[pwn]格式化字符串全自动exp！！！

最新推荐文章于 2025-11-03 08:08:14 发布

原创

最新推荐文章于 2025-11-03 08:08:14 发布 · 3.1k 阅读

55 ·

CC 4.0 BY-SA版权

文章标签：

#pwn #格式化字符串 #ctf

前言

格式化字符串一把梭真的好爽！！！！！！

再也不用绞尽脑汁去gdb调试多少个字节和几位了！！

呜呜呜，花了一个通宵把这一系列搞定，喜极而泣，特此记录

以前的我做这类题心理状态：
在这里插入图片描述
现在的我：

总之就是非！常！爽！

这里我用的例题是 [第五空间2019决赛] 里的pwn5，考察到的知识是单纯的格式化字符串。

格式化字符串原理及利用

原理就不赘述啦，详情参考ctfwiki上的内容
或者搜索下，其他很多大佬写的文章都超级棒！！

利用的话，如下：
利用格式化字符串的漏洞，一般会有如下几种操作：

泄露栈内存
    获取某个变量的值
    获取某个变量对应地址的内存
泄露任意地址内存
    利用GOT表得到libc函数地址，进而获取libc，进而获取其它libc函数地址
    盲打，dump整个程序，获取有用信息

pwntools中自带的格式化字符串漏洞函数

做题的时候容易遇到两个问题：

找不到偏移量是多少，也就是%n$x中的n为多少
写入指定地址用%n构造字节数要算的很累，而且容易算错

然后！为了解决这两个问题我翻了好久，总算翻到了点好用的！
在这里插入图片描述

一、针对第一个找不到偏移量的问题

	pwntools自带了FmtStr函数，使用方法如下：


def exec_fmt(pad):
	p = process("./fmt")

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

mid2dog

关注关注

9
点赞
踩
55

收藏

觉得还不错? 一键收藏
5
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

pwn 学习笔记 格式化串计算偏移量

SsMing的博客

08-15

5361

学习参照:https://ctf-wiki.github.io/ctf-wiki/pwn/fmtstr/fmtstr_exploit/ 利用%s泄露libc函数的got表内容 addr%k$s可以用来泄露指定地址的内容，但要先确定k的值，可控制的格式化字符串参数是函数第几个参数（k+1），减一就是格式化字符串的第几个参数(k)。利用 [tag]%p%p%p%p%p%p%p%p%p%p来确...

pwn题一把梭工具源代码part1

cyy001128的博客

04-15

1491

这个工具说实话不是很好用，之前在某🐟上看到还要卖10块钱，现在公众号发了开源了，一开始尝试了几个签到题都没有跑出来，拿原本的测试文件发现没问题，找了五六题才发现一个可以用的，确实可以一把梭，但是没那么全面吧，就想着看看那个源码分析一下，说不定后期可以自己改改，搞一个更好的工具，由于这个代码太长了2400行之多，这里就分段理解一下前面的检查机制，后续还会看看攻击阶段能不能改一下。的 gadget，说明副作用多，需要额外控制寄存器，用other_rdi_registers标记副作用。

5 条评论您还未登录，请先登录后发表或查看评论

6 条评论

tttjhgan 2025.02.03
实战不成立啊打不通
- 倦鸟叫了一整天回复tttjhgan 2025.06.19
  不能用吗

ln不是In 2022.03.19
师傅，能拿你的教别人吗？
- mid2dog回复ln不是In 2022.04.24
  哈哈哈可以呀

盼盼编程 2021.05.16
不错

LaoYuanPython 2021.05.14
有幸看到博主刚出的博文！

Pwn 与逆向工程：AI 辅助漏洞利用与混淆代码还原

ice_55的博客

10-16

1142

AI重构攻防分析：Pwn与逆向工程新范式 2025年CTF数据显示，AI工具使Pwn与逆向工程解题效率提升47%。本文解析AI在漏洞利用和代码还原中的关键应用： Pwn自动化：HAEPG框架实现堆漏洞利用生成，通过符号化堆建模自动计算tcache布局，DEF CON真题中内核UAF利用周期从4小时压缩至30分钟；逆向工程：Binary Ninja AI插件自动解耦LLVM流程平坦化，HumanifyJS将JS反混淆耗时从小时级降至分钟级，还原变量名符合人类习惯；工具革新：AI完成漏洞定位、利用链构建、控

112_脚本自动化：使用Python构建高效工具集

11-03

950

在信息安全领域，自动化脚本是提高工作效率、减少重复劳动的重要工具。无论是漏洞扫描、数据分析、网络监控还是安全审计，自动化脚本都能帮助安全专业人员快速完成任务，腾出更多时间进行深度分析和策略制定。

pwn_exp:pwn exps

04-19

pwn_exp pwn exps

Server-Auto-Pwn:自动Web服务器漏洞扫描程序和漏洞利用程序

05-09

服务器自动拥有 SAP为漏洞利用程序提供了一个平台，可以轻松创建该漏洞利用程序，并将其与从shellcode到jsp的各种不同有效负载一起使用，几乎可以与任何漏洞利用程序一起使用。此外，通过多阶段的shell处理程序，它还可以利用被攻击的机器提供可靠的tty shell。

pwn - 格式化字符串攻击

Schwarzer

07-22

2153

前言日前入门pwn，粗浅学习了写shellcode，rop，栈溢出攻击，后面遇到了fmtstr，把我头搞炸了，决定好好学习一下

pwn100题目文件及exp.zip

08-09

栈溢出漏洞，没有system函数下需要使用DynELF函数来泄漏函数地址，本资源是利用read和puts函数来进行泄漏

【Web狗自虐系列2】Pwn入门之格式化字符串漏洞

就这样吧

07-24

1206

格式化字符串（Fromat String）：在编码过程中，允许编码人员通过特殊的占位符，将相关对应的信息整合或提取的规则字符串。格式化字符串包括格式化输入和格式化输出以printf()为例，第一个参数就是格式化字符串：“字符串 %s, 整数 %d, 浮点数 %f”，然后printf函数会根据这个格式化字符串来解析对应的其他参数%d /// 十进制-输出十进制整数%s /// 字符串-从内存中读取字符串%lx /// 十六进制-输出十六进制数。

