Pwn 学习 fmt_str_level_1_x86 格式化字符串

原创

已于 2022-09-07 23:00:32 修改

· 1.3k 阅读

4 ·

版权

文章标签：

#学习 #网络 #安全

于 2022-09-07 22:59:28 首次发布

本文详细介绍了fmt_str_level_1_x86程序中的格式化字符串漏洞利用过程，包括checksec分析、源码解读、漏洞剖析、gdb动态调试，以及如何通过payload构造执行shell。涉及了地址泄露、函数指针劫持和Libc版本查找等关键步骤。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

Pwn 学习 fmt_str_level_1_x86 格式化字符串

1.checksec
2.源码
3.编译
4.漏洞分析
4.1.格式化字符串
4.2.利用过程
5.gdb动态调试
6.exp
7.执行exp

1.checksec

在这里插入图片描述

保护全开
这也是格式化字符串常见类型

2.源码

#include<stdio.h>
#include<stdlib.h>
#include<unistd.h>
#include<string.h>

int init_func(){
   
    setvbuf(stdin, 0, 2, 0);
    setvbuf(stdout, 0, 2, 0);
    setvbuf(stderr, 0, 2, 0);
    return 0;
}

int dofunc(){
   
    char buf[0x100];
    while (1){
   
        puts("input:");
        read(0, buf, 0x100);
        if( !strncmp(buf, "quit", 4) ){
   
            break;
        }
        printf(buf);
    }
    return 0;
}

int main(){
   
    init_func();
    dofunc();
    return 0;
}

3.编译

gcc -m32 -fstack-protector fmt_str_level_1.c -o fmt_str_level_1_x86

4.漏洞分析

在这里插入图片描述

4.1.格式化字符串<

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

==Microsoft==

关注关注

0
点赞
踩
4

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

专栏目录

格式化字符串利器fmtstr_payload | 攻防世界 pwn进阶区实时数据监测

Kni9hT's Blog

04-21

6803

文章目录0x00.看题0x01.检查保护0x02.利用fmtstr_payload构造payload 0x00.看题健身回来，继续刷第二题，貌似和上一题一个风格啊。连名字都差不多，偏工业实际。不过这一题学到了一个新东西，fmtstr_payload. 题目描述：小A在对某家医药工厂进行扫描的时候，发现了一个大型实时数据库系统。小A意识到实时数据库系统会采集并存储与工业流程相关的上千节点的数据...

pwntools中fmtstr的使用

fa1c4的blog

02-01

4860

pwntools提供了pwnlib.fmtstr的格式字符串漏洞利用的工具, 熟悉该工具的使用显然是有益的可以查看源码该模块中主要定义了一个类FmtStr和一个函数fmtstr_payload class FmtStr(object): def __init__(self, execute_fmt, offset=None, padlen=0, numbwritten=0): self.execute_fmt = execute_fmt self.offset

参与评论您还未登录，请先登录后发表或查看评论

[2020 GeekChallange] Pwn fmt

Nashi_Ko的博客

11-18

819

[2020 GeekChallange] fmt 0x00 格式化字符串漏洞提示格式化字符串漏洞简单介绍一下原理：在写C语言时，不免经常使用printf函数，这个函数有一个很常见的用法： a = 24; printf("%d岁，是学生"，a); 输出结果很显然是 24岁，是学生但是如果出现这么个情况： a = "%p.%p.%p.%p." printf(a) 它就会输出栈的后4个地址。 a = "%4$p" printf(a) 单独输出第四个地址 a = "%4$s" printf(a)

