[信息系统安全实验] 实验2.软件安全
格式化字符串漏洞
prog1
- prog1.c 代码:
/* prog1.c */
#include <stdio.h>
void fmtstr()
{
char input[100];
int var = 0x11223344;
/* print out information for experiment purpose */
printf("Target address: %x\n", (unsigned) &var);
printf("Data at target address: 0x%x\n", var);
printf("Please enter a string: ");
fgets(input, sizeof(input)-1, stdin);
printf(input);
printf("Data at target address: 0x%x\n",var);
}
void main() { fmtstr(); }
根据 prog1.c 的代码, 可以看到程序会输入一个字符串 input
, 然后由 printf()
进行打印.
需要注意的有两点: 一是使用 fgets()
函数进行的输入读取, 最多会读取 sizeof(input)-1
个字符, 因此不会出现缓冲区溢出的漏洞; 二是 printf()
的使用不规范, 只有输入字符串作为参数, 因此可以利用输入格式化字符串对 printf()
的输出进行控制.
- 环境配置: 关闭 ASLR, 使用命令:
$ sudo sysctl -w kernel.randomize_va_space=0
- 使得 prog1 崩溃
运行程序 prog1, 输入%s
, 即可使程序崩溃.
- 解释: 使用格式化字符串时, 由于没有对应的参数, 在汇编时也就没有将参数入栈, 因此
printf()
会输出栈上的数据. 采用%x
进行尝试, 如下图输出了 0x63, 容易知道该值比较小, 作为地址的话一般位于操作系统保护的区域不能输出, 因此可以利用%s
格式化字符串尝试输出该地址的值, 从而使程序崩溃.
- 打印栈上数据
运行程序 prog1, 输入%x.%x.%x.%x.%x.%x.%x.%x
- 解释: 原理和 #1 类似, 输入多个
%x
即可打印栈上的多个数据. 容易看到, 变量的值 0x11223344 也出现在了printf()
打印的栈上数据中.
- 改变程序的内存数据: 将变量 var 的值, 从 0x11223344 变成 0x66887799