PWN 200格式化字符串漏洞的示例分析

PWN 200格式化字符串漏洞的示例分析，相信很多没有经验的人对此束手无策，为此本文总结了问题出现的原因和解决方法，通过这篇文章希望你能解决这个问题。格式化字符串漏洞原理
pwn题中，有形如下述代码的形式就是格式化字符串漏洞也许使用者的目的只是直接输出字符串，但是这段字符串来源于可控的输入，就造成了漏洞。示例程序如下编译：gcc -m32 -o str str.c输入%2$x原因是如果直接printf(“占位符”)这种形式，就会把栈上的偏移当做数据输出出来。通过构造格式化串，就可以实现任意地址读和任意地址写。事实上，我们在scanf(或者read)来输入字符串的时候，字符串就已经在栈中了，如图，可以看出偏移为6。如果我们构造出addr(4字节)%6$s，就能读取这个地址的值了。我们尝试一下，输入AAAA%6$s，当然不可能真的读到地址为41414141的内存值，不过从下图我框起来的内容就知道，如果我们输入一个合法的值，就可以读了。和上面的任意地址读是同理的，只不过利用了格式化字符串的一个比较冷门的特性，%n。这个占位符可以把它前面输出的字符的数量，写入指定的地址。比如val的值就被改变为3，我们一般都用pwntools自带的fmt_str来生成格式化串offset表示要覆盖的地址最初的偏移size表示机器字长addr表示将要覆盖的地址target表示我们要覆盖为的目的变量值形如
找到格式化字符串漏洞tips1查看本机ASLRso地址变动，确定本机开启了aslr关闭ASLRecho 0 > /proc/sys/kernel/randomize_va_space确认关闭看到printf(&buf)之后read(buf)atoi(buf)所以我们的思路就是：利用格式化字符串漏洞的任意地址读，先leak出puts函数的地址puts_addr。利用格式化字符串漏洞的任意地址写，去将atoi函数在got.plt表中的地址改为system函数的地址，然后通过read去控制buf，传入”/bin/sh”，构造出system(“bin/sh”),获取shell。关于覆盖got表，不知道为什么的话，参考下面的文章。 https://www.jianshu.com/p/0ac63c3744ddhttp://rickgray.me/use-gdb-to-study-got-and-plt任意地址读：https://ctf-wiki.github.io/ctf-wiki/pwn/fmtstr/fmtstr_exploit.html调试找到puts的地址在栈中的位置。在gdb中调试（这里我使用了gef插件），可以看出地址在7个参数（仔细分析一下AAAA%7$x，把AAAA换掉就是地址，把%x换成%s就可以打印出内容)libc.symbols[‘system’] – libc.symbols[‘puts’] + u32(puts_addr)覆盖got表中atoi的内容为system地址输出为这就告诉我们，%n可以把其前面输出的字符个数，写入&val指向的地址。如果还不理解的话可以参考：https://ctf-wiki.github.io/ctf-wiki/pwn/fmtstr/fmtstr_exploit.htmlhttp://www.cnblogs.com/Ox9A82/p/5429099.html之前我们已经调试过了”AAAA”就在第7个参数，所以只需构造{addr}{适当的写入值}{%7$n}即可。这里pwntools提供了fmtstr_payload函数来自动生成格式化串。fmtstr_payload(参数偏移,{xxx_got_addr: system_addr})在CTF中，一般使用格式化字符串漏洞的任意地址读来leak出某函数的got表地址，然后计算出system的地址。再通过任意地址写的功能，来覆盖got表，从而调用syst免费云主机域名em(‘bin/sh’)来getshell。看完上述内容，你们掌握PWN 200格式化字符串漏洞的示例分析的方法了吗？如果还想学到更多技能或想了解更多相关内容，欢迎关注云编程开发博客行业资讯频道，感谢各位的阅读！

相关推荐: 浅谈数据库防火墙技术及应用

数据库防火墙仿佛是近几年来出现的一款新的安全设备，但事实上历史已经很长。2010年，Oracle公司在收购了Secerno公司，在2011年2月份正式发布了其数据库防火墙产品（database firewall)，已经在市场上出现很多年头了。 由于数据库防火墙…