[CTF]PWN--手搓格式化字符串漏洞

2301_79880752的博客

02-19

1710

而是，原来我们修改了的其实是0x7f1与0x7f2里的东西，那后面我们就需要修改0x7f3与0x7f4里的东西，因此我们+2的意思就是将原来的0x7f1+2，修改成0x7f3，这样，我们在修改的时候改的就是0x7f3与0x7f4里的东西了（思路是这样的，一个栈地址一共八个字节，我们需要将要修改的地址和被修改的地址每两个字节对应的修改，直到最后将所以字节都修改成我们需要的地址。修改最高二位的时候也是一样的，由于栈里面的地址与libc里面的地址一般都只占6个字节，因此，我们只需要进行三次修改即可。

pwn-格式化字符串的刷题记录（未完待续）

m0_75234353的博客

05-11

895

发现canary和RELRO部分开。

pwnchain:PwnChain是一种以自动化方式级联不同工具的工具

03-31

密码链简介和目标 PwnChain是一种以自动化方式级联不同工具的工具。具有指定输入和输出域的模块以树形结构链接以完成特定任务。该应用程序专为渗透测试序列的自动化而设计。但是，该应用程序旨在具有足够的灵活性，以用于按顺序处理不同的相互依赖的CLI工具的任何情况。 PwnChain使用.json配置文件来确定应以某种方式执行哪些工具，并使用正则表达式解析工具的输出以用作后续工具的输入。其目标是易于定制以完成不同的重复任务。警告 PwnChain按照配置文件的指示执行shell命令。永远不要使用您不完全了解的配置文件。用法 PwnChain可以在任何可用Python3的地方执行 python3 pwnchain config 要不就 pwnchain config 如果/usr/bin/env在您的系统上可用。您可以使用-h或--help选项来显示各种可用的命令行选项

pwn格式化字符串漏洞小结

PLpa的博客

11-30

2754

格式化字符串漏洞 0x00.前言在pwn中，格式化字符串漏洞是一个非常基础的漏洞，他通常穿插在各种漏洞之中。比如，当程序开了PIE保护时，在栈溢出之前，我们先可以运用格式化字符串漏洞获取栈中的信息；通过格式化字符串漏洞的任意地址写，我们可以把栈帧劫持到堆地址上；我们甚至可以直接通过任意地址写，劫持got表，实现getshell…… 总而言之，格式化字符串漏洞虽然在目前市面上的软件中比较难以看到，...

PWN exp.py 开头

weixin_63360138的博客

02-26

498

【代码】PWN exp.py 开头。

pwn学习-简单exp的编写

qq_39153247的博客

08-16

6545

不太喜欢写博客，水平有限见谅。记录一些关于pwntools的简单用法 exp是exploit的简写，可不是experience。 0x00. 下载pwntools: 现在需要sudo pip install pwntools就可以了（linux环境下，且环境应该是2.7）安装好之后你就也拥有了checksec 查看当前ELF文件的保护情况以及ROPgadget 可以...

正则表达式之(exp),(?:exp),(?=exp) 理解

极客神殿

08-02

7891

先澄清下如下俩个概念： 1、分组（或捕获组）分组的定义正则表达式通过使用括号将表达式分为不同的分组，识别的方法是通过从左至右搜寻左半括号，遇到第一个左半括号时，则该左半括号与对应的右半括号所包含的内容即为第一分组，以此类推。例如，在表达式((A)(B(C)))，有四个这样的组：((A)(B(C)))、(A)、(B(C))、(C) 分组存在意义向后引用：在第i个分组中被匹配...

[第五空间2019 决赛]PWN5 | BUUCTF | 格式化字符串 | 计算偏移量

Dem1的博客

04-09

942

正经wp from pwn import* p=remote("node4.buuoj.cn",29506) bssaddr = 0x804c044 #binaddr = 0x0804932F #1 #payload = 'aaaa-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x-%x' ## aaaa-ffb14fe8-63-0-ffb1500e-3-c2-f7e9791b-ffb1500e-ffb1510c-61616161-2d78252d-252d78

接上一篇的pwn题，exp解析及pwntools相关使用。

qq_43474199的博客

09-26

1441

from pwn import * from LibcSearcher import * context(log_level='debug') #offset=32 sh=process('./pwn1.bak') elf=ELF('./pwn1.bak') #gdb.attach(sh,'b *0x400e9d') sh.recvuntil("choice:") sh.sendline('1'...

BUUCTF pwn题exp整合

菜的只能随便写写博客

02-29

753

0x01 rip from pwn import* p = remote('node3.buuoj.cn',27511) payload = 'a'*23+p64(0x401198)+p64(0x401186) p.sendline(payload) p.interactive() 0x02 warmup_csaw_2016 from pwn import * #p = proces...