格式化字符串攻击原理及示例

最新推荐文章于 2024-06-08 18:02:49 发布
最新推荐文章于 2024-06-08 18:02:49 发布
阅读量1.8w 收藏 22
点赞数 5
分类专栏: 攻击原理 文章标签: fun redhat linux 工作 网络 任务

一、类printf函数簇实现原理

类printf函数的最大的特点就是,在函数定义的时候无法知道函数实参的数目和类型。

对于这种情况,可以使用省略号指定参数表。

带有省略号的函数定义中,参数表分为两部分,前半部分是确定个数、确定类型的参数,第二部分就是省略号,代表数目和类型都不确定的参数表,省略号参数表中参数的个数和参数的类型是事先的约定计算出来的,每个实参的地址(指针)是根据确定参数表中最后一个实参的地址算出来的。

这里涉及到函数调用时的栈操作。函数栈的栈底是高地址,栈顶是底地址。在函数调用

时函数实参是从最后一个参数(最右边的参数)到第一个参数(最左边的参数)依次被压入栈顶方向。也就是说函数调用时,函数实参的地址是相连的,并且从左到右地址是依次增加的。如:

 

view plain copy to clipboard print ?
·········10········20········30········40········50········60········70········80········90········100·······110·······120·······130·······140·······150
  1. #include <stdio.h>  
  2. #include <stdlib.h>  
  3.   
  4. void fun(int a, ...)  
  5. {  
  6.     int i;  
  7.     int *temp = &a;  
  8.     temp++;  
  9.     for (i = 0; i < a; ++i)  
  10.     {  
  11.         printf("%d ",*temp);  
  12.         temp++;  
  13.     }  
  14.     printf("/n");  
  15. }  
  16.   
  17. int main()  
  18. {  
  19.     int a = 1;  
  20.     int b = 2;  
  21.     int c = 3;  
  22.     int d = 4;  
  23.     fun(4, a, b, c, d);  
  24.     return 0;  
  25. }   

 

在上面的例子中,void fun(int a, ...)函数约定第一个确定参数表示省略号参数表中参数的个数,省略号参数表中的参数全都是int 类型的,这样fun函数就可以正常工作了。

类printf函数簇的工作原理和fun函数是一样的,只不过更为复杂和精巧。

如printf的函数形式为 int printf(const char *fmt, …)。

由于printf函数实现的功能比较复杂,我们来看一个我们自己实现的myprintf函数,改函数不涉及低层系统io操作。

 

view plain copy to clipboard print ?
·········10········20········30········40········50········60········70········80········90········100·······110·······120·······130·······140·······150
  1. #include <stdio.h>  
  2. #include <stdlib.h>  
  3.   
  4. void myprintf(char* fmt, ...) //一个简单的类似于printf的实现,//参数必须都是int 类型  
  5. {  
  6.     char* pArg=NULL; //等价于printf原始实现的va_list  
  7.     char c;  
  8.     pArg = (char*) &fmt; //注意不要写成p = fmt !!因为这里要对//参数取址,而不是取值  
  9.      pArg += sizeof(fmt); //等价于原来的va_start  
  10.   
  11.     do  
  12.     {  
  13.         c =*fmt;  
  14.         if (c != '%')  
  15.         {  
  16.             putchar(c); //照原样输出字符  
  17.           }  
  18.         else  
  19.         {  
  20.             //按格式字符输出数据  
  21.                switch(*++fmt)  
  22.             {  
  23.                 case 'd':  
  24.                     printf("%d",*((int*)pArg));  
  25.                     break;  
  26.                 case 'x':  
  27.                     printf("%#x",*((int*)pArg));  
  28.                     break;  
  29.                 default:  
  30.                     break;  
  31.             }  
  32.             pArg += sizeof(int); //等价于原来的va_arg  
  33.         }  
  34.         ++fmt;  
  35.     }while (*fmt != '/0');  
  36.     pArg = NULL; //等价于va_end  
  37.     return;  
  38. }  
  39.   
  40. int main(int argc, char* argv[])  
  41. {  
  42.     int i = 1;  
  43.     int j = 2;  
  44.     myprintf("the first test:i=%d/n",i,j);  
  45.     myprintf("the secend test:i=%d; %x;j=%d;/n",i,0xabcd,j);   
  46.     return 0;  
  47. }  

 

myprintf函数中也有类似的约定,确定参数表中最后一个参数是一个const char* 类型的字符串,在这个字符串中出现“%d”和“%x”次数的和就是省略号参数表中参数的个数,省略号参数表中的参数类型也都是int类型。

