格式化字符串漏洞利用之泄露canary

最新推荐文章于 2025-07-11 17:17:26 发布
原创 最新推荐文章于 2025-07-11 17:17:26 发布 · 1.6k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了两道格式化字符串漏洞利用题目,详细讲解了如何泄露Canary并绕过其保护。通过分析栈布局和利用printf函数,展示了利用‘%p’格式化字符来获取敏感信息的方法,并探讨了在64位Linux系统中参数传递的规则。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

两道格式化字符串漏洞利用入门题,绕过canary的一种姿势,不知道写的对不对,请大家多指正。

0x01 Canary
保护
在这里插入图片描述
开启了NX和canary。

题目分析

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

有个getshell函数,vuln函数里面明显的栈溢出和格式化字符串漏洞,所以可以利用printf函数泄露出canary的值,然后利用栈溢出填充canary,控制返回指针执行getshell函数。


在这里插入图片描述
在这里插入图片描述

从栈的情况看,var_8(即canary的值)距离栈顶120个字节,120/8 =15,64位Linux前六个参数用寄存器传递,后面的才从栈上读取,所以要使var_8是printf函数的第22个参

最低0.47元/天 解锁文章

200万优质内容无限畅学
PWN基础-利用格式化字符串漏洞泄露canary结合栈溢出getshell
Welcome To Myon'Blog !
04-27 628
canary 所在地址为 0xffffcffc,内容为 0xe8ac1700。然后运行,期间会经过第一个 read 函数,随便输入:RRR。再看一下 canary 距离我们输入字符串的距离,偏移是 8。重新运行 canary 会变:现在是 0x37133900。继续往下走,可以发现打印出的就是 canary。p 只显示了地址,x 还显示了地址处的内容。我们在栈上面找一下 0xe8ac1700。但是测试发现,输出结果多了一个换行符。这部分后面需要填充为垃圾数据。距离栈顶偏移为 15。
格式化字符串漏洞(Format String Vulnerability)
a12sj_的博客
02-09 812
格式化字符串漏洞(Format String Vulnerability)是程序中因不当处理格式化字符串参数而导致的一类安全漏洞,常被攻击者利用来读取内存数据、篡改程序执行流程,甚至执行任意代码。
Canary机制及绕过策略-格式化字符串漏洞泄露Canary
01-27
Canary主要用于防护栈溢出攻击。我们知道,在32位系统上,对于栈溢出漏洞,攻击者通常是通过溢出栈缓冲区,覆盖栈上保存的函数返回地址来达到劫持程序执行流的目的。 Stackcanary保护机制在刚进入函数时,在栈上放置一个标志canary,然后在函数结束时,判断该标志是否被改变,如果被改变,则表示有攻击行为发生。 一,实验源码 文件名:Canary.c 命令
格式化字符串漏洞利用 七、工具
热门推荐
龙哥盟
04-14 4万+
七、工具 原文:Exploiting Format String Vulnerabilities 作者:scut@team-teso.net 译者:飞龙 日期:2001.9.1 版本:v1.2 一旦利用完成,或者甚至在利用开发过程中,使用工具来获取必要的偏移更加有用。一些工具也有主意识别漏洞,例如在闭源软件中的格式化字符串漏洞。我在这里列出了四个工具,它们
非栈上格式化字符串漏洞(BSS段上)
最新发布
qq_33348179的博客
07-11 371
3.关于泄露rbp+8地址的选择,只要能得出固定偏移即可,在这题中,使用fmt偏移为8的栈地址同样能打通,只是离rbp+8的距离会改为0x150。1.在动态调试的时候,出现了没有16字节对齐的情况,这个时候需要按照栈对齐的方法,把后门函数地址+1来保证栈对齐。2.再利用fmt找到一个带有指向链条的栈地址并且得出这些地址的fmt偏移(addr1->addr2)这样,就能让RBP+8(返回地址)的位置指向了后门函数,从而get shell。这里使用fmt偏移为10的栈地址,和rbp+8的地址距离为0x38。
格式化字符串漏洞_格式化字符串绕过canary入门
weixin_39611340的博客
12-09 224
原创: EDI-VOID 合天智汇 知识格式化字符串漏洞是因为c语言中printf的参数个数不是确定的,参数的长度也不是确定的,当printf把我们的输入当作第一个参数直接输出的时候,我们输入若干格式化字符串,会增加与格式化字符串相对应的参数,会泄露出栈中的内容Canary的工作原理就是子函数在做自己的事情之前,在自己的栈帧里返回地址之前插入一个随机的cookie,从gs:0x14的地方取出...
格式化字符串漏洞利用
04-14
格式化字符串漏洞利用
利用格式化字符串漏洞泄露Canary机制及其绕过策略
文章接着介绍了利用格式化字符串漏洞泄露Canary的方法。由于Canary每次运行都会改变,攻击者可以通过覆盖栈帧中的数据来尝试猜测或直接获取。具体操作是在printf函数的格式化字符串漏洞点下断点,输入特定的...
