格式化字符串类盲pwn的dump方法

已于 2022-05-25 00:21:39 修改
阅读量747 收藏 4
点赞数
CC 4.0 BY-SA版权
分类专栏: blind pwn 文章标签: pwn 安全 网络安全
于 2022-04-11 19:40:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_46483787/article/details/124099384
本文介绍了在遇到盲pwn题目,特别是存在格式化字符串漏洞但无法获取二进制文件时,如何通过dump方法获取程序内容进行分析。通过示例和步骤解析,展示了如何确定_start地址,利用%n$p指令读取内存,以及如何判断dump结束,从而帮助解决此类安全挑战。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

有一类题目,不会给任何文件,只给一个ip和端口,这种称为blind pwn(盲pwn),如果这类pwn存在格式化字符串漏洞的话,可以通过一些手法拿到整个二进制程序,这对我们的逆向分析和解题是十分重要的,举个例子:

在2022年的Insomni’hack teaser比赛上,有一道题CovidLe$s,就是一道盲pwn,输入什么就回显什么,但是存在格式化字符串漏洞,并且应该是栈上的,通过不断的尝试是可以大致猜测出栈结构的:
在这里插入图片描述
从偏移12开始是栈上的缓冲区,29那里是canary,31是返回地址,根据后三位可以猜到libc大版本

但是到这里也就结束了,无法继续推进了,此时就需要用到接下来将要介绍的方法,将整个程序dump下来才能继续分析

首先来看看dump下来的文件:
在这里插入图片描述

可以看到虽然不是很完整,但是大致的逻辑结构是能看到的,如果不dump下来的话,就不可能拿到这道题目的密钥,也就不可能做出来这道题,所以有些时候dump文件是必要的

dump的原理其实也很简单,其实就是利用格式化字符串的%n$p这类指令进行任意地址读

由于比赛已经结束,端口已经关闭,所以我们来自己写一个小demo:

#include<stdio.h>
#include<stdlib.h>
int main()
{
   
   
	setbuf(stdin, 0LL);
        setbuf(stdout, 0LL);
	setbuf(stderr, 0LL);
	char s[0x100];
	memset(s,0,0x100);
	while(1)
	{
   
