Pwn 学习 fmt_test_2格式化字符串

最新推荐文章于 2024-05-26 20:38:56 发布

原创

最新推荐文章于 2024-05-26 20:38:56 发布 · 444 阅读

2 ·

CC 4.0 BY-SA版权

文章标签：

#学习 #ctf #pwn #安全

本文详细解析了fmt_test_2程序中的格式化字符串漏洞，通过IDA静态分析和GDB调试，展示了如何利用两次循环泄露堆栈信息并实现代码执行。关键步骤包括利用泄漏的rbp地址找到v1地址，构造payload进行攻击，并给出了实际的exploit和运行结果。

Pwn 学习 fmt_test_2格式化字符串

1.测试源代码
2.运行测试程序
3.IDA静态分析
4.漏洞利用思路
- 第一次循环
- 第二次循环
5.gdb调试
6.exp
7.运行结果

1.测试源代码

#include<stdio.h>
#include<stdlib.h>
#include<unistd.h>

int test1;

int init_func(){
   
   
    setvbuf(stdin, 0, 2, 0);
    setvbuf(stdout, 0,2 ,0);
    setvbuf(stderr, 0, 2, 0);
    return 0;
}

int

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

==Microsoft==

关注关注

0
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

专栏目录

2021-2022-1 20212809 格式化字符串漏洞实验

qq_38975218的博客

12-12

1256

用户需要输入一段数据，数据保存在 user_input 数组中，程序会使用 printf 函数打印数据内容，并且该程序以 root 权限运行。更加可喜的是，这个程序存在一个格式化漏洞。让我们来看看利用这些漏洞可以搞些什么破坏。程序说明：程序内存中存在两个秘密值，我们想要知道这两个值，但发现无法通过读二进制代码的方式来获取它们（实验中为了简单起见，硬编码这些秘密值为 0x44 和 0x55）。尽管我们不知道它们的值，但要得到它们的内存地址倒不是特别困难，因为对大多数系统而言，每次运行程序，这些内存..

Pwn 学习 格式化字符串

MrTreebook的博客

08-19

1859

每一种 pattern 的含义请具体参考维基百科的格式化字符串。以下几个 pattern 中的对应选择需要重点关注。可以看到%10p的作用是直接打印第十个%p位置上的指针内容。通过格式化字符串可以无限泄露栈上的数据。

参与评论您还未登录，请先登录后发表或查看评论

字符串格式化测试

agnsm00804的专栏

03-26

170

private void button1_Click(object sender, EventArgs e) { Console.WriteLine("在宽度为的空间里靠左对齐:{0,-10}", 99); Console.WriteLine("在宽度为的空间里靠右对齐:{0,10}", 99); Conso...

C# 字符串格式化测试小工具-C#StringFormatTester

03-02

以前一直用一个叫做“FormatDesiger”的小工具，来测试字符串格式化的输出，最近在用的时候发现有几个类型没有，如char，byte，guid，今天把FormatDesiger稍微改了一下，增加了这几个类型。

格式化字符串小实验

fan

11-07

1984

在论文里看到格式化字符串攻击的说明，不是很理解，决定实践一下，结合Tim Newsham的Format String Attacks（http://forum.ouah.org/FormatString.PDF）进行实验。这里只测试了一下%x和%n参数，更多种类的格式化字符串攻击请查阅其他资料。至于测试的环境，应当是C编译环境都可以，但是在实验过程中，我发现dev c++默认不对%n进行预期操

格式化字符串

寄北测试学习进阶记录

01-04

681

格式化字符串 在python字符串中如果有%，代表这个字符串是格式化字符串 %d代表格式化的是一个整数 %05d代表输入至少5位长，如果不足5位，左补0 %f代表格式化的是一个浮点数 %.2f 保留小数点后2位 %s代表个事啊的是一个字符串 %%代表就要显示一个%而已下面展示一些内联代码片。 name = "小明" age = 18 # 我的名字叫小明，年龄是18岁 # print("我的名字叫" + name + ",年龄是" + str(age) + "岁") print("我的名字叫%s,年龄

【pwn学习】格式化字符漏洞

Morphy_Amo的博客

12-29

6769

跟着CTF-Wiki学pwn|格式化字符串(1)

Kni9hT's Blog

05-19

2430

文章目录格式化字符串漏洞原理介绍格式化字符串函数介绍格式化字符串函数格式化字符串参数格式化字符串漏洞原理格式化字符串漏洞利用程序崩溃泄露内存泄露栈内存获取栈变量数值获取栈变量对应字符串泄露任意地址内存覆盖内存覆盖栈内存确定覆盖地址确定相对偏移进行覆盖覆盖任意地址内存覆盖小数字覆盖大数字 格式化字符串漏洞原理介绍首先，对格式化字符串漏洞的原理进行简单介绍。 格式化字符串函数介绍 格式化字符串函数可以接受可变数量的参数，并将第一个参数作为格式化字符串，根据其来解析之后的参数。通俗来说，格式化字符串函数就是将计

