00
主要是构建框架,没有详细阐述内容
分为两部分,漏洞原理与利用方式
01 漏洞原理
1 程序崩溃
通常来说,利用格式化字符串漏洞使得程序崩溃是最为简单的利用方式,因为我们只需要输入若干个%s即可。这是因为栈上不可能每个值都对应了合法的地址,所以总是会有某个地址可以使得程序崩溃。这一利用,虽然攻击者本身似乎并不能控制程序,但是这样却可以造成程序不可用。比如说,如果远程服务有一个格式化字符串漏洞,那么我们就可以攻击其可用性,使服务崩溃,进而使得用户不能够访问。
2 泄露内存
利用格式化字符串漏洞,我们还可以获取我们所想要输出的内容。一般会有如下几种操作:
泄露栈内存
1、获取某个变量的值
2、获取某个变量对应地址的内存
泄露任意地址内存
1、利用GOT表得到libc函数地址,进而获取libc,进而获取其它libc函数地址
配个图
2、盲打,dump整个程序,获取有用信息。
3 覆写内存
覆写栈内存
这里面关键是确定偏移
有两种方法,第一种就是输入%p-%p这种东西去试,第二种试调试,泄露栈变量数量,这种方式。
wiki上有很多调试
覆写任意地址内存
写入内容的时候有需要考虑写入的是大数字还是小数字。
不同的数字需要不同的写入技巧。
小数字
aa%8$naa + addr
大数字
02 利用方式
1 hijack GOT
在目前的 C 程序中,libc 中的函数都是通过 GOT 表来跳转的。此外,在没有开启 RELRO 保护的前提下,每个 libc 的函数对应的 GOT 表项是可以被修改的。因此,我们可以修改某个 libc 函数的 GOT 表内容为另一个 libc 函数的地址来实现对程序的控制。比如说我们可以修改 printf 的 got 表项内容为 system 函数的地址。从而,程序在执行 printf 的时候实际执行的是 system 函数。
一般需要两个函数实现修改GOT表内的内容,第一个write函数,第二个就是格式化字符串函数
2 hijack retaddr
很容易理解,我们要利用格式化字符串漏洞来劫持程序的返回地址到我们想要执行的地址。
3 blind
还有一种分类方法
1 栈上的格式化字符串漏洞
栈上指的是输入的格式化字符串存在了栈内。
2 非栈上的格式化字符串漏洞
非栈上指的是堆上跟bss段上,原理不难,难在利用姿势上,简述一下,需要先泄露一些必须的地址,再通过栈内的地址链,一般是栈帧地址链,三个以上,然后通过第一个控制第二个地址大小将第三个地址一个字节一个字节写成攻击地址,然后通过第二第三个地址将攻击地址里面达到一个任意写,中间需要第二个地址是因为要控制一个字节一个字节去写,就是格式化字符串漏洞任意内存写的大数处理方法。
193
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