   
		read
最低0.47元/天 解锁文章

200万优质内容无限畅学
pwn入门--格式化字符串
yjh_fnu_ltn的博客
07-11 1053
gdb中格式化字符串在栈上的位置的,就是偏移。
格式化字符串
m0_49959202的博客
10-29 896
文章目录格式化字符串1.原理1.1 格式化字符串介绍1.1.1 格式化字符串函数1.1.2 格式化字符串1.1.3 参数1.2 32位格式化字符串漏洞基本原理1.3 32位格式化字符串利用思路1.3.1 利用1:程序崩溃1.3.2 利用2:泄露内存1.3.2.1 泄露栈内存1.3.2.1.1 获取栈变量数值1.3.2.1.2 获取栈变量对应字符串1.3.2.2 泄露任意地址内存1.3.3 利用3:覆盖内存1.3.3.1 覆盖栈内存1.3.3.2 覆盖任意地址内存1.3.3.2.1 覆盖为小数字1.3.3.3
pwn格式化字符串
最新发布
rjc20051110的博客
03-29 1102
###将s覆盖为目标变量c的地址 由于p32(c)是4字节 再填充12个a 以达到输出16个字节的目的 然后%6$n会将输出的个数也就是16覆盖的第7个参数的位置 而此位置此时已经覆盖上了c的地址 这就成功把16覆盖的c中。表示我们的填充内容,overwrite addr 表示我们所要覆盖的地址,overwrite offset 地址表示我们所要覆盖的地址存储的位置为输出函数的格式化字符串的第几个参数。因为我们的格式化字符串是%p,他会根据站上的位置以16位的形式以此解析栈地址上存的数据。
[pwn] 7.格式化字符串
H4ppyD0g的博客
09-01 726
a
noxCTF-pwn1-格式化字符串
Peanuts
09-09 639
格式化字符串 额额博客爆炸。。之前写的都没了懒得再写一遍了太坑了这博客就发个wp吧,过程就是远程泄漏ret地址,因为没有开alsr from pwn import * context.log_level='debug' elf = ELF('./believeMe.dms') libc = elf.libc p = remote('18.223.228.52',13337) #p = pr...
Pwn 学习 格式化字符串
MrTreebook的博客
08-19 1815
每一种 pattern 的含义请具体参考维基百科的格式化字符串。以下几个 pattern 中的对应选择需要重点关注。可以看到%10p的作用是直接打印第十个%p位置上的指针内容。通过格式化字符串可以无限泄露栈上的数据。
Pwn 学习 fmt_str_level_1_x86 格式化字符串
MrTreebook的博客
09-07 1350
【代码】Pwn 学习 fmt_str_level_1_x86 格式化字符串。
格式化字符串漏洞
2301_79215333的博客
03-19 1641
格式化字符串函数是根据格式化字符串来进行解析的。对于这样的例子,在进入 printf 函数的之前 (即还没有调用 printf),栈上的布局由高地址到低地址依次如下在进入 printf 之后,函数首先获取第一个参数,一个一个读取其字符会遇到两种情况如果没有字符,报错如果下一个字符是 %, 输出 %否则根据相应的字符,获取相应的参数,对其进行解析并输出那么假设,此时我们在编写程序时候,写成了下面的样子此时我们可以发现我们并没有提供参数,那么程序会如何运行呢?
PWN · 格式化字符串|劫持fini_array|劫持got表】[CISCN 2019西南]PWN1
Mr_Fmnwon的博客
01-22 2381
如果存在格式化字符串,保护机制开的不健全,通常可以劫持got表,构造后门函数。然而,如果不存在循环、栈溢出控制rop等方式,如果格式化字符串漏洞点正常来说只能执行一次,getshell是比较困难的。不过,linux下的二进制程序,在最后退出时,总会执行一些清扫函数,其中涉及到了fini_array这个数据结构。一、fini_array通过利用fini_array部署并启动ROP攻击 | TaQini-优快云博客简单来说,fini_array数组存放了函数指针,在退出时,会进行调用。
菜鸟PWN手进阶之格式化字符串
re1wn
01-05 6585
菜鸟PWN手进阶之格式化字符串
[pwn]格式化字符串:0ctf 2015 login writeup
Breeze的博客
09-26 9434
文章目录格式化字符串:0ctf 2015 login writeup格式化字符串漏洞题目分析利用思路开始利用 格式化字符串:0ctf 2015 login writeup 格式化字符串漏洞 格式化字符串漏洞是不正确的使用printf函数导致的,为了简便使用printf(s),而s是用户可控的字符串,就会导致任意地址读和任意地址写漏洞。**归根结底,由于printf的参数个数是不确定的,而函数本身根...
pwn学习-格式化字符串的利用
WocW的博客
03-08 2264
覆盖栈内存 所用例子 /* example/overflow/overflow.c */ #include &lt;stdio.h&gt; int a = 123, b = 456; int main() { int c = 789; char s[100]; printf("%p\n", &amp;c); scanf("%s", s); printf(s); if...
PWN入门(8)格式化字符串漏洞
Ba1_Ma0的博客
09-26 1004
pwn"这个词的源起以及它被广泛地普遍使用的原因,源自于魔兽争霸某段讯息上设计师打字时拼错而造成的,原先的字词应该是"own"这个字,因为 ‘p’ 与 ‘o’ 在标准英文键盘上的位置是相邻的,PWN 也是一个黑客语法的俚语词,是指攻破设备或者系统。发音类似"砰”,对黑客而言,这就是成功实施黑客攻击的声音,而在ctf比赛里,pwn是对二进制漏洞的利用下载这个github库,进入07文件夹还是和上一篇文件一样,设置文件权限,将flag设置位只能root可读设置程序位suid位。
pwn格式化字符串漏洞小结
PLpa的博客
11-30 2707
格式化字符串漏洞 0x00.前言 在pwn中,格式化字符串漏洞是一个非常基础的漏洞,他通常穿插在各种漏洞之中。比如,当程序开了PIE保护时,在栈溢出之前,我们先可以运用格式化字符串漏洞获取栈中的信息;通过格式化字符串漏洞的任意地址写,我们可以把栈帧劫持到堆地址上;我们甚至可以直接通过任意地址写,劫持got表,实现getshell…… 总而言之,格式化字符串漏洞虽然在目前市面上的软件中比较难以看到,...
pwn 格式化字符串漏洞及例题
limenzzz的博客
10-21 2203
一些输出函数例如printf,sprintf都接受参数输入,例如printf("%d",s)。但如果在编写函数时为方便写为printf(s),则可通过对s输入的构造来执行一些操作。 在其中常见的有通过-%p %08x等参数来查看偏移值,简单来说,就是输入的值存在于栈的哪个地方。
PWN基础5:格式化字符串漏洞(一) 概述 及 调试
prettyX的博客
07-09 810
漏洞概述 在C语言中,常用的输出函数有printf、fprintf、vprintf、vfprintf、sprintf等。对于这些输出函数,Format String是其第一个参数,一般称之为格式化字符串 格式化字符串在输出函数中的解析过程: ...
