pwn-格式化字符串漏洞

最新推荐文章于 2025-02-03 22:34:16 发布
最新推荐文章于 2025-02-03 22:34:16 发布
阅读量502 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: PWN 文章标签: c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hacker_zrq/article/details/120678750
本文介绍了格式化字符串漏洞的基本原理和利用技巧,包括如何泄露内存地址、如何覆盖栈内存。通过实例展示了如何确定格式化字符串参数偏移,以及如何使用%n修改内存中的值。还讨论了覆盖小数字和大数字的方法,如使用hhn和hn标志。

部分基础知识来自于CTF-wiki。

原理介绍 - CTF Wiki (ctf-wiki.org) 

常见的有格式化字符串函数有

  • 输入
    • scanf
  • 输出
函数 基本介绍
printf 输出到 stdout
fprintf 输出到指定 FILE 流
vprintf 根据参数列表格式化输出到 stdout
vfprintf 根据参数列表格式化输出到指定 FILE 流
sprintf 输出到字符串
snprintf 输出指定字节数到字符串
vsprintf
了解本专栏 订阅专栏 解锁全文 超级会员免费看
pwn学习】格式化字符漏洞
Morphy_Amo的博客
12-29 6756
文章目录什么是格式化字符漏洞格式化字符串函数格式化字符串利用泄露内存例题 利用格式化字符串漏洞获取libc基址覆盖内存栈地址覆盖小数覆盖大数覆盖轮子 什么是格式化字符漏洞 格式化字符串函数可以接受可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数。通俗来说,格式化字符串函数就是将计算机内存中表示的数据转化为我们人类可读的字符串格式。几乎所有的 C/C++ 程序都会利用格式化字符串函数来输出信息,调试程序,或者处理字符串。一般来说,格式化字符串在利用的时候主要分为三个部分。 格式化字符串
pwn学习笔记(5)--格式化字符串漏洞(未完全完成)
qq_66013948的博客
03-05 1766
格式化字符串函数可以接收可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数格式化字符串函数格式化字符串[后续参数]
PWN基础5:格式化字符串漏洞(一) 概述 及 调试
prettyX的博客
07-09 838
漏洞概述 在C语言中,常用的输出函数有printf、fprintf、vprintf、vfprintf、sprintf等。对于这些输出函数,Format String是其第一个参数,一般称之为格式化字符串 格式化字符串在输出函数中的解析过程: ...
PWN-格式化字符串漏洞
GalaxySpaceX的博客
08-28 1511
PWN-格式化字符串漏洞
PWN格式化字符串漏洞
WateranFire的博客
07-19 797
漏洞使用:     1.泄露canary之类的信息     2.修改特定地址的内容 hints:      1.当需要表示第N个参数时,可以通过"%N$llx"的方法实现;      2.当利用%n修改数据时,如果数据较大,可以前面利用"%099999d"来构造。  ...
PWN--格式化字符串
cyy001128的博客
02-03 622
格式化字符串‌是指在编程过程中,通过特殊的占位符将相关对应的信息整合或提取的规则字符串格式化字符串包括格式化输入和格式化输出,其本质是程序员调用相关格式化字符串的操作协议规定。错误的或不当的信息配置可能导致程序运行失效或产生未定义行为在PWN中,格式化字符串漏洞是常见的考察点,仅次于栈溢出漏洞格式化字符串漏洞成因:程序使用了格式化字符串作为参数,并且格式化字符串为用户可控。其中触发格式化字符串漏洞函数主要是、、、等C库中家族函数格式化说明符 CPU利用ebp访问栈内东西 printf函数参数从右边
[CTF]PWN--手搓格式化字符串漏洞
2301_79880752的博客
02-19 1700
而是,原来我们修改了的其实是0x7f1与0x7f2里的东西,那后面我们就需要修改0x7f3与0x7f4里的东西,因此我们+2的意思就是将原来的0x7f1+2,修改成0x7f3,这样,我们在修改的时候改的就是0x7f3与0x7f4里的东西了(思路是这样的,一个栈地址一共八个字节,我们需要将要修改的地址和被修改的地址每两个字节对应的修改,直到最后将所以字节都修改成我们需要的地址。修改最高二位的时候也是一样的,由于栈里面的地址与libc里面的地址一般都只占6个字节,因此,我们只需要进行三次修改即可。
pwn刷题num26-----格式化字符串漏洞实现任意地址修改
tbsqigongzi的博客
04-27 566
BUUCTF-PWN-[第五空间2019 决赛]PWN5 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 开启canary保护-----栈溢出需绕过canary 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 程序运行后首先输入一个name 然后输入密码(passwd) 最后fail ida看一下伪代码 观察主函数,发现格式化字符串漏洞 printf(&buf);