详解格式化字符串漏洞利用
weixin_48066554的博客
12-12 5478
详解格式化字符串漏洞利用 ​ 最近看了很多格式化字符串漏洞利用的文章,发现写得都差那么点意思,所以决定自己写一篇,结合实例,好好地把这个知识点捋一捋。
格式化字符串漏洞
weixin_62675330的博客
02-13 6199
格式化字符串漏洞 初学pwn,学到了格式化字符串漏洞,总结一下。 格式化字符串函数:格式化字符串函数就是将计算机内存中表示的数据转化为我们人类可读的字符串格式。 漏洞printf(s) 用 printf() 为例,它的第一个参数就是格式化字符串 :“Color %s,Number %d,Float %4.2f” 然后 printf 函数会根据这个格式化字符串来解析对应的其他参数 %d - 十进制 - 输出十进制整数 %s - 字符串 - 从内存中读取字符串 %x - 十六进制 - 输出十六进制数 %c -
使用格式化字符串漏洞绕过Canary保护(32位ELF)萌新篇
weixin_73481933的博客
01-15 717
当启用栈保护后,函数开始执行的时候会先往栈里插入cookie信息,当函数真正返回的时候会验证cookie信息是否合法,如果不合法就停止程序运行。原理是在一个函数的入口,先从fs/gs寄存器中取出一个四字节(eax)或者八字节的rax的存在栈上(最低位都是\x00),当函数结束是会检查这个栈上的是否和存在去的一致,若一致则正常退出,如果是栈溢出或者其他原因导致canary发生变化,那么程序就会执行___stack_chk_fali函数,继而保护程序。32位文件,开启了NX和Canary保护。
好好说话之格式化字符串漏洞利用
hollk’s blog
08-05 4314
编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ 一、格式化字符串漏洞利用 格式化字符串漏洞两大利用手段: 是程序崩溃,因为%s对应的参数地址不合法的概率比较大 查看进程内容,根据%d,%f输出了栈上的内容 二、程序崩溃 一般输入若干个%s即可 %s%s%s%s%s%s%s%s%s%s%s%s%s%s 栈上不可能每个都对应了合法地址,总会有某个地址可以使得程序崩溃,不能控制,但是可以玩坏。例如,如果远程服务有个格式化字符串漏洞,那么就可以攻击其可用性,使服务崩溃,进而使
格式化字符串漏洞及其利用技术的深入分析
weixin_42588555的博客
04-24 416
本文深入探讨了格式化字符串漏洞的原理和利用方法。首先介绍了格式化字符串漏洞的基本概念,然后通过实际代码示例展示了如何利用%n格式参数来实现对程序的控制。通过fmt_vuln.c和fmt_uncommon.c的代码解析,我们了解到通过控制格式字符串,攻击者可以读取和写入任意内存地址,甚至控制程序流程。本文的目的是提高程序员对格式化字符串漏洞的认识,并指导他们如何防范此类安全漏洞
格式化字符串漏洞原理及其利用(附带pwn例题讲解)
WdIg-2023的博客
04-09 9839
格式化字符串漏洞在实际利用过程中现在几乎挖掘不到了,但是在CTF的pwn题中,由于其可以结合其他溢出漏洞利用,还是经常会遇到格式化字符串漏洞的。在我们初识C语言的时候,我们经常会使用到printf这之类的函数,printf函数的第一个参数就是一个格式化字符串,就是程序员可以使用占位符,指定格式,这些占位符用来替代后面的变量或者是数据。简单总结就是说,我们可以在一个字符串中,执行某个位置应该输出怎么样的数据,使用占位符代替,在输出的时候函数会自动按照我们指定的格式,寻找参数并以我们预想的形式输出。
泄露canary
九层台
07-17 1744
题目链接https://pan.baidu.com/s/1CRhWOys3tbRr_uBqRhewsQ 有NX和canary保护。 char v21[257]; // [esp+2Bh] [ebp-10Dh] v21设置了257个字节的空间。 sub_80486FD(dest, 0x200u); v12 = 0; v13 = 0; while ( dest[v12] ...
漏洞挖掘基础之格式化字符串
stonesharp的专栏
01-10 2410
漏洞挖掘基础之格式化字符串  黑客  1年前 (2015-10-24)  8,036  0 0x00 序 格式化字符串漏洞是一个很古老的漏洞了,现在几乎已经见不到这类漏洞的身影,但是作为漏洞分析的初学者来说,还是很有必要研究一下的,因为这是基础啊!!!所以就有了今天这篇文章。我文章都写好了,就差你来跟我搞二进制了!%>. 0x01 基础知识---栈
【逆向学习记录】格式化字符串漏洞原理及其利用
卦星的专栏
02-12 1342
1.概述 前面学习完成栈溢出的漏洞利用,接下来最长用到的就是格式化字符串了,由于懒散,春节之前耽误的很多时间,这里统一整理一下 学习的过程中,主要参考文章: 格式化字符串利用小结 CTF WIKI 格式化字符串漏洞利用 2.关键知识点 引用参考文件的内容 %c:输出字符,配上%n可用于向指定地址写数据。 %d:输出十进制整数,配上%n可用于向指定地址写数据。 %x:输出16进制数据,如%i$x表示...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值