Pwn 课程第七节: 格式化字符串漏洞

最新推荐文章于 2025-03-29 20:58:53 发布
最新推荐文章于 2025-03-29 20:58:53 发布
阅读量419 收藏 7
点赞数 3
分类专栏: PWN从入门到高阶 文章标签: pwn 二进制 缓冲区溢出 ctf 逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_44948224/article/details/145804770
版权

1. 格式化字符串漏洞概述

格式化字符串漏洞(Format String Vulnerability)是由于程序直接使用用户输入作为格式化参数,导致攻击者可以泄露内存信息或修改程序数据。

1.1 格式化字符串的原理

在 C 语言中,printfsprintffprintf 等函数用于格式化输出。例如:

printf("Hello %s!", name);

如果 name 由用户输入控制,且 printf 没有指定格式化参数,可能会引发漏洞:

printf(name);

攻击者可以输入 %x %x %x,直接读取栈中的内容。

2. 格式化字符串漏洞示例

2.1 漏洞代码

#include <stdio.h>
#include <string.h>
​
void vulnerable_function(char *input) {
    char buffer[64];
    strcpy(buffer, input);
    printf(buffer); // 漏洞点
}
​
int main(int argc, char *argv[]) {
    if (argc > 1) {
        vulnerable_function(argv[1]);
    }
    return 0;
}

2.2 编译并运行

gcc -fno-stack-protector -o vuln_fmt vuln.c
./vuln_fmt "%x %x %x %x"

3. 格式化字符串信息泄露

3.1 读取栈数据

格式化字符串漏洞可用于泄露程序中的敏感信息,如栈地址、返回地址等。

./vuln_fmt "%p %p %p %p"

如果返回类似 0xbffff7dc 0x080484f4 0xb7fdc000 0x080484d0,则说明栈数据被泄露。

4. 格式化字符串写入利用

4.1 利用 %n 修改内存

格式化字符串的 %n 允许将写入的字符数存入指定地址。

int main() {
    int target = 0;
    printf("%x %x %x %n", &target);
    printf("Target = %d\n", target);
    return 0;
}

攻击者可利用 %n 修改 GOT 表,劫持函数执行流。

4.2 修改返回地址

  1. 找到 printf 的 GOT 地址:

    objdump -R ./vuln_fmt | grep printf

  2. 构造输入,使 printf 的 GOT 指向 system(),劫持执行 /bin/sh

5. 练习题

  1. 使用 gdb 观察 printf("%x %x %x %x") 的输出,理解栈布局。

  2. 使用 %n 修改内存值,使程序行为发生变化。

  3. 研究 GOT 劫持技术,并尝试利用格式化字符串漏洞执行 system("/bin/sh")

6. 总结

  • 了解格式化字符串的工作原理。

  • 通过 %x%p 泄露内存信息。

  • 通过 %n 进行内存修改。

  • 了解 GOT 劫持的利用方式。

格式化字符串漏洞详解(附BUUCTF习题)
a12sj_的博客
02-12 1113
格式化字符串漏洞(Format String Vulnerability)是由于程序使用用户可控的输入作为格式化字符串参数(如 、 等函数)时未正确过滤导致的漏洞。攻击者可通过构造特殊格式字符串实现以下操作:内存泄露:读取栈或堆中的敏感数据(如密码、密钥)。内存覆盖:向任意地址写入数据(如劫持控制流、覆盖函数指针)。程序崩溃:通过非法内存访问导致拒绝服务(DoS)。关键机制:信息泄露(Memory Leak)目标:读取栈或堆中的敏感数据(如 或 地址)。示例: → 用户输入 泄露栈内容。覆盖关键变量目
pwn 格式化字符串漏洞
清霂的博客
03-10 611
7.cgpwn2 file checksec ida32
CTF PWN-攻防世界CGfsb格式化字符串漏洞
道阻且长,行则将至
07-23 2957
距离 2021 年年底短暂接触学习 CTF PWN 相关知识(CTF PWN-攻防世界XCTF新手区WriteUp)已经是快 2 年前的事了,这期间就连攻防世界社区的站点都发生巨大变化了……为了学习终端领域底层漏洞的挖掘和利用技术,继续积累 PWN 相关知识。
pwn格式化字符串
rjc20051110的博客
03-29 1043
###将s覆盖为目标变量c的地址 由于p32(c)是4字节 再填充12个a 以达到输出16个字节的目的 然后%6$n会将输出的个数也就是16覆盖的第7个参数的位置 而此位置此时已经覆盖上了c的地址 这就成功把16覆盖的c中。表示我们的填充内容,overwrite addr 表示我们所要覆盖的地址,overwrite offset 地址表示我们所要覆盖的地址存储的位置为输出函数的格式化字符串的第几个参数。因为我们的格式化字符串是%p,他会根据站上的位置以16位的形式以此解析栈地址上存的数据。
Linux pwn入门教程——格式化字符串漏洞
dfdhxb995397的博客
07-18 438
本文作者:Tangerine@SAINTSEC 原文来自:https://bbs.ichunqiu.com/thread-42943-1-1.html 0×00 printf函数中的漏洞printf函数族是一个在C编程中比较常用的函数族。通常来说,我们会使用printf([格式化字符串],参数)的形式来进行调用,例如 然而,有时候为了省事也会写成 事实上,这是一种非常...
PWN格式化字符串漏洞
WateranFire的博客
07-19 769
漏洞使用:     1.泄露canary之类的信息     2.修改特定地址的内容 hints:      1.当需要表示第N个参数时,可以通过"%N$llx"的方法实现;      2.当利用%n修改数据时,如果数据较大,可以前面利用"%099999d"来构造。  ...
PWN-格式化字符串漏洞
GalaxySpaceX的博客
08-28 1315
PWN-格式化字符串漏洞
[PWN]——格式化字符串漏洞(包含几种解题方法)
ysy___ysy的博客
01-19 4735
如果要自己采用"%x$n"的方式手动构造payload容易出错,所以使用pwntools中的FmtStr格式化字符串类来解决格式化字符串漏洞比较方便做题。如果有什么错误的地方请师傅们告诉我一下。本文制作不易,盗版必究。
【Web狗自虐系列2】Pwn入门之格式化字符串漏洞
就这样吧
07-24 1156
格式化字符串(Fromat String):在编码过程中,允许编码人员通过特殊的占位符,将相关对应的信息整合或提取的规则字符串格式化字符串包括格式化输入和格式化输出 以printf()为例,第一个参数就是格式化字符串:“字符串 %s, 整数 %d, 浮点数 %f”,然后printf函数会根据这个格式化字符串来解析对应的其他参数%d /// 十进制-输出十进制整数%s /// 字符串-从内存中读取字符串%lx /// 十六进制-输出十六进制数。
pwn学习笔记(5)--格式化字符串漏洞(未完全完成)
qq_66013948的博客
03-05 1564
格式化字符串函数可以接收可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数格式化字符串函数格式化字符串[后续参数]
[CTF]PWN--手搓格式化字符串漏洞
2301_79880752的博客
02-19 1566
而是,原来我们修改了的其实是0x7f1与0x7f2里的东西,那后面我们就需要修改0x7f3与0x7f4里的东西,因此我们+2的意思就是将原来的0x7f1+2,修改成0x7f3,这样,我们在修改的时候改的就是0x7f3与0x7f4里的东西了(思路是这样的,一个栈地址一共八个字节,我们需要将要修改的地址和被修改的地址每两个字节对应的修改,直到最后将所以字节都修改成我们需要的地址。修改最高二位的时候也是一样的,由于栈里面的地址与libc里面的地址一般都只占6个字节,因此,我们只需要进行三次修改即可。
BUUCTF-PWN刷题记录-18(格式化字符串漏洞
weixin_44145820的博客
05-08 1957
目录xman_2019_format(字符串位于堆上)hitcontraining_playfmt(字符串位于bss)wustctf2020_babyfmt xman_2019_format(字符串位于堆上) 一道格式化字符串题目,但是只有一次输入机会,但是有多次利用机会,每次利用使用‘|’隔开 我们先看一下栈的情况 经过多次调试,可以发现返回地址最低一个16进制位一定为0xC,我们只需要爆破倒数第二个16进制位就能得到指向返回地址的栈上地址 Exp: from pwn import * #r =
格式化字符串漏洞
2301_79215333的博客
03-19 1613
格式化字符串函数是根据格式化字符串来进行解析的。对于这样的例子,在进入 printf 函数的之前 (即还没有调用 printf),栈上的布局由高地址到低地址依次如下在进入 printf 之后,函数首先获取第一个参数,一个一个读取其字符会遇到两种情况如果没有字符,报错如果下一个字符是 %, 输出 %否则根据相应的字符,获取相应的参数,对其进行解析并输出那么假设,此时我们在编写程序时候,写成了下面的样子此时我们可以发现我们并没有提供参数,那么程序会如何运行呢?
