地址修改
tbsqigongzi的博客
04-27 574
BUUCTF-PWN-[第五空间2019 决赛]PWN5 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可 开启canary保护-----栈溢出需绕过canary 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 程序运行后首先输入一个name 然后输入密码(passwd) 最后fail ida看一下伪代码 观察主函数,发现格式化字符串漏洞 printf(&buf);
利用格式化字符串漏洞实现任意地址
个人笔记
06-01 6060
理解格式化字符串漏洞关键还是在于理解栈空间布局,任意地址初学者接触到可能较为抽象,但是结合栈空间布局以及格式化字符串的原理,详细我们就能对格式化字符串有个更加清晰的认知。如果能够复现上述漏洞案例,那么恭喜你,已经完成了 pwn 格式化字符串漏洞这一旅程。
格式化字符串-32位
杀生丸?不,其实我要的是桔梗
04-20 1712
格式化字符串-32位 知识前置 1.原理 例如常用的输出函数printf。 对于这样的例子,在进入printf函数的之前(即还没有调用printf),栈上的布局由高地址到低地址依次如下 some value 3.14 123456 addr of "red" addr of format string: Color %s... 在调用 call printf后,函数首先...
格式化字符串漏洞
as1r的博客
02-08 3721
菜鸟记录格式化字符串的学习总结,方便复习。 格式化字符串漏洞 学习格式化字符串之前,先得了解什么是格式化字符串格式化字符串 printf ("The number is 10。") printf("格式化字符串1,格式化字符串2",参数1,参数2...) 格式化运行我们部分控制显示文本的样式,我们可以通过代替特殊的格式字符来显示值或者数据,比如,要显示整形的变量"data",就可以使用下面的格式化字符: printf("The number is %d",data) 打印的时候,%d就被data的值
格式字符串漏洞之任意地址覆盖大数字
Gtooler的博客
10-13 3204
格式化字符串漏洞覆盖大数字时,如果选择一次性输出大数字个字节来进行覆盖,会很久很久,或者直接报错中断,所以来搞个攻防世界高手区的题目来总结一下 pwn高手区,实时数据监测这道题,就是格式化字符串漏洞覆盖大数字 题目运行时会直接告诉你key的地址,我们只需要利用imagemagic中的printf利用格式化字符串漏洞来覆盖就行了,但就像刚才说的,直接覆盖时间太久了而且会报错,所以可以想想别的办法 如果我们想覆盖key为0x02223322,那么根据小端存储,在内存中就是\x22 \x33 \x22 \x0
【pwn学习】格式化字符漏洞
Morphy_Amo的博客
12-29 6778
文章目录什么是格式化字符漏洞格式化字符串函数格式化字符串利用泄露内存例题 利用格式化字符串漏洞获取libc基址覆盖内存栈地址覆盖小数覆盖大数覆盖轮子 什么是格式化字符漏洞 格式化字符串函数可以接受可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数。通俗来说,格式化字符串函数就是将计算机内存中表示的数据转化为我们人类可字符串格式。几乎所有的 C/C++ 程序都会利用格式化字符串函数来输出信息,调试程序,或者处理字符串。一般来说,格式化字符串在利用的时候主要分为三个部分。 格式化字符串
Educoder-学习-Java字符串之String类格式化字符串之日期时间格式化输出(Date类运用)
qq_39123467的博客
11-30 2544
cao,好好地一个date类,我非要用String来,直接浪费一个多小时时间,substring()用的真熟练啊!!但是还是没过,原因在于测试当年天数!! 掌握知识点 ICU病人源码(未通关) import java.util.Date; import java.util.Scanner; public class StrTest { public static void main(String[] args) { Scanner sc = new Scanner(System.i
[ 信息系统安全实验1 ] 软件安全:格式化字符串漏洞实验
Formy7的博客
05-27 3609
华科信息系统安全实验1 格式化字符串漏洞实验
pwn入门--格式化字符串
最新发布
yjh_fnu_ltn的博客
07-11 1233
gdb中格式化字符串在栈上的位置的,就是偏移。
格式化字符串总结
Nothing
11-17 522
0x00 原理 通过控制格式化字符串,可以进行任意地址任意地址。 0x01 任意地址 先测试需要泄露的地址在栈上的位置,假设位置是??。 任意地址可将格式化字符串控制为:p64(泄露地址)+"%??$s" 0x02 任意地址 先测试需要修改的地址在栈上的位置,假设位置是??。 由于远程一次能传的字符有限,所以一般使用hhn(覆盖一个字节),hn(覆盖两个字节)。假设将某word覆盖为2...
格式化字符串在bss段上的处理
playmaker的博客
06-19 2894
格式化字符串在bss段上的内容处理 先查看程序保护,保护全开 拿到程序一眼就看到了格式化字符串的漏洞 int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax char buf; // [esp+0h] [ebp-10h] unsigned int v6; // [esp+4h]...
ISCC之pwn1格式化字符串漏洞详解!
BadRer的博客
05-29 3593
作为小白的我,自从入了ctf的坑就再也没爬起来过,从无到有实在是很辛苦。仅以此片纪念我的青春。   直接进入正题。这是个很明显的32位的格式化字符串漏洞。 上手就先leak出libc地址,求偏移得到system地址,(我也忘了有没有给lib库,反正我是在本地调试,拿自己的lib库。Ps:在本地可以通过./libc.so.6或者ldd --version 查看libc的版本号,作为新手还是
[ctf.show] baby杯 左左右右
weixin_52640415的博客
06-16 453
根据p^q爆破p,q
wustctf2020_babyfmt
Pi_ka_chu_的博客
04-30 426
一个很奇妙的fmt题目,用尽可能少的过程拿到了flag。
一篇文章搞懂格式化字符串漏洞
qq_42988973的博客
05-20 4367
文章目录0x00 序言0x01 格式化字符串0x02 printf()函数0x03 格式化字符串漏洞利用任意内存取任意内存修改 0x00 序言 刚学pwn,做了两道攻防世界的pwn新手训练,真的是啥也不会,第一道题是连上就有flag我都不知道咋连,就菜到这种地步。一个格式化字符串漏洞看了一天。看了很多博客,最后终于弄明白了,感觉很多博客都对新手不是那么友好,刚学完,总结梳理一下,便于复习。也希望自己的能帮到其他像我一样刚开始学的小白更快更清楚的明白格式化字符串漏洞。 0x01 格式化字符串 格式化字符串
Linux 二进制漏洞挖掘入门系列之(四)格式化字符串漏洞
个人笔记
01-12 872
目录0x10 简介0x20 任意地址0x30 任意地址 0x10 简介 格式化字符串主要是指printf、fprintf、sprintf等print函数。相信大多数人学习C语言的时候,第一次就用到了该函数,输出"Hello,world!" printf("Hello %s", "world!"); 这里的 %s 就是一个格式化参数,期望赋予一个存储地址,并打印此地址中存放的字符串。常用的格式...
fmt在bss段(neepusec_easy_format)
huzai9527的博客
05-24 531
fmt在bss段(neepusec_easy_format) 1.gdb操作 vmapp stack retaddr 2.思路 先泄漏能够泄漏的地址包括:当前站地址、libc地址 然后通过下面的指令进行地址 #这里是只要覆盖偏移为12的地址值的后两个字节 debug() offset0 = ret&0xffff payload = '%'+str(offset0)+'c%12$hnxxxx\x00' p.sendline(payload) p.recvuntil('x
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值