同样的,实际的printf函数也有这样的约定:确定参数表中最后一个参数是一个const char* 类型的字符串,省略号参数表中参数个数就是这个字符串中出现的“%d”,“%x”,“%s”…次数的和,省略号参数表中参数的类型也是由“%d”,“%x”,“%s”……等格式化字符来指示的。

因此,类printf函数中省略号参数表中参数的个数和类型都是由类printf函数中的那个格式化字符串来决定的。

二、格式化字符串攻击原理

因为类printf函数中省略号参数表中参数的个数和类型都是由类printf函数中的那个格式化字符串来决定的,所以攻击者可以利用编程者的疏忽或漏洞,巧妙构造格式化字符串,达到攻击目的。

如果一个程序员的任务是:打印输出一个字符串或者把这个串拷贝到某缓冲区内。他可以写出如下的代码:printf("%s", str);但是为了节约时间和提高效率,并在源码中少输入6个字节,他会这样写:printf(str);

为什么程序员写的是错误的呢?他传入了一个他想要逐字打印的字符串。实际上该字符串被printf函数解释为一个格式化字符(formatstring),printf就会根据该字符串来决定printf函数中省略号参数表中参数的格式和类型,如果这个程序员想要打印的字符串中刚好有“%d”,“%x”之类的格式化字符,那么一个变量的参数值就从堆栈中取出。

比如:

 

view plain copy to clipboard print ?
·········10········20········30········40········50········60········70········80········90········100·······110·······120·······130·······140·······150
  1. #include <stdio.h>  
  2. #include <stdlib.h>   
  3.   
  4. int main(int argc, char* argv[])  
  5. {  
  6.     if(argc != 2)  
  7.         return 0;  
  8.     printf(argv[1]);  
  9.     return 0;  
  10. }  

 

当./a.out “hello world”时一切正常,但是当./a.out “%x”时,就会有莫名其妙的数字被打印出来了。

很明显,攻击者至少可以通过打印出堆栈中的这些值来偷看程序的内存。但是有些事情就不那么明显了,这个简单的错误允许向运行中程序的内存里写入任意值。

printf有一个比较另类的用法:%n,当在格式化字符串中碰到"%n"的时候,在%n域之前输出的字符个数会保存到下一个参数里。例如,为了获取在两个格式化的数字之间空间的偏量:

 

view plain copy to clipboard print ?
·········10········20········30········40········50········60········70········80········90········100·······110·······120·······130·······140·······150
  1. int main(int argc, char* argv[])  
  2. {  
  3.     int pos, x = 235, y = 93;  
  4.     printf("%d %n%d/n", x, &pos, y);  
  5.     printf("The offset was %d/n", pos);  
  6.     return 0;  
  7. }  

 

输出4(“235 ”的长度)

%n格式返回应该被输出的字符数目,而不是实际输出的字符数目。当把一个字符串格式化输出到一个定长缓冲区内时,输出字符串可能被截短。不考虑截短的影响,%n格式表示如果不被截短的偏量值(输出字符数目)。为了说明这一点,下面的代码会输出100而不是20:

 

view plain copy to clipboard print ?
·········10········20········30········40········50········60········70········80········90········100·······110·······120·······130·······140·······150
  1. int main()  
  2. {  
  3.     char buf[20];  
  4.     int pos, x = 0;  
  5.     snprintf(buf, sizeof(buf), "%.100d%n", x, &pos);  
  6.     printf("position: %d/n", pos);  
  7.     return 0;  
  8. }  

 

而%n和%d,%x,%s的显著的不同就是%n是会改变变量的值的,这也就是格式化字符串攻击的爆破点。

三、一个实际的例子

下面这个例子至少可以X86的Redhat和arch linux下面进行演示。

 

view plain copy to clipboard print ?
·········10········20········30········40········50········60········70········80········90········100·······110·······120·······130·······140·······150
  1. #include <stdio.h>  
  2. #include <stdlib.h>  
  3. #include <string.h>  
  4.   
  5. char daddr[16];  
  6.   
  7. int main(int argc, char **argv)  
  8. {  
  9.     char buf[100];  
  10.     int x;  
  11.     x = 1;  
  12.     memset(daddr,'/0',16);  
  13.     printf("before format string x is %d/%#x (@ %p)/n", x, x, &x);  
  14.     strncpy(daddr,"PPPPPPP%n",9);         
  15.     snprintf(buf,sizeof(buf),daddr);   //实施格式化字符串攻击  
  16.   
  17.     buf[sizeof(buf) - 1] = 0;  
  18.     printf("after format string x is %d/%#x (@ %p)/n", x, x, &x);  
  19.     return 0;  
  20. }  

