格式化字符串漏洞两种方式:
1)泄露所指向的代码,读取指针本身的地址数据(%p)
2)泄露地址所指向的数值,指针指向的数据(%s)---1.泄露栈上存放地址
3)将某地址数据修改置X(%n)
字符串在栈中存放的是其地址,数据不直接存于栈中,所以直接进行字符串读取时,有下例:
从中可以看出%p和%s的区别
再看字符串存取规则:
一般存放字符串时:
如图所示,字符串以 X00 标志位进行结尾,当读取至结尾时便能中断。存在栈中的指针是字符串的头部指针。
根据如上原理,构建简单攻击:
当我们直接进行printf("%p%p%p"),对 %p%p%p的栈中地址后面三位地址进行参数传递(X86),可以读取至我们想要的flag地址处进行信息泄露,基于此,当我们要泄露参数很远的flag可以这么处理:printf("%80$p"):表示打印第80个参数值的信息(栈中%p往上100)
故格式化字符串的漏洞本质是:将%s等读取的栈上内容进行溢出并修改至我们想暴露的地址,输出相应的地址(%s)或者值(%p)。
延伸:任意地址输出,由于printf("%p%p%p")中的%p%p%p参数也存放于栈中,当我们控制内存区域的%p%p%p数进行修改,就可以进行任意地址泄露。
题目实例:
根据代码逆向可知:需要将x数值置为4,可以获取shell。
read(0, &buf, 0x50u);//向栈中输入数据
printf(&buf); //将栈中数据读取出来
攻击思路:
利用格式化字符串,将x地址加载入栈中,而后利用printf(%n)的原理,将已输出的的字节数输出到x地址中。
调试代码运行:
利用gdb调试程序,在read中输入%p %p %p ,查看目前栈中数据,可知:目前printf的字符的数据存储位置为:0xffffd07c,而7c位置离栈顶位置为:0b-00=12,所以:此时我们构建payload时,可以构建:x_addr+b'%11$n'(x_addr作为字附本身占了一个位置,偏移11位置即能读取到7c位置,然后对7c位置中的x_addr地址值中的值进行数据修改,而x_addr的地址为四个字节(2个数字一个字节)),恰好将4写入x地址中。