格式化字符串漏洞利用 四、利用的变体
四、利用的变体
原文:Exploiting Format String Vulnerabilities
作者:scut@team-teso.net
译者:飞龙
日期:2001.9.1
版本:v1.2
漏洞利用是一门艺术。就像任何艺术一样,有不止一种完成事情的方式。通常你并不想走别人已经走过的路来利用东西,而是利用你的目标环境、经验、发现和使用程序中现存的行为。这个额外的努力可以在很多东西中得到回报,首先就是你的利用的可靠性和健壮性。或者如果漏洞仅仅影响一个平台或系统,你可以利用特殊的系统特征,来寻找利用的捷径。有很多东西可以使用,这仅仅是常见技巧的一个基本概览。
4.1 短整形写入
我们不需要写入四次,而是可能使用两次写入操作来覆盖一个地址。这可以通过通常的%n
操作以及带有较大n
值的%nu
字符串。但是对于这个特殊案例来说,我们可以利用特殊的写操作,它可以写入短整形类型:%hn
参数。这里的h
可以用于其他格式化参数,来将栈上提供的值转为短整形。短整形写入技巧比第一种技巧有一个优点,它不会地址旁边的数据,所以如果在你覆盖的地址后面有珍贵的数据,例如函数参数,它就会保留下来。
但是通常你应该避免它,虽然多数 C 标准库支持它,但是它也取决于格式化函数的行为,也就是,如果写入字符数的内部计数器可以突破缓冲区边界的话。这在就得 GNU C 库(libc5)中无效。同样,它在目标进程中会消耗更多内存。
printf ("%.29010u%hn%.32010u%hn", 1, (short int *) &foo[0], 1, (short int *) &foo[2]);
这对于基于 RISC 的系统尤其有用,它的%n
指令拥有对齐限制。通过使用h
修饰符,对齐在软件中被计算,或者是用特殊的机器指令,你通常可以在每两个字节边界上写入。
除此之外,它的工作原理就像四字节的技巧那样。一些人甚至说,可以只用一步就完成写入,通过使用特别大的填充,例如%.3221219073u
。但是实践证明这在多数系统上都不管用。这个话题的深入分析最早出现在 portal 的站点上 [3]。一些其他的不错注解可以在 HERT 文章 [4] 的早期发布版中找到。
4.2 栈的弹出
如果格式化字符串太短而不能提供栈的弹出序列,它无法到达你的字符串,这怎么办?到你的格式化字符串的实际距离,以及格式化字符串的大小之间会有一个竞争,其中你需要至少弹出实际距离。所以我们就需要一个有效的方式来使用尽可能少的字节增加栈指针。
当前我们仅仅使用了%u
序列,来展示原理,但是有更加高效的方式。%u
序列有两个字节长,但是弹出了四个字节,比率为 1:2(我们贡献了 1 个字节,让它前进了两个字节)。
虽然使用%f
参数,我们就能让其前进八个字节,这仅仅贡献了两个字节。但是这有个很大的缺陷,由于如果栈上的垃圾打印为浮点数,可能就有除零错误,会使成哥进程崩溃。为了避免它,我们可以使用特殊格式修饰符,它只会打印浮点数的整数部分:%.f
会向上遍历堆栈的八个字节,仅仅在缓冲区中占用三个字节。
在 BSD 衍生系统以及 IRIX 中,可以使用*
修饰符来满足我们的需要。它用于动态提供格式化参数生成输出的长度。虽然%10d
打印十个字符,%*d
动态获取输出长度:下一个栈上的格式化参数提供了他。因为上面提到的 LIBC 允许类型为%*******d
的参数,我们可以从每个*
拉取四个字节,这相当于 4:1 的比例。这就产生了另一个问题:多数情况下我们不能预测输出长度,因为它从栈上动态设置。
但是我们可以通过再所有型号的后面插入一个硬编码的值,来覆盖动态定义,%********10d
会始终打印 10 个字节,无论从堆栈上取出了什么。这个技巧由 lorian 发现。
4.3 直接参数访问
除了改进栈弹出方式,有一个巨大简化方式,它被称为“直接参数访问”,一种直接从格式化字符串对栈寻址的方式。几乎所有现有的 C 标准库都支持这个特性,但是并不所有都能够将这个方式应用于格式化字符串利用上。
译者注:MSVC 不支持这个特性。
直接参数访问由$
修饰符控制:
printf ("%6$d\n", 6, 5, 4, 3, 2, 1);
这会打印1
,因为6$
显式寻址了栈上的第六个参数。使用这种方式,整个栈弹出序列就可以扔掉了。
char foo[4];
printf ("%1$16u%2$n" "%1$16u%3$n" "%1$32u%4$n" "%1$64u%5$n", 1, (int *) &foo[0], (int *) &foo[1], (int *) &foo[2], (int *) &foo[3]);