[PWN]——格式化字符串漏洞(包含几种解题方法)
ysy___ysy的博客
01-19 5181
如果要自己采用"%x$n"的方式手动构造payload容易出错,所以使用pwntools中的FmtStr格式化字符串类来解决格式化字符串漏洞比较方便做题。如果有什么错误的地方请师傅们告诉我一下。本文制作不易,盗版必究。
pwn初识格式化字符串漏洞
钞sir的博客
12-02 4557
格式化字符串漏洞通常情况下是由printf函数产生的; 正常情况下我们用printf函数输出字符串时是这样的: char a[100]="fmtstr"; int b=12,c=666; printf("%s %d %x",a,b,c); 但是有时是出于方便会直接输出字符串: char str[12]="fmtstr"; printf(str); 这时,如果这个str是我们用户输入可...
格式化字符串漏洞利用
04-14
格式化字符串漏洞利用
攻防世界 Pwn 进阶 第二页
yongbaoii的博客
02-18 851
00 为了形成一个体系,想将前面学过的一些东西都拉来放在一起总结总结,方便学习,方便记忆。 攻防世界 Pwn 新手 攻防世界 Pwn 进阶 第一页 01 4-ReeHY-main-100 超详细的wp1 超详细的wp2 03 format2 栈迁移的两种作用之一:栈溢出太小,进行栈迁移从而能够写入更多shellcode,进行更多操作。 栈迁移一篇搞定 有个陌生的函数。 C 库函数 void *memcpy(void *str1, const void *str2, size_t n) 从存储区 str2
PWN基础知识及基础栈溢出手法
山高路远
04-12 4462
一、pwntools常用函数 函数 用途 send(data) 发送数据(字符串形式发送) sendline(data) 发送一行数据,默认在行尾加 \n(字符串形式发送) recv(numb=1096,timeout=default) 接收指定字节数的数据 buf = p.recvuntil(“\n”, drop=True) 直到接收到\n为止,drop=True表示丢弃\n,buf为接收到的输出但不包括丢弃的\n recvrepeat(timeout=default) 接
pwn-进阶-forgot
weixin_45971758的博客
08-19 2256
1.checksec先检查,开启的保护以及程序情况。 开启了NX(地址随机化保护) , 就意味着程序地址分布随机。 32位小段序,输入的变量数据在地址中的存放位置(安装小段序存放)。 2.静态调试(静态查看) 将文件拖入到 ida 32位,然后确定。 shift+F12看到程序出现的字符串,发现下面。 有./flag cat %s , 双击字符串并且看到了在.rodata 的存放位置,后面还有一个函数。 双击此函数,查看函数全部信息。 这样就看到了函数全貌。之后按F5(笔记本电脑键盘FN+F5),查
CTF pwn题之格式化字符串漏洞详解
热门推荐
lifanxin的博客
03-22 1万+
FmtStr格式化字符串类概念求偏移和任意地址写求偏移任意地址写一个例子程序分析漏洞利用wp总结 概念 在遇到pwn题中格式化字符串漏洞时,我们一般会分两大步实现漏洞利用:首先构造一个payload来寻找输入字符串到栈顶指针的偏移,然后利用偏移实现对目标地址的改写。下面我将介绍pwntools中的FmtStr类如何实现偏移的求解以及对目标地址的改写。 求偏移和任意地址写 求偏移 在格式化字符串漏洞利用中,我们一般都是这样手动构造payload进行偏移求解的,如下图所示,开头输入方便定位的字符串aaaa,然后
攻防世界pwn-- secret file 题解
lifanxin的博客
12-24 1081
Write Up知识点关键字样本运行静态分析程序逻辑求解脚本 知识点关键字 栈溢出,popen函数,openssl sha256函数 样本 样本来自攻防世界的pwn题 – secret file 运行 查看文件属性   所有保护全开 运行样本程序   本地运行会报一个错误即缺少一个libc动态链接库   该库是openssl开源库,用来实现一些加密算法的,这里给出libcrypto.so.1.1,报错的可以添加到自己本地,使用如下代码在本地/usr/lib下创建一个软链接就行。 ln -s libcrypt
攻防世界pwn题:forgot
m0_62396648的博客
06-05 650
该文件是32位的,canary和PIE保护机制没开。总览:该函数就是:v5初值为1,对v2输入一串字符。然后执行一个会根据输入的字符串而修改v5的循环语句,最后调用相应的函数。同时,发现文件里面已经含有cat flag的函数: 函数snprintf介绍: printf("cat %s", "./flag")是将cat ./flag输出到屏幕上。 snprintf(s, 0x32, "cat %s", "./flag")是最多将后
攻防世界pwn高手进阶区-time_formatter
优快云_sunrise的博客