Pwn·fmt学习笔记

最新发布

qq_22607673的博客

05-26

1134

pwn的blind fmt

CTF-Wiki pwn fmtstr(格式化字符串漏洞)

mumuzi的博客

07-24

1012

https://www.yinxiang.com/everhub/note/f07ff198-5072-4014-b110-21fb833affee –原理 –格式化字符串 –程序崩溃 –泄漏内存 –泄漏栈内存 –泄漏任意地址内存：覆盖小数字、覆盖大数字 –例题1：x64格式化字符串漏洞 –例题2：hijack GOT 劫持GOT表 –例题3：hijack retaddr 劫持返回地址 –盲打笔记若存在逻辑问题或者原则性问题，恳请在评论区指正，谢谢观看笔记的师傅。之后会出一期萌新常见的问题(主要只是为了自

python练习—pwn格式化字符串

v_3483608762的博客

07-25

673

[第五空间2019 决赛]PWN5 好长时间没有写博客了，记录一下。 1， printf(&buf)为明显的格式化字符串漏洞 格式化字符串漏洞可以利用他覆盖掉un_804c044，从而可以执行后门程序。 2第一种方法使用fmtster——payload函数，简单了当的覆盖掉目标地址。详情：fmtster函数 from pwn import * p=process('pwn') # p=remote('node4.buuoj.cn',29440) unk_char=0x0804C044 pa

Pwn 学习 fmt_test_2格式化字符串

MrTreebook的博客

08-21

399

Pwn 学习 fmt_test_2格式化字符串。

三个白帽 pwnme - k0 [fmtstr] - [Hijack RetAddr]

ACdream

02-27

1193

程序运行起来功能很简单：输入用户名密码、输出用户名密码、退出运行起来发现：这里可能会有个缓冲区溢出的漏洞，在输入用户名时可以超过20个，超过的部分成了密码进一步测试发现，该程序存在fmtstr漏洞在程序4008A6处提供了system("/bin/sh")，所以我们的思路是，劫持某个函数返回地址到这儿即可先来计算偏移：在这里下断 Breakpoi...

pwn 网鼎杯 easyFMT

SsMing的博客

09-01

2132

作为一个菜狗子只能等大佬的writeup学习才会做 easyFMT看名字就是到是格式化串洞，然后就是要确定存在格式化串洞的参数是第几个确定为是print的第六个参数大佬计算参数的脚本是： #!/usr/bin/python from pwn import * elf = ELF('./pwn') for i in xrange(1,100): p = proce...

Fmtstr_Loop

钞sir的博客

06-23

9824

前言很多时候都是因为程序中存在循环,如果程序中不存在循环呢？在一些栈溢出中我们可以使用ROP技术劫持函数返回地址到start，同样我们可以使用格式化字符串漏洞做到这一点… 实例题目:12届信息安全国赛半决赛西南赛区思路虽然我们写代码的时候以main函数作为程序入口，但是编译成程序的时候入口并不是main函数,而是start代码段。事实上,start代码段还会调用__libc_start_m...

[BUUCTF]PWN——axb_2019_fmt64（64位格式化字符串改got表）

mcmuyanga的博客

01-27

3094

axb_2019_fmt64 附件步骤：例行检查，64位程序，只开启了nx保护本地运行看一下，可以一直输入 64位ida打开跟axb_2019_fmt32差不多，所以还是再次利用格式化字符串漏洞通过%n来写入数据利用过程首先找一下偏移，偏移为8 找到偏移后我们就可以泄露libc，计算system和bin/sh了一开始打算跟fmt32一样来泄露libcpayload = p64(puts_got)+"%08$s",失败了，动调发现被/x00截断了，64位都有这个情况，关于64位格式

Pwn 学习 fmt_str_level_1_x64 格式化字符串

MrTreebook的博客

09-10

473

第四个参数表示写入方式，是按字节(byte)、按双字节(short)还是按四字节(int),对应着hhn、hn和n,默认值是byte,即按hn写。fmtstr payload函数返回的就是payload。pwntools工具: fmtstr_payload(offset, writes, numbwritten=0, write_size=‘byte’)第二个参数表示需要利用&n写入的数据, 采用字典形式，格式目标地址:准备修改的值}第三个参数表示已经输出的字符个数, 这里没有, 为0, 采用默认值即可;