 

运行的结果是:x被成功的改成了7。

上面的例子利用了linux函数调用时的内存残像,来实现格式化字符串攻击的。(参考的经典文章是用猜地址的方法来实现的,猜的一头雾水)

这里我们来分析一下main函数中的堆栈变化情况:

绘图1

如上图所示,在调用snprintf函数之前,首先调用了printf函数,printf的函数第四个参数是&x,这样在main函数的堆栈内存中留下了&x的内存残像。当调用snprintf时,系统本来只给snprintf准备了3个参数,但是由于格式化字符串攻击,使得snprinf认为应该有四个参数传给它,这样snprintf就私自把&x的内存残像作为第4个参数读走了,而snprintf所谓的第4个参数对应的“%n”,于是snprintf就成功的修改了变量x的值。

而在实际网络环境中可利用的格式化字符串攻击也是很多的。下图就是一个实际网络攻击的截图。

Screenshot

 

 

 

http://blog.csdn.net/sealyao/archive/2010/10/23/5961330.aspx

ShenRui
关注
  • 5
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
Windows格式化字符串漏洞利用[汇编].pdf
10-12
本文旨在深入探讨格式化字符串漏洞的基本概念、利用原理以及具体的实践步骤,帮助读者更好地理解和防御此类漏洞。 #### 二、格式化字符串漏洞概述 ##### 2.1 定义 格式化字符串漏洞发生于程序中使用如`printf`等...
替换输入字符串中的危险字符
一光年
11-15 2702
SQL注入是一种常规性的攻击,通过此方法一些不法用户可以检索他人的数据,改变服务器的设置,或者有意破坏他人的服务器。SQL注入式攻击不是SQL Server的问题,而是不适当的程序造成的。   本实例通过替换掉字符串中的危险字符来防止SQL语句的注入,提高程序的安全性。运行来实例,在“用户名”文本框中输入“11‘or’1‘=’1”,并选中“替换”单选按钮,单击“登录”按钮后将显示登录失败,如
格式化字符串漏洞攻击/由浅入深了解格式化字符串漏洞_详细网络安全详细教程
最新发布
2401_84915584的博客
06-08 657
格式化字符串漏洞是一种威力比较大的漏洞,漏洞原因主要是因为使用类似于printf(str)这类语句,里面的str用户可以自己定义。轻则使程序dump
Format_String_Attack_Lab
Yuhan2001的CSDN博客
12-05 4315
软件安全课程实验:Format_String_Attack_Lab; 版本:SeedUbuntu20.04; 课本:计算机安全导论:深度实践;
格式化字符串漏洞讲解及实例爆破
yajuanpi4899的博客
12-01 1285
格式化字符串漏洞两种方式: 1)泄露所指向的代码,读取指针本身的地址数据(%p) 2)泄露地址所指向的数值,指针指向的数据(%s)---1.泄露栈上存放地址 字符串在栈中存放的是其地址,数据不直接存于栈中,所以直接进行字符串读取时,有下例: 从中可以看出%p和%s的区别 再看字符串存取规则: 一般存放字符串时: 如图所示,字符串以 X00 标志位进行结尾,当读取至结尾时便能中断。存在栈中的指针是字符串的头部指针。 根据如上原理,构建简单攻击: 当我们直接...
格式化字符串漏洞攻击
从来不在调
03-20 2387
格式化字符串漏洞攻击,主要有以下三点。 1 拒绝服务攻击 2 查看内存攻击 3 写入任意内存攻击 我们这要说一下危害最大的任何写入内存攻击。 注意:最新版的Linux,先关闭地址随机化保护和利用GCC 编译时打开-z execstack 代码如下: 如大家所见,我把存在漏洞的函数规定为折构函数(程序结束后,协助程序完成一些期望的工作),这样子的化,我们不到那可以重写内存,还可以执
js eval函数使用,js对象和字符串互转实例
10-20
在本文中,我们将深入探讨`eval()`的工作原理,以及如何在JavaScript中进行对象与字符串之间的转换。 首先,让我们看看`eval()`的基本用法。`eval()`接收一个字符串参数,这个字符串被当作JavaScript代码执行。例如...
SQL注入原理与解决方法代码示例
09-09
当用户输入的数据未经验证或过滤直接拼接到SQL查询中时,攻击者可以通过输入特定的字符串来改变查询的逻辑。例如,通常的登录验证查询可能是这样的: ```sql SELECT * FROM users WHERE username = 'user' AND ...
