成都黑客网:非栈上格式化字符串缝隙使用技巧

访客5年前黑客工具480

成都黑客网:非栈上格式化字符串缝隙使用技巧

关于Linux栈上格式化字符串缝隙的运用网上已经有许多讲解了,但对错栈上的格式化字符串缝隙很少有人介绍。这儿首要以上周末SUCTF竞赛中playfmt标题为例,具体介绍一下bss段上或堆上的格式化字符串运用技巧。
 
0x01基础知识点
格式化字符串缝隙的具体原理就不再具体叙说,这儿首要简略介绍一下格式化参数方位的核算和缝隙运用时常用的格式字符。
参数方位核算
linux下32位程序是栈传参,从左到右参数次序为$esp+4,$esp+8,...;因此$esp+x的方位应该是格式化第x/4个参数。
linux下64位程序是寄存器加栈传参,从左到右参数次序为$rdi,$rsi,$rdx,$rcx,$r8,$r9,$rsp+8,...;因此$rsp+x的方位应该是格式化第x/8+6个参数。
常用的格式化字符
用于地址走漏的格式化字符有:%x、%s、%p等;
用于地址写的格式化字符:%hhn(写入一字节),%hn(写入两字节),%n(32位写四字节,64位写8字节);
%$type:直接效果第number个方位的参数,如:%7$x读第7个方位参数值,%7$n对第7个参数方位进行写。
%c:输出number个字符,合作%n进行恣意地址写,例如"%{}c%{}$hhn".format(address,offset)便是向offset0参数指向的地址更低位写成address。
 
0x02非栈上格式化字符串缝隙运用
​ 一般来说,栈上的格式化字符串缝隙运用过程是先走漏地址,包含ELF程序地址和libc地址;然后将需求改写的GOT表地址直接传到栈上,一同运用%c%n的 *** 改写入system或one_gadget地址,最终便是绑架流程。可是关于BSS段或是堆上格式化字符串,无法直接将想要改写的地址指针放置在栈上,也就没 *** 完成恣意地址写。下面以SUCTF中playfmt为例,介绍一下常用的非栈上格式化字符串缝隙的运用 *** 。
例题
标题阐明
程序缝隙点比较显着,直接写了一个循环的printf格式化缝隙,而输入的数据是存储在buf指针上,buf则是坐落bss段中地址为0x0804B040。
int do_fmt(void)
{
  int result; // eax
  while ( 1 )
  {
    read(0, buf, 0xC8u);
    result = strncmp(buf, "quit", 4u);
    if ( !result )
      break;
    printf(buf);
  }
  return result;
}
.bss:0804B040                 public buf
.bss:0804B040 ; char buf[200]
.bss:0804B040 buf             db 0C8h dup(?)    ; DATA XREF: do_fmt(void)+E↑o
查看一下程序的维护,可以发现敞开了RELRO,也便是无法改写GOT表,所以思路便是直接修正栈上的回来地址,return的时分绑架流程。

走漏地址
首要需求得到当时栈的地址和libc的基地址,这些地址可以很轻松的在栈上找到,其间esp+0x18寄存了栈地址,esp+0x20寄存了libc的地址,可以得到分别是第6个参数和第8个参数,直接传入%6$p%8$p即可得到栈地址和libc地址。

恣意地址写
这儿首要需求处理的便是怎么即将改写的地址放在栈上。完成恣意地址写需求依靠栈上存在一个链式结构,如0xffb5c308->0xffb5c328->0xffb5c358,这三个地址都在栈

相关文章

韩束适合什么年龄段的人使用( 韩束有哪些系列

韩束适合什么年龄段的人使用( 韩束有哪些系列

韩束是特别好的国货品牌,适合我们亚洲人的肤质,我没有想到,除正装三件套,还有那么多赠品,赠品有补水面膜,试用补水三件套,还有毛孔隐形试用礼盒,连粉底都有,特别感谢,特别惊喜,一次可以领略这么多产品,足...

网站快速收录的秘诀

网站收录是网站获取排名的先决条件!网站快速收录一直是很多做SEO优化朋友的一大难题,搜索引擎对网站的收录速度快慢不一,有的网站刚上线几天之内就会被搜索引擎收录,而有的网站上线过去好几个月了都不见收录,...

大四能找黑客修改大学成绩吗-黑客大会名字(中国黑客第一人叫什么名字

黑客怎么刷王者荣耀点卷黑客能破解微信账号吗(黑客解封游戏账号)黑客投影仪怎么样如何成为一名黑客(新人如何成为一名黑客)黑客如何锁住硬盘中医的劳淋是什么意思是什么(中医劳淋病)黑客如何知道别人的微信公信...

歌手罗琦个人资料简介(罗琦个人经历)

歌手罗琦个人资料简介(罗琦个人经历) 《我是歌手2》登录湖南台,徐涛、罗琦、雷寒、曹格、周笔畅、通用性、魏巍七位实力派歌手齐聚一堂。消失了近20年的摇滚歌手,让罗绮变成那天晚上的闪光点。做为中国摇滚...

如何自学黑客编程(如何自学黑客编程软件)

如何自学黑客编程(如何自学黑客编程软件)

顶级黑客如何假期自学编程 学习编程语言 编程是黑客必备的技能之一,初学者需要选择一门编程语言进行学习,比如Python、C++、Java等。可以通过在线课程、教程、书籍等方式学习,掌握编程基础和常用算...

在线工具:在线给GIF动图添加水印字幕-应景图

虽然现在种种浅易工具越来越多,然则许多基本要求的工具照样稀缺, 美图秀秀可以知足一样平常给静态图片的添加水印字幕,动图却很无力。 虽然有一些外国的在线工具站可以实现这些功效,然则由于网络等问题,...