[2020 GeekChallange] Pwn fmt

Nashi_Ko的博客

11-18

894

[2020 GeekChallange] fmt 0x00 格式化字符串漏洞提示格式化字符串漏洞简单介绍一下原理：在写C语言时，不免经常使用printf函数，这个函数有一个很常见的用法： a = 24; printf("%d岁，是学生"，a); 输出结果很显然是 24岁，是学生但是如果出现这么个情况： a = "%p.%p.%p.%p." printf(a) 它就会输出栈的后4个地址。 a = "%4$p" printf(a) 单独输出第四个地址 a = "%4$s" printf(a)

Pwn·fmt学习笔记

qq_22607673的博客

05-26

1315

pwn的blind fmt

Pwn 学习 fmt_str_level_1_x86 格式化字符串

MrTreebook的博客

09-07

1405

【代码】Pwn 学习 fmt_str_level_1_x86 格式化字符串。

Pwn 学习 fmt_test_2_x86 格式化字符串

MrTreebook的博客

08-21

204

【代码】Pwn 学习 fmt_test_2_x86 格式化字符串。

pwn 网鼎杯 easyFMT

SsMing的博客

09-01

2183

作为一个菜狗子只能等大佬的writeup学习才会做 easyFMT看名字就是到是格式化串洞，然后就是要确定存在格式化串洞的参数是第几个确定为是print的第六个参数大佬计算参数的脚本是： #!/usr/bin/python from pwn import * elf = ELF('./pwn') for i in xrange(1,100): p = proce...

[BUUCTF]PWN——judgement_mna_2016（32位fmt）

mcmuyanga的博客

03-18

595

judgement_mna_2016 例行检查，32位程序，开启了canary和nx 运行一下，看看大概的情况 32位ida载入明显的格式化字符串漏洞，动调看一下输入点的位置，找一下flag在栈上的位置，算一下偏移就能够打印出flag 先找一下输入点参数在栈上的位置可以看到在oxffffcf4c,然后看一下栈上的布局发现在距离我们输入的数据的偏移为28和32处存放着flag，定位偏移到该处即可这题根本不用写exp，但为了水长度，贴一下吧 from pwn import * conte

buu_64位fmPWN——axb_2019_fmt64（64位格式化字符串改got表）不使用fmstr工具包

ngztx的博客

03-22

963

如果这样写，前面的地址数据经p64()打包后占的是8个字节，我们send 的地址和我们构造的格式化字符串中间还有好多个 ‘00’ ，而在字符串中 ‘00’ 就代表了结束，所以在printf到‘00’时，就被认为字符串已经结束了，自然不会继续往后面printf了，也即是说我们的字符串都被’00’给截断了。到这里为止，应该对%k$n有一定的了解了，还是那个原则，%k$n前面有多少个字节，那么就会向第k个参数地址中写多少。只有后面3字节不同，截取倒数第三字节和后两字节进行修改。难点3：分别计算高地址和低地址。

[BUUCTF]PWN——xman_2019_format(堆上的fmt+爆破栈)

mcmuyanga的博客

03-22

785

xman_2019_format 例行检查，32位程序，开启了nx 检索程序里的字符串，发现了后门函数，back_doorr=0x80485AB 这题buf并不存储在栈上，而是在malloc申请的堆上之后buf作为参数，进入到sub_80485C4 由于存在后门函数，可以利用格式化字符串将返回地址改为back_door 这边主要利用了%ac$bn,将长度a的数据写入偏移为b的位置。 格式化字符串漏洞，一般需要先泄露栈地址，然后计算偏移，但是这里没办法这么利用，因为这里的s存放在chunk上，不在

【Pwn】2019安洵杯线上赛 fmt32 && fmt64

Nothing

12-01

1172

出题人好像比较喜欢blind pwn，5道pwn题里有3个，由于时间关系来不及看rop64了（我太菜）。 1.fmt32 只给了ip&port，没有附件猜测是blind pwn，根据题目名字，猜想有格式化字符串漏洞，试了一下发现是一个循环（毕竟是复读机），每次都可以利用格式化字符串漏洞，于是首先想法是先将内存dump下来再分析，如果32位程序没开pie保护，程序首地址为0x8048000。...

攻防世界PWN之easy_fmt题解

seaaseesa的博客

02-05

2954

Easyfmt 首先，检查一下程序的保护机制然后，我们用IDA分析一下存在一个明显的格式化字符串漏洞，但是只能用一次，后面exit(0)会结束程序 CheckIn需要爆破是一个随机数，且只有一位，我们直接输入2，成功率1/10 为了不让程序退出，多次利用printf，我们就得利用第一次的printf把exit的got表内容修改为0x400982，这样，我们就能一直处于...

pwn 格式化字符串