QT C++ AES字符串加密解密类库,引入即可使用
10-27
4. 错误处理和边界检查:确保输入的字符串长度和格式符合要求,防止空指针、内存溢出等问题。 5. 示例代码:为了方便用户快速上手,类库通常会提供示例代码,展示如何创建密钥、设置IV、调用加密和解密函数,以及...
格式化字符串漏洞
qq_43674956的博客
02-02 368
格式化字符串漏洞 ​ 可变参数函数 有些函数的参数是变化的,是不确定个数的,比如格式化字符函数中的printf,后面可以有n个参数 如何使用这些可变参数 printf的实现中采用了stdarg.h头文件中的宏定义。 初始化va_list指针,它用来指向可变参数,初始化为第一个参数位置。 在printf中,根据匹配的格式字符来决定自己的移动字节数,如%d就动4字节,%d就8字节,这样来找到下一个参数的位置 隐藏的危险 当匹配的格式字符串,交由用户输入,或者有部分用户输入,那格式字符多于实际传入参数的数目后,就
格式化字符漏洞
IT_huanhuan的博客
05-25 1128
格式化字符串是由普通字符(包括%)和转换规则构成的字符序列。普通字符被原封不动地复制到输出流中。转换规则根据与实参对应的转换指示符对其进行转换,然后将结果写入到输出流中。转换规则由可选的部分和必选部分组成。其中只有转换指示符type是必选部分,用来表示转换类型。用 printf() 为例,它的第一个参数就是格式化字符串 :“Color %s,Number %d,Float %4.2f”然后 printf 函数会根据这个格式化字符串来解析对应的其他参数。
完整修改和删除以及防字符串注入攻击
weixin_30733003的博客
06-22 81
完整修改: 1 //1、接收用户输入进来的学生编号 2 Console.Write("请输入要修改的学生编号:"); 3 string Scode = Console.ReadLine(); 4 5 //2、判断有无此学生 6 SqlConn...
(18)【WAF绕过】WAF部署、绕过分析和原理、注入绕过WAF方法
02-27 6850
【WAF绕过】
跨站漏洞防御——特殊字符转换
weixin_33720452的博客
09-28 210
2019独角兽企业重金招聘Python工程师标准>>> ...
格式化字符串漏洞原理理解
Ttw_
03-16 506
在X86结构下,格式化字符串的参数通过栈传递,根据cdecl的调用约定,在进入printf函数前,程序将参数从右往左依次压栈;使用多个%s当作printf的格式化字符串参数即可让程序触发崩溃,原因是%s会让printf从栈中获取一个数字并将其当作一个地址,当该数字不是一个地址时,或该地址受到保护,都会使程序触发崩溃。攻击者使用类似"%s"的格式规范就可以泄露出参数(指针)所指向内存的数据,如果攻击者可以操纵这个参数的值,那么就可以泄露任意地址的内容。我们可以通过%7$p来打印我们输入的一个双字的内容。
字符文本中的字符太多_文本对抗---字符级别的攻击
weixin_39517902的博客
12-03 499
最近看了一些字符级别的文本攻击方法,目前字符级别的攻击主要就是两步:找到要攻击的地方(被攻击单词)和如何攻击,针对于这两个不同角度也有一些不一样的文章。如何找到攻击位置白盒攻击中可以根据损失函数或者是前向导数等内部参数,反向寻找到输入中对输出影响最大的部分,黑盒攻击中一般都会构造一个打分函数,对文本中的每一个位置进行一个打分,分数越高则说明该部分在当前句子下最重要。DeepWordBug:Blac...
格式化字符串漏洞原理(待完善)
m0_55906008的博客
04-10 195
比如说,如果远程服务有一个格式化字符串漏洞,那么我们就可以攻击其可用性,使服务崩溃,进而使得用户不能够访问。分析输出:即以十六进制形式打印相对格式化字符串(位于栈顶处)偏移为6的内容,该图中打印0xfffd5e8处的内容(aaaa),输出61616161。由图可知,在运行到add(i, j)函数时,先压入参数j,i再压入返回地址,再压入ebp,最后压入局部变量。分析输出:相对格式化字符串偏移为1处的内容,以有符号整数打印,0xffffd5e4对应的有符号十进制,即-10780。一般会有如下几种操作。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值