PWN-scanf函数的格式化字符串漏洞利用
T_aXin的博客
07-08 2435
栈帧销毁时栈上的数据并不会被清除,只是改变了寄存器rbp和rsp的位置而已,所以栈上还保留了之前printf函数执行时产生的canary,可以通过抬栈的方式将变量v1指向之前产生的canary,然后利用scanf的格式化字符串漏洞printf函数泄露canary即可。(\x20相当于回车)此时rax与rdi指向的就是变量v1在栈上的分布,其内容就是canary,然后输入字符或字符串使程序识别不到双精度浮点数,所以不会对栈上的数据进行覆盖,然后再用printf函数就可以输出canary的内容了。
pwn 格式化字符串漏洞及例题
limenzzz的博客
10-21 2180
一些输出函数例如printf,sprintf都接受参数输入,例如printf("%d",s)。但如果在编写函数时为方便写为printf(s),则可通过对s输入的构造来执行一些操作。 在其中常见的有通过-%p %08x等参数来查看偏移值,简单来说,就是输入的值存在于栈的哪个地方。
CTFshow PWN 格式化字符串漏洞pwn10
Rt1Text的博客
03-27 789
checksec+运行 就是这个样子 确实还需要学习啊 KEEP LEARNING!!!!!! 32位 NX保护 ida进行中 if num == 16 即可cat flag 那么修改变量的值 明显的格式化字符串漏洞 确定参数位置 第7个 num跟进去 address=0x804A030 准备exp from pwn import* p=process('./pwn10') num_addr=0x804A030 payload=p32(num_add..
pwn刷题num15----格式化字符串漏洞
tbsqigongzi的博客
04-22 390
攻防世界pwn进阶区实时数据监测 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位,小端序 开启部分RELRO—got表仍可写 未开启canary保护—存在栈溢出 开启NX保护----注入的shellcode不可执行 未开启PIE----程序地址为真实地址 动态链接 ...
CTF(pwn)-格式化字符串漏洞讲解(一)
半岛铁盒的博客
02-25 945
一、基本介绍 格式化字符串漏洞在通用漏洞类型库CWE中的编号是134,其解释为“软件使用了格式化字符串作为参数,且该格式化字符串来自外部输入”。会触发该漏洞的函数很有限,主要就是printf、sprintf、fprintf等print家族函数。 printf()函数的一般形式为printf(“格式化字符串”,参数…),其第一个参数就是格式化字符串,用来告诉程序以什么格式进行输出。 它的参数是由格式化说明符与字符串组成的,通过格式化说明符来规定参数用什么格式输出内容。 格式化说明符有这些: %d - 十进制
pwn学习】格式化字符漏洞
Morphy_Amo的博客
12-29 6641
文章目录什么是格式化字符漏洞格式化字符串函数格式化字符串利用泄露内存例题 利用格式化字符串漏洞获取libc基址覆盖内存栈地址覆盖小数覆盖大数覆盖轮子 什么是格式化字符漏洞 格式化字符串函数可以接受可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数。通俗来说,格式化字符串函数就是将计算机内存中表示的数据转化为我们人类可读的字符串格式。几乎所有的 C/C++ 程序都会利用格式化字符串函数来输出信息,调试程序,或者处理字符串。一般来说,格式化字符串在利用的时候主要分为三个部分。 格式化字符串
格式化字符串漏洞 pwn
最新发布
03-31
### 格式化字符串漏洞 PWN 的利用与防御 #### 漏洞原理概述 格式化字符串漏洞源于程序未正确验证输入参数,允许攻击者通过控制传递给 `printf` 或其他格式化函数的参数来访问或修改内存中的数据[^1]。 #### 利用方式分析 1. **获取敏感信息** 攻击者可以通过格式化字符串漏洞读取堆栈上的内容,进而泄露程序内部状态或其他重要信息。例如,使用 `%x` 系列占位符可以逐字节打印堆栈中的值[^2]。 2. **覆盖目标地址** 借助特殊格式化字符(如 `%n`),攻击者能够实现对指定内存位置的写操作。具体而言,当程序调用了类似 `printf(user_input)` 而不加任何过滤时,恶意构造的输入可定位到特定变量并更改其数值[^3]。 3. **绕过保护机制** 在某些情况下,即使启用了现代防护技术(如 ASLR 地址空间布局随机化),如果存在此类型的缺陷,则仍可能被用来计算实际加载基址从而突破限制。比如通过泄漏 libc 库中某个已知偏移量对应的绝对地址反推出整个库映射范围[^4]。 #### 防护策略建议 为了有效防范上述风险,可以从以下几个方面着手: 1. **严格校验用户输入** - 对所有来自外部的数据都应进行全面检查,在将其作为格式说明符传入前确认合法性。 - 使用更安全版本的标准 I/O 函数替代原始形式;例如采用带长度限定参数的方法代替传统无界接口。 2. **启用编译器优化选项** - GCC 提供了专门针对此类问题的支持功能——开启 `-Wformat-nonliteral` 和 `-D_FORTIFY_SOURCE=2` 编译标志可以帮助检测潜在隐患,并阻止运行期非法行为发生。 3. **隔离关键资源管理逻辑** - 将涉及敏感操作的部分单独封装起来并与其余部分保持距离,减少暴露面的同时也便于集中精力加强这部分的安全保障级别。 ```python def safe_printf(format_string, *args): try: formatted_output = format_string % args # Safe usage with explicit arguments. print(formatted_output) except TypeError as e: print(f"Error occurred while formatting string: {e}") safe_printf("%s is %d years old.", "Alice", 25) ``` 以上代码片段展示了如何以一种较为稳妥的方式运用 Python 中类似的字符串插值特性,避免直接拼接未经审查的内容进入最终呈现层。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值