格式化字符串漏洞利用 四、利用的变体

四、利用的变体

原文:Exploiting Format String Vulnerabilities

作者:scut@team-teso.net

译者:飞龙

日期:2001.9.1

版本:v1.2

漏洞利用是一门艺术。就像任何艺术一样,有不止一种完成事情的方式。通常你并不想走别人已经走过的路来利用东西,而是利用你的目标环境、经验、发现和使用程序中现存的行为。这个额外的努力可以在很多东西中得到回报,首先就是你的利用的可靠性和健壮性。或者如果漏洞仅仅影响一个平台或系统,你可以利用特殊的系统特征,来寻找利用的捷径。有很多东西可以使用,这仅仅是常见技巧的一个基本概览。

4.1 短整形写入

我们不需要写入四次,而是可能使用两次写入操作来覆盖一个地址。这可以通过通常的%n操作以及带有较大n值的%nu字符串。但是对于这个特殊案例来说,我们可以利用特殊的写操作,它可以写入短整形类型:%hn参数。这里的h可以用于其他格式化参数,来将栈上提供的值转为短整形。短整形写入技巧比第一种技巧有一个优点,它不会地址旁边的数据,所以如果在你覆盖的地址后面有珍贵的数据,例如函数参数,它就会保留下来。

但是通常你应该避免它,虽然多数 C 标准库支持它,但是它也取决于格式化函数的行为,也就是,如果写入字符数的内部计数器可以突破缓冲区边界的话。这在就得 GNU C 库(libc5)中无效。同样,它在目标进程中会消耗更多内存。

printf ("%.29010u%hn%.32010u%hn", 
    1, (short int *) &foo[0], 
    1, (short int *) &foo[2]);

这对于基于 RISC 的系统尤其有用,它的%n指令拥有对齐限制。通过使用h修饰符,对齐在软件中被计算,或者是用特殊的机器指令,你通常可以在每两个字节边界上写入。

除此之外,它的工作原理就像四字节的技巧那样。一些人甚至说,可以只用一步就完成写入,通过使用特别大的填充,例如%.3221219073u。但是实践证明这在多数系统上都不管用。这个话题的深入分析最早出现在 portal 的站点上 [3]。一些其他的不错注解可以在 HERT 文章 [4] 的早期发布版中找到。

4.2 栈的弹出

如果格式化字符串太短而不能提供栈的弹出序列,它无法到达你的字符串,这怎么办?到你的格式化字符串的实际距离,以及格式化字符串的大小之间会有一个竞争,其中你需要至少弹出实际距离。所以我们就需要一个有效的方式来使用尽可能少的字节增加栈指针。

当前我们仅仅使用了%u序列,来展示原理,但是有更加高效的方式。%u序列有两个字节长,但是弹出了四个字节,比率为 1:2(我们贡献了 1 个字节,让它前进了两个字节)。

虽然使用%f参数,我们就能让其前进八个字节,这仅仅贡献了两个字节。但是这有个很大的缺陷,由于如果栈上的垃圾打印为浮点数,可能就有除零错误,会使成哥进程崩溃。为了避免它,我们可以使用特殊格式修饰符,它只会打印浮点数的整数部分:%.f会向上遍历堆栈的八个字节,仅仅在缓冲区中占用三个字节。

在 BSD 衍生系统以及 IRIX 中,可以使用*修饰符来满足我们的需要。它用于动态提供格式化参数生成输出的长度。虽然%10d打印十个字符,%*d动态获取输出长度:下一个栈上的格式化参数提供了他。因为上面提到的 LIBC 允许类型为%*******d的参数,我们可以从每个*拉取四个字节,这相当于 4:1 的比例。这就产生了另一个问题:多数情况下我们不能预测输出长度,因为它从栈上动态设置。

但是我们可以通过再所有型号的后面插入一个硬编码的值,来覆盖动态定义,%********10d会始终打印 10 个字节,无论从堆栈上取出了什么。这个技巧由 lorian 发现。

4.3 直接参数访问

除了改进栈弹出方式,有一个巨大简化方式,它被称为“直接参数访问”,一种直接从格式化字符串对栈寻址的方式。几乎所有现有的 C 标准库都支持这个特性,但是并不所有都能够将这个方式应用于格式化字符串利用上。

译者注:MSVC 不支持这个特性。

直接参数访问由$修饰符控制:

printf ("%6$d\n", 6, 5, 4, 3, 2, 1);

这会打印1,因为6$显式寻址了栈上的第六个参数。使用这种方式,整个栈弹出序列就可以扔掉了。

char foo[4];
printf ("%1$16u%2$n" 
        "%1$16u%3$n" 
        "%1$32u%4$n" 
        "%1$64u%5$n", 
        1, 
        (int *) &foo[0], (int *) &foo[1], 
        (int *) &foo[2], (int *) &foo[3]);

这会在foo中创建\x10\x20\x40\x80。这个直接访问在 BSD 机器衍生系统中仅仅限制于前八个参数,除了 IRIX。Solaris 的 C 标准库将其限制在前三十个参数,就像在 portal 的文章中那样。如果你选择了负的或者巨大的值,打算访问低于当前位置的栈参数,它不会产生预期结果而是崩溃。

虽然它极大简化了利用,你应该尽可能使用栈弹出技巧,因为它使你的利用可以一直。如果你想要利用的漏洞仅存于一个平台上,它允许这种方式,你当然可以利用它(例如 LSD 的 IRIX telnet 守护进程利用 [21])。

posted @ 2017-04-14 15:15  绝不原创的飞龙  阅读(7)  评论(0编辑  收藏  举报  来源