由可变参数引起的崩溃

最新推荐文章于 2023-03-16 13:50:24 发布
最新推荐文章于 2023-03-16 13:50:24 发布
阅读量278 收藏
点赞数
原文链接:http://www.cnblogs.com/jiangxueqiao/p/7417935.html
版权

一. 问题描述

前面写过一篇关于打印日志时,日志内容中包含float数据就会崩溃的文章R6002 floating point support not loaded,今天又遇到了打印日志崩溃的情况,定位到这次还是崩溃在StringCchVPrintfA这个函数。这是个系统API的崩溃,遇到系统API的崩溃当然是先排查调用方式是否有问题,然后排查参数数据是否有问题,最后才排查API是否有BUG。

二. 问题分析

这个API很熟悉,通过可变参数格式化字符串的API,函数原型如下:

HRESULT StringCchVPrintf(
  _Out_ LPTSTR  pszDest,
  _In_  size_t  cchDest,
  _In_  LPCTSTR pszFormat,
  _In_  va_list argList
);

确定调用方式没问题之后,分析传入的参数数据是否有问题。
首先怀疑的是pszDest,cchDest参数是否传错了,导致访问了非法的内存区域,仔细核对之后也没有传错,缓冲区够用呢。
argList参数的用法也没啥问题,一直这么使用的。
最后只剩下pszFormat参数了,打印其值如下:
select * from netbar_member where memberName like '滭jj';
看到这个包含乱码的串,心里基本确定问题就出在pszFormat上面了。
打印日志的代码简化后如下:

std::string strName = "sjj";
TraceMsg("select * from netbar_member where memberName like '%%%s%%';", strName.c_str());

一个简单的模糊查询SQL,本想打印如下输出:

select * from netbar_member where memberName like '%sjj%';

对比%%%s%%滭jj,发现本该存在的前后2个%不见了,sjj中的s也不见了。该日志对比其他日志,特殊之处在于输出了%号,刚好%s又是可以输出地址空间内容的。猜测是输出%时转义引起的,导致%s输出了其他地址空间的内容,运气好能输出乱码,运气不好直接非法访问,程序崩溃。

TraceMsg函数调用伪代码:

TraceMsg(const char* lpFormat, ...);
           |
           |
          \ /
Log_Message(const char* lpFormat, ...);
           |
           |
          \ /
LogToFile(const char* lpFormat, ....);

一条日志经过了3次格式化,虽然性能不高,但问题也不大,不至于乱码和崩溃。

分析函数调用的参数,参数数据如下:

TraceMsg("select * from netbar_member where memberName like '%%%s%%';", "sjj");
           |
           |
          \ /
Log_Message("select * from netbar_member where memberName like '%sjj%';");
           |
           |
          \ /
LogToFile("select * from netbar_member where memberName like '滭jj';");

看到这里终于明白了,TraceMsg传递给Log_Message函数的lpFormat参数为:
select * from netbar_member where memberName like '%sjj%';,这个memberName比较特殊,刚好ssj中的s和%组合成了一个有效的%s。
由于调用Log_Message时未给...可变参数传值,默认会根据lpFormat参数的地址来取一个地址让%s进行输出。具体计算方式参考va_start宏定义:

#define va_start _crt_va_start
#define _crt_va_start(ap,v)  ( ap = (va_list)_ADDRESSOF(v) + _INTSIZEOF(v) )

这个地址的内容是未知的,所以就可能出现乱码或崩溃。

三. 解决方案

仔细想想,发现问题其实出在函数Log_Message把select * from netbar_member where memberName like '%sjj%' 作为了StringCchVPrintfA函数的pszFormat参数。
其实程序想要的是原样输出该串,%sjj% 中的%和s只是碰巧在一起了,再次充当了%s的角色。

原样输出还不简单:
Log_Message("%s", "select * from netbar_member where memberName like '%sjj%';");
这样不就OK了么,哈哈。

四. 验证

为了验证这个问题,写了一个小程序,多次嵌套格式化字符串。在DbgView中,可以看到输出的内容不是预期的:select * from netbar_member where memberName like '%sjj%';

#include <windows.h>
#include <tchar.h>
#include <strsafe.h>
#include <string>

void TraceMsg1(const char *lpFormat, ...);
void TraceMsg2(const char *lpFormat, ...);
void TraceMsg3(const char *lpFormat, ...);

void TraceMsg1(const char *lpFormat, ...) {
    if (!lpFormat)
        return;
    OutputDebugStringA(lpFormat);
    OutputDebugStringA("\n");

    char pMsgBuffer[512] = { 0 };

    va_list arglist;
    va_start(arglist, lpFormat);
    StringCchVPrintfA(pMsgBuffer, 512, lpFormat, arglist);
    va_end(arglist);