pwn格式化字符串的浅显理解
javagty6778的博客
03-19 295
这时候可以输入格式化字符 %d,%p等控制函数的输出。2.### 简单解释格式化字符串原理1.这是两段程序的源码:* 1️⃣。2.对应的汇编代码:* 1️⃣。
pwn学习笔记(5)--格式化字符串漏洞(未完全完成)
qq_66013948的博客
03-05 1635
格式化字符串函数可以接收可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数格式化字符串函数格式化字符串[后续参数]
PWN学习之格式化字符串及CTF常见利用手法
蚁景网安学院
02-18 1490
格式化字符串漏洞是一种常见的安全漏洞类型。它利用了程序中对格式化字符串的处理不当,导致可以读取和修改内存中的任意数据。格式化字符串漏洞通常发生在使用 C 或类似语言编写的程序中,其中 printf、sprintf、fprintf 等函数用于将数据格式化为字符串并进行输出。当这些函数的格式字符串参数(比如 %s、%d等)由用户提供时,如果未正确地对用户提供的输入进行验证和过滤,就可能存在格式化字符串漏洞。
可以具体讲解下 pwngdb 的使用方法或指导
03-04
<think>好的,用户现在想了解pwndbg的具体使用方法或者指导。之前他们遇到了安装问题,现在安装解决了,需要学习如何使用这个工具。首先,我需要确定用户对pwndbg的了解程度,可能他们刚开始接触,所以需要从基础开始讲解。 用户之前的问题是关于安装中的依赖和Python版本问题,现在转向使用,可能需要一些入门指南。pwndbg作为GDB的增强插件,主要用于二进制分析和漏洞利用开发,所以应该涵盖基本命令、内存查看、断点设置、漏洞利用辅助功能等。 需要结构清晰,分步骤介绍。可能需要包括安装后的验证、常用命令、实战例子,比如栈溢出分析,以及高级功能如ROP链构造。同时,用户可能对如何调试特定类型的漏洞感兴趣,比如堆溢出或格式化字符串漏洞,所以需要举一些例子。 还要注意用户的系统环境,可能他们使用的是Ubuntu或其他Linux发行版,需要确保命令的兼容性。另外,用户可能对如何结合其他工具(如pwntools)感兴趣,可以提到一些整合方法。 最后,需要检查是否有遗漏的重要功能,比如自定义配置、插件扩展,或者常见问题解答。确保用户能够顺利开始使用,并在遇到问题时知道如何查找帮助,比如官方文档或社区资源。</think>以下是 pwndbg 的详细使用指南,涵盖核心功能和实战技巧: --- ### **一、基础环境验证** ```bash gdb -q ./target_binary # 启动后应显示 pwndbg> 提示符 pwndbg> version # 查看 pwndbg 版本 ``` --- ### **二、核心功能速查表** #### **1. 内存可视化** | 命令 | 功能说明 | 示例 | |---------------------|-----------------------------------|-------------------------------| | `vmmap` | 显示内存映射 | `vmmap` | | `telescope <地址>` | 递归解析指针链 | `telescope $rsp` | | `hexdump <地址>` | 十六进制+ASCII显示内存 | `hexdump $rip 32` | | `search <字符串>` | 内存搜索 | `search "/bin/sh"` | #### **2. 断点管理** ```bash b *main # 主函数入口断点 b *0x400500 # 地址断点 b fopen if $rdi==0 # 条件断点 watch *(int*)0x7fffffffdc # 硬件观察点 ``` #### **3. 寄存器/堆栈操作** ```bash context regs # 显示寄存器上下文 stack 20 # 显示堆栈顶部20个条目 set $rip=0x401000 # 强制修改指令指针 ``` --- ### **三、漏洞利用实战示例** #### **案例:栈溢出漏洞分析** 1. **定位溢出点** ```bash pattern create 200 # 生成定位字符串 r < input.txt # 触发崩溃 context regs # 查看覆盖的寄存器值 pattern search $rsp # 计算溢出偏移 ``` 2. **构造ROP链** ```bash rop --gadgets # 查找可用gadget rop --chain execve # 自动生成execve链 ``` 3. **调试shellcode** ```bash shellcraft -f hex amd64.linux.sh # 生成shellcode checksec # 检查保护机制 ``` --- ### **四、高级调试技巧** #### **1. 堆利用调试** ```bash heap bins # 显示堆管理结构 heap chunks # 列出所有堆块 vis_heap_chunks # 图形化堆布局 ``` #### **2. 格式化字符串漏洞** ```bash fmtarg 0x7fffffffdc0 # 检测格式化字符串参数位置 fmtstr-helper # 自动生成利用载荷 ``` #### **3. 与pwntools联动** ```python # exploit.py from pwn import * gdb.attach(p, gdbscript=''' b *vuln_func c ''') ``` --- ### **五、配置文件优化** 在 `~/.gdbinit` 中添加: ```bash set follow-fork-mode child set detach-on-fork off set print pretty on source /path/to/pwndbg/gdbinit.py ``` --- ### **六、常用调试工作流** 1. **自动化脚本** ```bash gdb -x exploit.gdb -q ./target ``` `exploit.gdb` 内容: ```bash b *main r < payload telescope $rsp 20 ``` 2. **崩溃现场分析** ```bash pwndbg> bt # 查看调用栈 pwndbg> x/10i $pc # 显示当前指令上下文 pwndbg> checksec # 检查安全机制状态 ``` --- ### **七、推荐学习路径** 1. 通过 `pwndbg> help` 查看完整命令列表 2. 实战练习:https://github.com/io12/pwninit 3. 官方文档:https://github.com/pwndbg/pwndbg/wiki > **提示**:结合 `gef` 或 `peda` 的混合使用可通过切换插件实现: ```bash pwndbg> gef # 临时切换至gef pwndbg> peda # 切换回peda模式 ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值