格式化字符串任意地址写入、函数指针执行shellcode——攻防世界string复现及知识点简述

最新推荐文章于 2023-06-01 21:45:19 发布

1TreeForest

最新推荐文章于 2023-06-01 21:45:19 发布

阅读量1.2k

点赞数

CC 4.0 BY-SA版权

分类专栏：二进制安全文章标签：字符串 python 安全 linux windows

本文链接：https://blog.csdn.net/qq_37396476/article/details/108200474

本文复现了攻防世界string挑战，解析漏洞利用过程。通过分析发现，程序为64位且未开启PIE，利用点在于格式化字符串任意地址写入，以及利用函数指针执行shellcode。攻击者需动态调试确定参数位置，并构造特定格式字符串，最终成功执行shellcode。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

文章目录

原题复现——攻防世界string
要注意的小细节

原题复现——攻防世界string

漏洞分析

题目去除了符号表，简单分析即可还原函数功能，用ida改名即可

先进行基础检查，是64位程序，未开启PIE
main函数中会给出v3[0]和v3[1]的地址
游戏开始需要输入角色名称，无利用点
go_east函数，没有可以利用的地方，必须输east才能继续游戏
许愿函数，读入用户输入地址以及format，可以结合main函数给我们的地址进行任意地址写利用

最低0.47元/天解锁文章

200万优质内容无限畅学

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

1TreeForest

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

手戳shellcode编写第一课（动态函数地址调用函数）

啊渊的专栏

08-21

572

在程序免杀中，我们通常不会直接通过函数名称方式来调用函数，一般都是通过执行shellcode来执行我们需要的代码。如果直接将exe文件解析出来的shellcode会发现这些shellcode不能直接运行，因为函数地址调用的问题。因此我们需要动态获取函数地址来调用shellcode。为了了解shellcode的基础，我们先使用c++源码方式来学习，如果动态的获取函数地址，然后再使用汇编编写以下功能实现shellcode的完成编写。

格式化字符串漏洞详解(附BUUCTF习题）

最新发布

a12sj_的博客

02-12

1218

格式化字符串漏洞（Format String Vulnerability）是由于程序使用用户可控的输入作为格式化字符串参数（如、等函数）时未正确过滤导致的漏洞。攻击者可通过构造特殊格式字符串实现以下操作：内存泄露：读取栈或堆中的敏感数据（如密码、密钥）。内存覆盖：向任意地址写入数据（如劫持控制流、覆盖函数指针）。程序崩溃：通过非法内存访问导致拒绝服务（DoS）。关键机制：信息泄露（Memory Leak）目标：读取栈或堆中的敏感数据（如或地址）。示例： → 用户输入泄露栈内容。覆盖关键变量目

参与评论您还未登录，请先登录后发表或查看评论

格式化字符串漏洞：任意写

深度技术安全

02-05

517

linux pwn: 格式化字符串漏洞任意写

利用格式化字符串漏洞实现任意地址读写

个人笔记

06-01

5417

理解格式化字符串漏洞关键还是在于理解栈空间布局，任意地址写初学者接触到可能较为抽象，但是结合栈空间布局以及格式化字符串的原理，详细我们就能对格式化字符串有个更加清晰的认知。如果能够复现上述漏洞案例，那么恭喜你，已经完成了 pwn 格式化字符串漏洞这一旅程。

2019.11.3 unctf babyfmt （格式化字符串任意地址的读和写）

DSR446的博客

11-03

1826

i春秋的一篇关于格式化字符串文章把任意地址的读和写讲的很清晰： https://bbs.ichunqiu.com/thread-43624-1-1.html 方法一：先输入一个 %p 泄露出数组的首地址，再retn处下个断点，用返回地址减去数组的首地址，计算出他们之间的相对偏移。因为栈的地址每次都是变化的，所以我们每次都要泄露栈的地址，然后计算出返回地址。重要的步骤就是利用fmtstr_pa...

函数指针和shellcode

hambaga的博客

02-15

8230

有时候出于某种目的，我们不想直接调用函数。程序运行时函数会被加载，所以可以用一个整数来保存其地址，通过强制类型转换就可以完成通过整数来调用函数的目的。void func(void);//有一个函数 int address = (int)func;//用整数保存其地址 ((void(*)())address)();//通过地址调用func

CTF-ECHO-200格式化字符串漏洞+shellcode

BadRer的博客

06-01

2369

很开心有成功做了一道格式化字符串，这题我也不清楚是哪次比赛上的，漏洞还是十分的明显，格式化加个shellcode直接搞定。就是这算的比较麻烦一点。那么直接进入正题咯！开干！！首先拿checksec检查一遍(个人习惯哈) 可以看到，开了栈保护，但是NX disabled，说明堆栈可执行，直接上shellcode，也没有PIE。先试试水。应该有格式化漏洞。 IDA反汇

[SEEDLab]格式化字符串攻击(format string vulnerability)

HananoYousei的博客

06-09

6019

[SEEDLab]格式化字符串漏洞(Format String Vulnerability) 实验PDF链接 Introduction 格式化字符串漏洞是一个经典的漏洞，也是Pwn里面一个基础吧。他是由于C语言中的printf相关的函数导致的。printf相比大家都已熟悉，对于下面这个语句： printf("%d%d%d", a, b, c); 系统会将"%d%d%d"和后面的a, b, c三个...