    TraceMsg2(pMsgBuffer); // 改成这样程序正常:TraceMsg2("%s", pMsgBuffer);
}

void TraceMsg2(const char *lpFormat, ...) {
    if (!lpFormat)
        return;
    OutputDebugStringA(lpFormat);
    OutputDebugStringA("\n");

    char pMsgBuffer[512] = { 0 };

    va_list arglist;
    va_start(arglist, lpFormat);
    StringCchVPrintfA(pMsgBuffer, 512, lpFormat, arglist);
    va_end(arglist);

    TraceMsg3(pMsgBuffer); // 改成这样程序正常:TraceMsg3("%s", pMsgBuffer);
}


void TraceMsg3(const char *lpFormat, ...) {
    if (!lpFormat)
        return;

    OutputDebugStringA(lpFormat);
    OutputDebugStringA("\n");

    char pMsgBuffer[512] = { 0 };

    va_list arglist;
    va_start(arglist, lpFormat);
    StringCchVPrintfA(pMsgBuffer, 512, lpFormat, arglist);
    va_end(arglist);

    OutputDebugStringA(pMsgBuffer);
}

int _tmain(int argc, _TCHAR* argv[])
{
    std::string strName = "sjj";
    TraceMsg1("select * from netbar_member where memberName like '%%%s%%';", strName.c_str());

    getchar();
    return 0;
}

五. 总结

在调用StringCchVPrintf、vsprintf、vswprintf、_vstprintf、printf这样的一系列函数输出固定字符串时,一定不要将固定字符串传入到pszFormat参数,如:

StringCchVPrintf(szBuf, 512, "我想输出单纯的%s,我是错误的格式示范");  // 错误的

这个时候,单纯的%s中的%s已经不在单纯。
正确的做法是:

StringCchVPrintf(szBuf, 512, "%s", "我想输出单纯的%s,我是正确的格式示范");

同理,这样的调用也是错误的、危险的:

std::string strInfo = GetInfo();

printf(strInfo.c_str());

