格式化字符串漏洞
github地址:https://github.com/ylcangel/exploits/tree/master/fmtstr
你可以用于学习,但不能用于商用(如出书、以盈利为目的的课程、文章等),转载需标明出处。
测试平台
系统:CentOS release 6.10 (Final)、32 位
内核版本:Linux 2.6.32-754.10.1.el6.i686 i686 i386 GNU/Linux
gcc 版本: 4.4.7 20120313 (Red Hat 4.4.7-23) (GCC)
gdb版本:GNU gdb (GDB) Red Hat Enterprise Linux (7.2-92.el6)
libc版本:libc-2.12.so
漏洞原理
程序中提供了参数可控(该格式化字符串参数来自外部输入)的printf族和scanf族函数或错误的参数类型或格式化字符串参数和传入参数个数不一致等情况,这导致我们可以控制程序行为或泄露一些信息。例如:
1、可控的参数
2、参数类型错误
3、格式化字符串参数和传入参数不符
第一种危害最大,我们完全可以控制程序行为,第二、三种不能控制程序行为,但可以对信息泄露提供一些帮助。
通用利用方式
格式化漏洞有两种利用方式:一种是实现任何地址读(可用于信息泄露),一种是实现任意地址写(可用于覆盖返回地址、got表、函数虚表等)。
格式化字符串介绍
我们以printf函数为例来说明几个主要的格式化字符串的参数:
%d - 十进制 - 输出十进制整数
%s - 字符串 - 从内存中读取字符串
%x - 十六进制 - 输出十六进制数
%c - 字符 - 输出字符
%p - 指针 - 指针地址
%n – 把前面打印的字符长度输出到指定地址
%N$ - 第N个参数
程序执行结果:
这里面前5个格式化字符串都用于输出,第6个用于输入,第七个用于指定参数的位置,第几个参数。
参数不一致
现在我们来看看参数个数不一致会发生什么情况。参数不一致指的是格式化字符串参数个数和实际输入参数不一致。
1、没有输入参数
然我们看看程序运行结果: