格式字符串漏洞之任意地址覆盖大数字

利用格式化字符串漏洞覆盖大数字的技巧与实战
最新推荐文章于 2024-07-24 15:11:22 发布
原创 最新推荐文章于 2024-07-24 15:11:22 发布 · 3.1k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #网络安全 #安全漏洞

本文介绍了如何利用格式化字符串漏洞高效地覆盖内存中的大数字,通过实例展示了在攻防世界高手区的题目中,如何避免长时间等待或报错,巧妙构造payload。文中提供了一个通用的模板,适用于x86和x64平台,并给出了完整的exploit代码,演示了如何使用pwntools库的fmtstr_payload工具简化利用过程。

格式化字符串漏洞覆盖大数字时,如果选择一次性输出大数字个字节来进行覆盖,会很久很久,或者直接报错中断,所以来搞个攻防世界高手区的题目来总结一下

pwn高手区,实时数据监测这道题,就是格式化字符串漏洞覆盖大数字

请添加图片描述
请添加图片描述

题目运行时会直接告诉你key的地址,我们只需要利用imagemagic中的printf利用格式化字符串漏洞来覆盖就行了,但就像刚才说的,直接覆盖时间太久了而且会报错,所以可以想想别的办法

如果我们想覆盖key为0x02223322,那么根据小端存储,在内存中就是\x22 \x33 \x22 \x02,高地址放高位,低地址放低位

在格式化字符串中,%hhn会向某个地址写入单字节,%hn 会向某个地址写入双字节,单字节的用的比较多

在这道题中,要覆盖的地址为0x0804a048,要覆盖的数据为0x02223322,相当于

0x0804a048 \x22
0x0804a049 \x33
0x0804a04a \x22
0x0804a04b \x02

字符串偏移用%p计算出来为12

请添加图片描述

所以payload构造如下

payload = p32(0x0804a048)+p32(0x0804a049)+p32(0x0804a04a)+p32(0x0804a04b)+b'a'*() + b'%12$n'+b'a'*() + b'%13$n' + b'a'*()+b'%14$n' + b'a'*() + b'%15$n'

很麻烦,但是wiki中给出了一个模板,无论在x86还是x64下都能使用

模板如下

#prev表示前面已输出的字节
#word表示应该输出的字节
#index表示偏移量
def fmt(prev, word, index):
    if prev < word:
        result
最低0.47元/天 解锁文章
gxhhh191
关注
格式字符串漏洞覆盖大数
qq_60209620的博客
04-08 1302
和这篇文章我主要是想说,利用格式字符串漏洞任意地址写,并且是将printf_got覆盖为system之类的利用手法。覆盖任意地址为一个很数字,这时我们只能一次写1字节或者2字节,因为程序的缓冲区可能没有4字节(也就是0xFFFFFFFF)那么,容易爆;这里笔者还是建议一次覆盖一字节,这样更保险。有的师傅可能会迷糊,那如果我的第一个字节为0x22,第二个字节为0x11,在已经写了0x22的前提之下,我改怎么让第二字节覆盖为0x11呢?初次接触我也有这样的疑惑,这也就是我写这篇文章的原因。
格式字符串漏洞
2301_79215333的博客
03-19 1749
格式字符串函数是根据格式字符串来进行解析的。对于这样的例子,在进入 printf 函数的之前 (即还没有调用 printf),栈上的布局由高地址到低地址依次如下在进入 printf 之后,函数首先获取第一个参数,一个一个读取其字符会遇到两种情况如果没有字符,报错如果下一个字符是 %, 输出 %否则根据相应的字符,获取相应的参数,对其进行解析并输出那么假设,此时我们在编写程序时候,写成了下面的样子此时我们可以发现我们并没有提供参数,那么程序会如何运行呢?
32格式字符串漏洞实现任意地址内存覆盖
z2876563的博客
08-11 1314
32格式字符串漏洞实现任意地址内存覆盖 原理 int i; printf("AAAA%n",&i) 此时i=4 漏洞利用例子 比如想将2写入0xffffcd28。则构造payload"AA%15nA"+p32(0xffffcd28),开头AA即可将=地址0xffffcd28内容赋值为2,nA"+p32(0xffffcd28),开头AA即可将=地址0xffffcd28内容赋值为2,%15nA"+p32(0xffffcd28),开头AA即可将=地址0xffffcd28内容赋值为2,n5个字节,为了
pwn刷题num41---格式字符串漏洞任意地址修改
tbsqigongzi的博客
05-02 683
BUUCTF-PWN-jarvisoj_fm 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32程序,小端序 开启部分RELRO-----got表可写 开启canary保护-----栈溢出需要绕过canary 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida看伪代码 简单的代码,可知只要x=4就可获得shell 思路 用read函数输入一个字符串,之后printf格式字符串漏洞实现任意地址修改,将x的值改为4 先找一下输入
Linux下的格式字符串漏洞利用姿势
weixin_30877181的博客
04-25 158
linux最早的漏洞防护机制nx-stack刚刚出现后就有人想出了突破方法。那就是只有栈是不可执行,而除了栈以外的其他地方还是可以执行的,只要把返回地址执行别的地方就可以。 一.格式字符串漏洞 格式字符串漏洞在Windows下很难以利用,但是在Linux下的pwn题目中出现的频率是很高的。 格式字符串的“$”操作符,其允许我们从格式字符串中选取一个作为特定的参数。例如, pr...
格式字符串各种泄露覆盖类型 姿势具体讲解
m0_74220442的博客
12-20 1300
栈上格式字符串以下题目的条件:RELRO 保护模式不为 FULL RELRO ,GOT表需要可写FULL RELRO当开启这个之后 got表是无法修改的格式字符串题目: 强网杯(ez_fmt)📎强网先锋 fmt.pdf通过这题还学会了利用 printf函数就是函数本身内部的返回地址,可以通过调试得到通过这道题理清了两个逻辑:这里我们是覆盖让地址的后四为0x1203 这里传的是0x1203也就是4594+14+3+2 这里的4594就是%4594c 14指的就是%39$p泄露的地址0x7fffffff
【Web狗自虐系列2】Pwn入门之格式字符串漏洞
最新发布
就这样吧
07-24 1206
格式字符串(Fromat String):在编码过程中,允许编码人员通过特殊的占符,将相关对应的信息整合或提取的规则字符串格式字符串包括格式化输入和格式化输出 以printf()为例,第一个参数就是格式字符串:“字符串 %s, 整数 %d, 浮点数 %f”,然后printf函数会根据这个格式字符串来解析对应的其他参数%d /// 十进制-输出十进制整数%s /// 字符串-从内存中读取字符串%lx /// 十六进制-输出十六进制数。
pwn学习笔记(5)--格式字符串漏洞(未完全完成)
qq_66013948的博客
03-05 1774
格式字符串函数可以接收可变数量的参数,并将第一个参数作为格式字符串,根据其来解析之后的参数格式字符串函数格式字符串[后续参数]
PHP提取字符串中的图片地址[正则表达式]
10-28
在处理网页或者文本数据时,我们常常会遇到需要从字符串中提取特定信息的场景,例如提取字符串中的图片地址。PHP是一种广泛使用的服务器端脚本语言,它提供了强字符串处理功能,其中正则表达式是提取字符串中...