10-31 1009
文章目录time_formatter伪代码main函数功能1--set_time_format功能2--set_time功能3--set_time_zone功能4--print_time功能5--free_and_exitpayload说明exp time_formatter 伪代码 main函数 循环输出菜单并根据输入跳转执行不同功能。 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { __gid_t v3; // eax FI
pwn格式化字符串漏洞小结
PLpa的博客
11-30 2750
格式化字符串漏洞 0x00.前言 在pwn中,格式化字符串漏洞是一个非常基础的漏洞,他通常穿插在各种漏洞之中。比如,当程序开了PIE保护时,在栈溢出之前,我们先可以运用格式化字符串漏洞获取栈中的信息;通过格式化字符串漏洞的任意地址写,我们可以把栈帧劫持到堆地址上;我们甚至可以直接通过任意地址写,劫持got表,实现getshell…… 总而言之,格式化字符串漏洞虽然在目前市面上的软件中比较难以看到,...
[CTF]PWN--非栈上格式化字符串漏洞
最新发布
08-14
### 非栈上格式化字符串漏洞概述 在CTF比赛的PWN类别中,格式化字符串漏洞是一种常见的安全漏洞,通常出现在使用不安全的格式化函数(如`printf`、`sprintf`等)时。如果程序允许用户直接控制格式化字符串参数,而未进行适当的验证和过滤,则可能导致攻击者利用该漏洞读取或写入内存数据。 在栈上的格式化字符串漏洞利用较为常见,而非栈上格式化字符串漏洞则涉及对堆内存或其他非栈内存区域的利用。这类漏洞通常更具挑战性,但也提供了更多的攻击面。 ### 利用方法 非栈上格式化字符串漏洞的利用主要依赖于对格式化字符串中特殊格式符的使用,尤其是`%n`。`%n`的作用是将当前已经输出的字符数写入指定的指针位置。通过精心构造格式化字符串,攻击者可以实现任意地址写入(Arbitrary Write)。 在非栈上场景中,通常需要找到一个可以控制的指针,指向堆内存或其他可写区域。例如,攻击者可以通过泄露堆地址,然后利用`%n`将数据写入堆中的特定位置。这种方法常用于覆盖函数指针或全局偏移表(GOT)中的条目,从而实现控制流劫持。 ```c // 示例代码,展示不安全的格式化字符串使用 #include <stdio.h> void vulnerable_function(char *user_input) { printf(user_input); // 不安全的格式化字符串使用 } int main(int argc, char **argv) { if (argc > 1) { vulnerable_function(argv[1]); } return 0; } ``` 在上述示例中,如果攻击者能够控制`user_input`的内容,则可以构造特定的格式化字符串来触发漏洞。例如,攻击者可以输入类似`%x%x%x%n`的字符串,试图读取栈上的数据并写入特定地址。 ### 防御方法 为了防止非栈上格式化字符串漏洞的利用,可以采取以下几种防御措施: 1. **避免使用不安全的格式化函数**:尽量使用带有显式参数的格式化函数,如`fprintf`、`snprintf`等,并确保格式字符串是静态常量,而不是用户可控的输入。 2. **输入验证和过滤**:对用户输入进行严格的验证和过滤,确保输入中不包含任何格式化字符(如`%`)。可以通过白名单机制来限制输入内容。 3. **地址空间布局随机化(ASLR)**:启用ASLR可以增加攻击者预测内存地址的难度,从而降低漏洞利用的成功率。 4. **堆内存保护**:使用现代编译器提供的堆内存保护机制,如堆栈保护(Stack Canaries)、地址随机化等,以增加攻击者利用堆漏洞的难度。 5. **代码审计和静态分析**:定期进行代码审计和静态分析,查找并修复潜在的安全漏洞。使用静态分析工具可以帮助识别不安全的格式化字符串使用。 6. **运行时检测**:在程序运行时检测格式化字符串的使用情况,及时发现并阻止异常行为。 ### 示例:修复不安全的格式化字符串使用 ```c // 修复后的代码,使用安全的格式化字符串使用方式 #include <stdio.h> void safe_function(char *user_input) { printf("%s", user_input); // 使用安全的方式处理用户输入 } int main(int argc, char **argv) { if (argc > 1) { safe_function(argv[1]); } return 0; } ``` 在修复后的代码中,通过使用`%s`格式化符并显式传递用户输入,避免了用户输入直接作为格式化字符串的风险。 ### 总结 非栈上格式化字符串漏洞的利用虽然较为复杂,但通过精心构造的格式化字符串和内存操作,攻击者仍然可以实现严重的攻击效果。因此,在开发过程中,必须采取有效的防御措施,确保程序的安全性。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ad_m1n

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值