转载于:https://www.cnblogs.com/jiangxueqiao/p/7417935.html

diaoren6280
关注
可变参数函数的调用引发异常崩溃一例引发的一些思考
dvlinker的技术专栏
07-09 6743
可变参数函数的调用引发异常崩溃一例引发的一些思考。
电力系统电压稳定性研究.pdf
08-29
操作过电压由误操作或故障引起,暂时过电压由电抗参数配合不当造成。其中,工频过电压和谐振过电压是暂时过电压的两类,工频过电压对绝缘设备的长期影响不可忽视,而谐振过电压可能因感性元件和容性元件形成的振荡...
_vstprintf_s_l, vsnprintf 占位符崩溃
xiaoxiaoyu85的专栏
04-18 8164
_vstprintf_s_l, vsnprintf 可以使用可变参数,在打印日志的时候很有用             va_list argsList;             va_start(argsList, strFormat);             TCHAR pBuffer[STRING_LENGTH] = {0};             _vstprintf_s_l(p
使用sprintf 的常见问题
hi
05-26 9741
一个程序debug无错,而release有错。最终定位于某sprintf函数缓冲区溢出,在网上找了一些相关内容。使用sprintf 的常见问题sprintf 是个变参函数,使用时经常出问题,而且只要出问题通常就是能导致程序崩溃的内存访问错误,但好在由sprintf 误用导致的问题虽然严重,却很容易找出,无非就是那么几种情况,通常用眼睛再把出错的代码多看几眼就看出来了。1,缓冲区溢出
字符串格式化函数引起崩溃
热门推荐
while(1) { smile(); }
12-12 9万+
一. 问题描述 我们常用的格式化字符串函数有: HRESULT StringCchVPrintf( _Out_ LPTSTR pszDest, _In_ size_t cchDest, _In_ LPCTSTR pszFormat, _In_ va_list argList ); int printf ( const char * format, ... ); ...
linux内核细节 va_arg 错误(崩溃)
空大白
08-23 1618
最近做windows至linux迁移,碰到一个linux内核的问题,          #define _bnd(X, bnd) (((sizeof (X)) + (bnd)) & (~(bnd))) #define va_arg(ap, T) (*(T *)(((ap) += (_bnd (T, _AUPBND))) - (_bnd (T,_ADNBND)))) #define va
CIT_12000_Functions
03-22
6. **函数式编程**:这是一种编程范式,强调使用不可变数据和无副作用的纯函数。函数式编程在处理大量数据和并发时特别有效,因为它避免了状态变化和副作用。 7. **闭包**:在某些语言中,函数可以记住其定义时的...
Bifurcations, Chaos, and Crises in Voltage Collapse of a Model Power System
03-19
这种机制表明,在某些条件下,电压崩溃可能是由系统的奇异吸引子与边界相交引起的。具体来说,当系统参数达到一定阈值时,奇异吸引子会与系统的边界相交,从而触发边界危机。这种危机导致系统的长期行为突然变得非常...
SQL SERVER?CPU问题定位与解决
12-14
SQL SERVER的CPU问题定位与解决是一项关键的数据库性能优化任务,尤其对于大型企业级应用来说,CPU使用率过高可能导致系统响应变慢甚至崩溃。本文将详细介绍如何通过性能计数器来诊断和解决CPU问题。 首先,CPU问题...
格式化字符串漏洞原理理解
Ttw_
03-16 645
在X86结构下,格式化字符串的参数通过栈传递,根据cdecl的调用约定,在进入printf函数前,程序将参数从右往左依次压栈;使用多个%s当作printf的格式化字符串参数即可让程序触发崩溃,原因是%s会让printf从栈中获取一个数字并将其当作一个地址,当该数字不是一个地址时,或该地址受到保护,都会使程序触发崩溃。攻击者使用类似"%s"的格式规范就可以泄露出参数(指针)所指向内存的数据,如果攻击者可以操纵这个参数的值,那么就可以泄露任意地址的内容。我们可以通过%7$p来打印我们输入的一个双字的内容。
【printf函数】vprintf使用参数列表(va_list)传递参数
A16678643251的博客
06-24 1418
PWN菜鸡小分队 感谢大家的阅读,如文中有本菜鸡写错的地方请来指正(本菜鸡太菜造成),文章篇幅较长,可以根据标题挑选感兴趣的看。 在这里建了个pwn群,希望刚学pwn的同学们可以一起进来交流,分析,提问题等等。...
gcc多平台va_list重载问题
jusso的专栏
09-04 1771
刚刚解决了一个自认为十分诡异的BUG,其根本原因是自己的技术深度不够,没有考虑不同平台下gcc中内置变量的定义不同所造成的。 现象为Koala LINUX客户端在64位平台工作正常,在32位平台会出现core dump,对core文件进行分析,调用堆栈如下所示: #0 0x00322701 in vfprintf () from /lib/libc.so.6 #1 0x003475f0
用OutputDebugString 实现日志格式化输出
feixi7358的博客
12-03 1347
void MyOutputDebugString(LPCTSTR lpszFormat, ...) { va_list args; va_start(args, lpszFormat); TCHAR lpszBuf[1024] = {0}; StringCchVPrintf(lpszBuf, 1023, lpszFormat, args); va_end(args); Out...
c语言中字符串数组的地址存放以及%s输出单个字符导致程序崩溃的问题
楼上小宇_home
05-30 1万+
代码 总结下c语言中字符串数组的地址存放问题 #include &lt;iostream&gt; using namespace std; #include&lt;bits/stdc++.h&gt; int main() { char *s; printf("s的地址是:%d\n", &amp;s); s = "hello"; char *p = s; ...
程序崩溃的原因及处理方法
Ydritws的博客
12-31 4616
初学C语言/C++程序的编写时,可能经常会遇到程序崩溃的现象。一般来说,程序崩溃是由于内存操作不当引发的。但是具体来讲,由哪些原因可以导致程序崩溃呢?以及当程序崩溃时该如何找到错误的位置呢?本教程即是讲解这个问题。本文的视频讲解在- 单步调试 的第7,8节课。
可变参数的那些坑
我的后端之家
01-11 1214
java方法可以这样声明:public void test(Object... args) 调用时可以这样:test("A"),也可以test("A","B") 但对于数组作为参数传入时,就有些说法了: 1、想把数组作为一个参数传入,需要这样:       String[] args= new String[]{"A","B"} ;       test((Object)args),
sprintf_s函数栈大小
最新发布
05-29
sprintf_s是一个可变参数的函数,可以将格式化的数据写入到一个字符数组中。在调用sprintf_s时,需要为目标字符数组提供足够的空间来存储格式化后的字符串。如果提供的空间不足,将会导致缓冲区溢出,从而引起程序...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值