CTF-pwn pwntools用法探索

dzqxwzoe的博客

02-02

2427

相信各位CTF pwners一定对pwntools熟悉得不能再熟悉，做一道题时写下的第一行代码很可能就是。很多pwners对于pwntools的了解可能仅限于远程交互、ELF文件简单分析这些最基础的功能，但pwntools真的只有这些功能吗？你真的会使用pwntools吗？本文从入手，进行pwntools功能的探索。

[BUUCTF]PWN——judgement_mna_2016（32位fmt）

mcmuyanga的博客

03-18

547

judgement_mna_2016 例行检查，32位程序，开启了canary和nx 运行一下，看看大概的情况 32位ida载入明显的格式化字符串漏洞，动调看一下输入点的位置，找一下flag在栈上的位置，算一下偏移就能够打印出flag 先找一下输入点参数在栈上的位置可以看到在oxffffcf4c,然后看一下栈上的布局发现在距离我们输入的数据的偏移为28和32处存放着flag，定位偏移到该处即可这题根本不用写exp，但为了水长度，贴一下吧 from pwn import * conte

buu_64位fmPWN——axb_2019_fmt64（64位格式化字符串改got表）不使用fmstr工具包

ngztx的博客

03-22

774

如果这样写，前面的地址数据经p64()打包后占的是8个字节，我们send 的地址和我们构造的格式化字符串中间还有好多个 ‘00’ ，而在字符串中 ‘00’ 就代表了结束，所以在printf到‘00’时，就被认为字符串已经结束了，自然不会继续往后面printf了，也即是说我们的字符串都被’00’给截断了。到这里为止，应该对%k$n有一定的了解了，还是那个原则，%k$n前面有多少个字节，那么就会向第k个参数地址中写多少。只有后面3字节不同，截取倒数第三字节和后两字节进行修改。难点3：分别计算高地址和低地址。

Pwntools使用介绍

AlexYoung28的博客

10-18

8108

pwntools是一个用python编写的CTF pwn题exploit编写工具，目的是为了帮助使用者更高效便捷地编写exploit。目前最新稳定版本为3.12.0（2018年5月）。文档地址：docs.pwntools.com。一、环境变量设置 Pwntools的许多设置都是通过全局变量context进行控制的，例如系统、架构、字节序等都可以通过如下的方法更改： >>...

[BUUCTF]PWN——xman_2019_format(堆上的fmt+爆破栈)

mcmuyanga的博客

03-22

710

xman_2019_format 例行检查，32位程序，开启了nx 检索程序里的字符串，发现了后门函数，back_doorr=0x80485AB 这题buf并不存储在栈上，而是在malloc申请的堆上之后buf作为参数，进入到sub_80485C4 由于存在后门函数，可以利用格式化字符串将返回地址改为back_door 这边主要利用了%ac$bn,将长度a的数据写入偏移为b的位置。 格式化字符串漏洞，一般需要先泄露栈地址，然后计算偏移，但是这里没办法这么利用，因为这里的s存放在chunk上，不在

【Pwn】2019安洵杯线上赛 fmt32 && fmt64

Nothing

12-01

1121

出题人好像比较喜欢blind pwn，5道pwn题里有3个，由于时间关系来不及看rop64了（我太菜）。 1.fmt32 只给了ip&port，没有附件猜测是blind pwn，根据题目名字，猜想有格式化字符串漏洞，试了一下发现是一个循环（毕竟是复读机），每次都可以利用格式化字符串漏洞，于是首先想法是先将内存dump下来再分析，如果32位程序没开pie保护，程序首地址为0x8048000。...

fmtstr1

m0_49959202的博客

09-18

295

文章目录fmtstr11.程序分析2.exp编写 fmtstr1 1.程序分析 file一下： checksec一下： ida分析一下，发现存在printf(&buf)，这里有格式化字符串漏洞，可以进行利用发现如果x是4的话，就能够获取到shell，但是在数据段内x的值为3：因此，需要利用格式化字符串利用，将x的值从3修改为4。使用gdb进行调试，在printf处设置断点。输入"%d%d", 当进入printf(&buf)时，查看栈内变量，发现"%d%d"是格式化字符串的第1