那些遇到过的问题

格式字符串漏洞 - printf

Vik*_*uri 12 c security string format

为什么打印内存地址的值为0x08480110?我不确定为什么有5%的08x参数 - 这会把你带到哪里?

address = 0x08480110
address (encoded as 32 bit le string): "\x10\x01\x48\x08"
printf ("\x10\x01\x48\x08_%08x.%08x.%08x.%08x.%08x|%s|");
Run Code Online (Sandbox Code Playgroud)

这个例子来自本文的第11页http://crypto.stanford.edu/cs155/papers/formatstring-1.2.pdf

Mic*_*urr 21

我认为本文printf()以一种有点令人困惑的方式提供了它的例子,因为这些例子使用字符串文字作为格式字符串,而那些通常不允许描述的漏洞类型.此处描述的格式字符串漏洞取决于用户输入提供的格式字符串.

所以这个例子:

printf ("\x10\x01\x48\x08_%08x.%08x.%08x.%08x.%08x|%s|");
Run Code Online (Sandbox Code Playgroud)

可能更好地呈现为:

/* 
 * in a real program, some user input source would be copied 
 * into the `outstring` buffer 
 */
char outstring[80] = "\x10\x01\x48\x08_%08x.%08x.%08x.%08x.%08x|%s|";

printf(outstring);
Run Code Online (Sandbox Code Playgroud)

由于outstring数组是自动的,编译器可能会把它放在堆栈上.将用户输入复制到outstring数组后,它在堆栈上看起来像下面的'words'(假设小端):

outstring[0c]               // etc...
outstring[08] 0x30252e78    // from "x.%0"
outstring[04] 0x3830255f    // from "_%08"
outstring[00] 0x08480110    // from the ""\x10\x01\x48\x08"
Run Code Online (Sandbox Code Playgroud)

编译器会在其认为合适的情况下将其他项放在堆栈上(其他局部变量,保存的寄存器等等).

printf()呼叫即将进行,堆栈可能看起来像:

outstring[0c]               // etc...
outstring[08] 0x30252e78    // from "x.%0"
outstring[04] 0x3830255f    // from "_%08"
outstring[00] 0x08480110    // from the ""\x10\x01\x48\x08"
var1
var2
saved ECX
saved EDI
Run Code Online (Sandbox Code Playgroud)

请注意,我正在完成这些条目 - 每个编译器将以不同的方式使用堆栈(因此格式字符串漏洞必须针对特定的确切方案进行自定义.换句话说,您不会总是使用5个虚拟格式像这个例子中的说明符 - 作为攻击者,你需要弄清楚特定漏洞需要多少个虚拟对象.

现在要调用printf(),参数(地址outstring)被推送到堆栈并被printf()调用,因此堆栈的参数区域如下所示: 

outstring[0c]               // etc...
outstring[08] 0x30252e78    // from "x.%0"
outstring[04] 0x3830255f    // from "_%08"
outstring[00] 0x08480110    // from the ""\x10\x01\x48\x08"
var1
var2
var3
saved ECX
saved EDI
&outstring   // the one real argument to `printf()`
Run Code Online (Sandbox Code Playgroud)

但是,printf并不真正知道有多少参数已经放在堆栈上 - 它依赖于它在格式字符串中找到的格式说明符(它确定要获得的一个参数).因此printf()获取格式字符串参数并开始处理它.当它到达与我的示例中的"已保存的EDI"相对应的第一个"%08x"时,则下一个"%08x"将打印保存的ECX',依此类推.因此,"%08x"格式说明符只是在堆栈中占用数据,直到它返回到攻击者能够输入的字符串.确定需要多少这些是攻击者通过一种试验和错误(可能通过具有大量"%08x"格式的测试运行来做的事情,直到他能够"看到"格式字符串的开始位置).

无论如何,当printf()处理"%s"格式说明符时,它已经消耗了outstring缓冲区所在的所有堆栈条目."%s"说明符将其堆栈条目视为指针,并且用户放入该缓冲区的字符串经过精心设计,具有二进制表示形式0x08480110,因此printf()将打印出该地址处的任何内容作为ASCIIZ字符串.

Jon*_*ler 8

您有6个格式说明符(5个批次%08x和1个%s),但是您没有为这些格式说明符提供值.你会立即陷入未定义行为的境界 - 任何事情都可能发生,并且没有错误的答案.

但是,在正常的事件过程中,传递给的值printf()将存储在堆栈中,因此代码printf()会从堆栈中读取值,就好像已经传递了额外的值一样.函数返回地址也在堆栈中.无法保证我可以看到实际生成的值为0x08480110.这种攻击很大程度上取决于具体的程序和错误的函数调用,你可能会得到一个非常不同的值.示例代码很可能是在假设32位Intel(小端)CPU而不是64位或大端CPU的情况下编写的.