格式字符串漏洞大数溢出(攻防世界实时数据检测write_up)
qq_35066257的博客
04-14 759
大数溢出: 就是当你发现了格式字符串漏洞时,想要向目标地址 写入较的数,这样使用"%num$n"就没办法达成目标,这样就需要另外两个格式化字符。 下面以XCTF的实时数据检测为例子: 第一步用checksec查看保护,和数: 第二步用ida查看漏洞: 发现存在格式字符串漏洞,并且当key的值为“35795746”时渗透成功 查看key地址,由于我们需要设置key的值为3579574...
pwn刷题num11-----覆盖栈上数据修改程序执行流程
tbsqigongzi的博客
04-22 709
攻防世界pwn进阶区 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64,小端序 开启全部RELRO---got表不可写 未开启canary保护---存在栈溢出 开启NX保护----堆栈不可执行 开启PIE----内存地址随机化 动态链接 ida一下 查看主函数 memset(buf, 0, 0x30uLL);意思是建立0x30小的buf区,并用0填充 *(_QWORD *)seed = time(0LL);使每次程序运行产生的随机数种子都不同 查看sub_A2
buu_64fmPWN——axb_2019_fmt6464格式字符串改got表)不使用fmstr工具包
ngztx的博客
03-22 952
如果这样写,前面的地址数据经p64()打包后占的是8个字节,我们send 的地址和我们构造的格式字符串中间还有好多个 ‘00’ ,而在字符串中 ‘00’ 就代表了结束,所以在printf到‘00’时,就被认为字符串已经结束了,自然不会继续往后面printf了,也即是说我们的字符串都被’00’给截断了。到这里为止,应该对%k$n有一定的了解了,还是那个原则,%k$n前面有多少个字节,那么就会向第k个参数地址中写多少。只有后面3字节不同,截取倒数第三字节和后两字节进行修改。难点3:分别计算高地址和低地址。
程序员面试宝典-字符串拷贝内存覆盖问题
那远远的云端
02-07 571
程序员面试宝典-字符串拷贝内存覆盖问题 字符串拷贝内存覆盖问题 题目 题目:下面的程序会出现何种问题? #include #include int main(void) { char s[] = "l23456789"; char d[] = "123"; strcpy(d, s); printf("%s,\n%s",d,s);
字符数据与整形数据的转换
lindy024的专栏
07-27 3481
字符数据和整形数据在一定条件下可以相互转换。
64格式字符串漏洞利用——axb_2019_fmt64
weixin_46521144的博客
03-23 3488
题目可在buuoj上找到,不知道为啥现在github怎么也上不去了,传不了题目 学了好多遍fmtstr了,感觉ctf这种学习就是。。。不学就会忘,不能停止做题目。。。 64fmtstr和32不同之处在于 1.传入地址可能存在0字符截断(32由于字符数量少,可能没有这个问题) 2.修改地址可能产生%xc中x过导致网络异常 就本题而言,会出现这两种情况 首先使用IDA容易看出,这里有格式字符串漏洞64 使用一般方法确定偏移量 容易看出这是第八个参数 之后采用一般的got-hijack方法,泄露pu
Pwn 学习 fmt_str_level_1_x64 格式字符串
MrTreebook的博客
09-10 565
第四个参数表示写入方式,是按字节(byte)、按双字节(short)还是按四字节(int),对应着hhn、hn和n,默认值是byte,即按hn写。fmtstr payload函数返回的就是payload。pwntools工具: fmtstr_payload(offset, writes, numbwritten=0, write_size=‘byte’)第二个参数表示需要利用&n写入的数据, 采用字典形式,格式目标地址:准备修改的值}第三个参数表示已经输出的字符个数, 这里没有, 为0, 采用默认值即可;
java 正则替换非数字和字母_java - 用空字符串替换所有非字母数字字符
weixin_28419039的博客
02-13 3804
java - 用空字符串替换所有非字母数字字符我尝试使用这个但没有工作 -return value.replaceAll("/[^A-Za-z0-9 ]/", "");12个解决方案209 votes使用[^A-Za-z0-9]。注意:删除空格,因为通常不会将其视为字母数字。Mirek Pluta answered 2019-04-05T01:20:25Z113 votes尝试return va...
关于字符串覆盖问题的解答。
oprell的专栏
11-24 818
为什么我的在vc++中能运行正确,为什么一提交就错了呢? 哪神来看看指点一下下啊 代码如下: #include using namespace std; int minLength(const char *s){ //由于字符串只由字符a,b,c组成, //将其每三个分为一组,每次循环只代替一次 //少于三个的特殊处理 int length=0;//s指向数组
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值