本文探讨了VxWorks操作系统中一个可能导致系统复位的编程错误,涉及任务名称定义溢出和不安全的printf使用。在非严格编译器下,编译器的处理可能导致任务名称未正确终止,使得在使用sprintf填充Buffer后,printf调用可能触发格式化字符串漏洞。当%n遇到随机寄存器值时,可能导致任意内存地址写入,从而引起复位。此问题源于实际工作中的案例,强调了编写安全代码的重要性。
引子程序解释
如果你已经*printf系列的溢出漏洞问题,你将轻松发现问题所在,同时也可以跳过本文:)。
该程序存在两个问题:
一、taskName定义是8字节字符串,但全局变量初始化为11个字节。
二、Buffer字符串输出直接使用printf,而不是printf("%s",Buffer)。
关于问题一要说明的是在VC下编译器会很严格的检查越界并提示“error C2117: 'TASK01_SUB' : array bounds overflow”数组越界,导致编译都无法完成,但其他不严格编译器则只会产生Info 或 Warning告警而已。
那么在非严格编译器得出的代码是怎么样的呢?
非常不幸的是 编译器简单的使用了去尾法。
| TaskName | tcbCnt |
54 41 53 4B 30 31 5F 53 00 00 00 00
taskName是没有结束符号0的,什么时候结束完全受限于tcbCnt或更后面的字符。
这样当sprintf(Buffer, "%s run time :%d ", TaskCB[k].taskName, TaskCB[k].tcbCnt); 执行过后。Buffer的值是多少?答案未知。
我们可以假设tcbCnt一旦为0x6e25,那么Buffer将等于"TASK01_S%n"。
配合printf(Buuffer);结果就是printf("TASK01_S%n");
这个就是导致复位的罪魁祸首。输出字符串有格式化的%n,但是后面竟然没有参数。
在PowerPC系列函数调用都是采用寄存器传值。
所以在调用函数printf之前,这时的r3肯定是Buffer的首地址,但r4/r5/r6...呢?那就是随即值了。
大家都知道%n的作用,就是将当前格式化字符串长度写入某个地址,这时r4是随机值,天知道写到哪个地址了。
因为产生的%n是随即写地址,写并不代表一定复位。
所以开始祈祷吧,一个随机的复位幽灵诞生了。
由于无PowerPC环境,所以修改了一个Windows+VC的程序当做实例,有兴趣可以看下了。
#include <stdio.h>
#define UINT8 unsigned char
#define UINT32 unsigned long
#define MAX_TASK 6
typedef
struct
tcb
最低0.47元/天 解锁文章
扫一扫
1491
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