shellcode之四：格式化串漏洞

AZURE

01-22

4184

声明：主要内容来自《The Shellcoder's Handbook》，摘录重点作为笔记并加上个人的一些理解，如有错，请务必指出。 格式化串漏洞当printf系列函数的格式化串里包含用户提交的数据时，有可能出现格式化串漏洞。攻击者可能提交许多格式化字符（但不提供对应的变量），这样栈上就没有和格式符相对于的参数，因此系统就会用栈上的其他数据代替这项参数，从而导致信息泄露和执行指

格式化字符串漏洞执行任意代码分析

小强的博客

10-10

3726

首先使用vc++6.0编译一个程序FormatStr.exe,源代码：代码: _#include #include int main (int argc, char *argv[]) { char buff[1024]; // 设置栈空间 strncpy(buff,argv[1],sizeof(buff)-1); printf(buff)

shellcode转换字符串

07-18

shellcode转换字符串

软件安全实验——lab4（格式化字符串2：修改内存地址运行shellcode获取root权限）

Onlyone_1314的博客

07-21

1252

目录标题一、获得环境变量的程序和攻击的程序的文件名长度不一样（1）定义一个环境变量EGG存放shellcode（2）获取shellcode的地址（3）查找exit函数的地址（4）1、用%x找到printf()中参数在栈中的位置是11（5）将exit函数的地址修改为shellcode的地址二、令两个程序的文件名长度相等（推荐）（1）定义一个环境变量EGG存放shellcode（2）获取shellcode的地址（3）攻击三、Root权限开启alsr：sudo sysctl -w kernel.randomize

pwn刷题num26-----格式化字符串漏洞实现任意地址修改

tbsqigongzi的博客

04-27

542

BUUCTF-PWN-[第五空间2019 决赛]PWN5 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序，小端序开启部分RELRO-----got表可写开启canary保护-----栈溢出需绕过canary 开启NX保护-----堆栈不可执行未开启PIE-----程序地址为真实地址动态链接程序运行后首先输入一个name 然后输入密码（passwd）最后fail ida看一下伪代码观察主函数，发现格式化字符串漏洞 printf(&buf);

c语言code函数的使用方法,C语言执行shellcode的五种方法

weixin_42298645的博客

05-20

1403

#include //data段可读写#pragma comment(linker, "/section:.data,RWE")//不显示窗口#pragma comment(linker,"/subsystem:\"windows\" /entry:\"mainCRTStartup\"")#pragma comment(linker, "/INCREMENTAL:NO")//一段打开Windows...

动态定位API函数之shellcode编写

mdp1234的博客

11-28

1271

通用shellcode编写动态定位API 背景：如果编写的 ShellCode 采用了硬编址的方式来调用相应的API函数，这会存在操作系统的版本不一样，调用函数在内存中的地址不同而出现失败的现象。如下图在win10中就不能正常运行这时需要通过编写一些定位程序，让 ShellCode 能够动态定位所需要的API函数地址，从中解决ShellCode 的通用性问题。 1.上述弹窗程序中最重要的函数MessageBox，它是位于 User32.dll 这个动态链接库里，默认情况下是无法直接调用的，为了能够调用

攻防世界BABYRE_简单shellcode的逆向_017

weixin_43281394的博客

03-19

506

攻防世界BABYRE_简单shellcode的逆向，

格式化字符串

guiliandudu216的博客

08-31

299

1.拼接字符串 s = 'pinjie' print('s = '+ s) 2.参数传递 s = 'chuandi' print('abc','bcd') print('s =',s) 3.占位符在创建字符串的时候可以在字符串中指定占位符 %s 任意的字符 %f 任意的小数 %d 任意的整数 s = "占位符" s = 's = %s' % 'hello' s = 's = %d' % 10 s = 's = %f' % 3.14 s = 's = %s,s2 = %s'%('hello','wo

shellcode编写

weixin_42539095的博客

11-23

424

开发框架地址： https://github.com/TonyChen56/ShellCodeFrame 实现功能弹出计算器具体实现（1）在这个框架中，利用b.work.cpp源文件中的GetProcAddressWithHash函数，通过传入WinExec 函数的hash值，就可以获取到WinExec函数的相对地址。（2）定义函数指针 在a.start.cpp源文件ShellCodeEntry()函数中添加WinExec("calc.exe ", SW_SHOW); 将声明复制到api.h

使用C编写shellcode

多媒体编程、网络编程、系统编程、网络安全编程、驱动编程

11-23

998

使用C编写shellcode 背景有时候程序员们需要写一段独立于位置操作的代码，可当作一段数据写到其他进程或者网络中去。该类型代码在它诞生之初就被称为 shellcode，在软件利用中黑客们以此获取到shell权限。方法就是通过这样或那样的恶意手法使得这段代码得以执行，完成它的使命。当然了，该代码仅能靠它自己，作者无法使用现代软件开发的实践来推进shellcode的编写。

Alpha2 Shellcode转字符串加密技术解析

根据提供的文件信息，我们可以得知一些关键的IT知识点，将围绕shellcode、加密技术、字符串处理、以及特定开发工具VC2008展开讨论。 **Shellcode是什么** Shellcode是用于执行任意代码的一系列机器语言指令，通常...