调整代码片段,将其编译成完整的程序,忽略编译警告,使用MacOS X 10.6.7和GCC 4.2.1(XCode 3)上的32位编译,代码如下:

#include <stdio.h>

static void somefunc(void)
{
    printf("AAAAAAAAAAAAAAAA.0x%08X.0x%08X.0x%08X.0x%08X.0x%08X.0x%08X.0x%08X.|%s|\n");
}

int main(void)
{
    char buffer[160] =
        "abcdefghijklmnopqrstuvwxyz012345"
        "abcdefghijklmnopqrstuvwxyz012345"
        "abcdefghijklmnopqrstuvwxyz012345"
        "abcdefghijklmnopqrstuvwxyz012345"
        "abcdefghijklmnopqrstuvwxyz01234";
    somefunc();
    return 0;
}
Run Code Online (Sandbox Code Playgroud)

产生以下结果:

 AAAAAAAAAAAAAAAA.0x000000A0.0xBFFFF11C.0x00001EC4.0x00000000.0x00001E22.0xBFFFF1C8.0x00001E5A.|abcdefghijklmnopqrstuvwxyz012345abcdefghijklmnopqrstuvwxyz012345abcdefghijklmnopqrstuvwxyz012345abcdefghijklmnopqrstuvwxyz012345abcdefghijklmnopqrstuvwxyz01234|
Run Code Online (Sandbox Code Playgroud)

正如您所看到的,我最终从printf()声明中找到了主程序中的字符串.当我在64位模式下编译它时,我得到了一个核心转储.两种结果都完全正确; 程序调用未定义的行为,因此程序执行的任何操作都是有效的.如果您感到好奇,请搜索"鼻子恶魔"以获取有关未定义行为的更多信息.

并习惯于尝试这些问题.

另一种变化

#include <stdio.h>

static void somefunc(void)
{
    char format[] =
        "AAAAAAAAAAAAAAAA.0x%08X.0x%08X.0x%08X.0x%08X.0x%08X\n"
        ".0x%08X.0x%08X.0x%08X.0x%08X.0x%08X.0x%08X.0x%08X\n"
        ".0x%08X.0x%08X.0x%08X.0x%08X.0x%08X.0x%08X.0x%08X\n";
    printf(format, 1);
}

int main(void)
{
    char buffer[160] =
        "abcdefghijklmnopqrstuvwxyz012345"
        "abcdefghijklmnopqrstuvwxyz012345"
        "abcdefghijklmnopqrstuvwxyz012345"
        "abcdefghijklmnopqrstuvwxyz012345"
        "abcdefghijklmnopqrstuvwxyz01234";
    somefunc();
    return 0;
}
Run Code Online (Sandbox Code Playgroud)

这会产生:

AAAAAAAAAAAAAAAA.0x00000001.0x00000099.0x8FE467B4.0x41000024.0x41414141
.0x41414141.0x41414141.0x2E414141.0x30257830.0x302E5838.0x38302578.0x78302E58
.0x58383025.0x2578302E.0x2E583830.0x30257830.0x2E0A5838.0x30257830.0x302E5838
Run Code Online (Sandbox Code Playgroud)

您可能会识别十六进制输出中的格式字符串 - 例如,0x41是大写字母A.

该代码的64位输出既相似又不同:

AAAAAAAAAAAAAAAA.0x00000001.0x00000000.0x00000000.0xFFE0082C.0x00000000
.0x41414141.0x41414141.0x2578302E.0x30257830.0x38302578.0x58383025.0x0A583830
.0x2E583830.0x302E5838.0x78302E58.0x2578302E.0x30257830.0x38302578.0x38302578
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

13633 次

最近记录:

14 年,10 月 前
相关归档
字符串替换反斜杠 27
如何获取基本堆栈指针的地址 16
如何在c ++中正确使用ostringstream? 15
将Python输入字符串限制为某些字符和长度 14
在Java中重置Calendar实例的时间部分 13
是否有返回索引(列表位置)而不是 str 列表的 `difflib.get_close_matches()` 的替代方法? 9
以编程方式读取本地密码策略 7
Java字符串不是真正不可变的含义是什么? 6
ABAP 安全存储:如何存储密码? 4
如何格式化dbms_output.put_line PL/SQL创建的表? 3
难疑归档
如何在JavaScript中验证电子邮件地址? 4099
如何检查列表是否为空? 3235
如何在JavaScript中检查empty/undefined/null字符串? 2645
找到已安装的npm软件包的版本 2037
查找当前目录和文件的目录 2007
何时使用虚拟析构函数? 1420
Memcached与Redis? 1398
如何删除旧的Docker容器 1162
如何从Python字符串中修剪空格? 1103
jQuery从下拉列表中获取选定的选项 1067