这会在foo
中创建\x10\x20\x40\x80
。这个直接访问在 BSD 机器衍生系统中仅仅限制于前八个参数,除了 IRIX。Solaris 的 C 标准库将其限制在前三十个参数,就像在 portal 的文章中那样。如果你选择了负的或者巨大的值,打算访问低于当前位置的栈参数,它不会产生预期结果而是崩溃。
虽然它极大简化了利用,你应该尽可能使用栈弹出技巧,因为它使你的利用可以一直。如果你想要利用的漏洞仅存于一个平台上,它允许这种方式,你当然可以利用它(例如 LSD 的 IRIX telnet 守护进程利用 [21])。
格式化字符串漏洞利用 四、利用的变体相关推荐
- 【逆向学习记录】格式化字符串漏洞原理及其利用
1 概述 前面学习完成栈溢出的漏洞利用,接下来最长用到的就是格式化字符串了,由于懒散,春节之前耽误的很多时间,这里统一整理一下 学习的过程中,主要参考文章: 格式化字符串利用小结 CTF WIKI 格 ...
- Linux pwn入门教程——格式化字符串漏洞
本文作者:Tangerine@SAINTSEC 原文来自:https://bbs.ichunqiu.com/thread-42943-1-1.html 0×00 printf函数中的漏洞printf函 ...
- CTF pwn题之格式化字符串漏洞详解
格式化字符串漏洞详解 概念 如何利用 基本利用方式讲解 常用payload总结 pwntools -- FmtStr类 求偏移 地址泄露 任意地址写 一个例子 总结 概念 格式化字符串漏洞的成因在 ...
- 格式化字符串漏洞利用 五、爆破
五.爆破 原文:Exploiting Format String Vulnerabilities 作者:scut@team-teso.net 译者:飞龙 日期:2001.9.1 版本:v1.2 当利用 ...
- Linux下的格式化字符串漏洞利用姿势
[转]http://www.cnblogs.com/Ox9A82/p/5429099.html linux最早的漏洞防护机制nx-stack刚刚出现后就有人想出了突破方法.那就是只有栈是不可执行,而除 ...
- 格式化字符串漏洞利用 七、工具
七.工具 原文:Exploiting Format String Vulnerabilities 作者:scut@team-teso.net 译者:飞龙 日期:2001.9.1 版本:v1.2 一旦利 ...
- 格式化字符串漏洞利用 六、特殊案例
六.特殊案例 原文:Exploiting Format String Vulnerabilities 作者:scut@team-teso.net 译者:飞龙 日期:2001.9.1 版本:v1.2 有 ...
- linux获取字符格式化,Linux 格式化字符串漏洞利用
目的是接觸一些常見的漏洞,增加自己的視野.格式化字符串危害最大的就兩點,一點是leak memory,一點就是可以在內存中寫入數據,簡單來說就是格式化字符串可以進行內存地址的讀寫.下面結合着自己的學習 ...
- 格式化字符串漏洞及利用_萌新食用
格式化字符串漏洞及利用 前言 格式化字符串漏洞 具有 任意地址读,任意地址写. printf printf --一个参数:情况1 //gcc -g -m32 fmt.c -o fmt #includ ...
- 利用格式化字符串漏洞实现任意地址读写
格式化字符串漏洞是一个经典的 pwn 类型漏洞,入门文章很多,例如如下博客 格式化字符串漏洞小总结(上) - 先知社区 (aliyun.com) 原理介绍 - CTF Wiki (ctf-wiki.o ...
最新文章
- ubuntu 禁用透明大页_Linux关于透明大页的使用与禁用介绍
- mysql long varchar2_long查询结果转换为varchar2类型
- asp.net 根据当前时间计算是否股票、期货、黄金交易日期
- Java日期型集合排序
- c语言中do有什么作用,C语言中do while语句的用法是什么?_后端开发
- iis php7页面空白,iis 无法显示htm页面问题解决
- iOS开发之UITableView自定义Header视图和自定义Footer视图
- MG3000系列设备IP修改内容
- 宋宝华:公元1024年Linux内核的尘封往事
- 第五章第二十八题(显示每月第一天是星期几)(Display the first days of each month)
- 少年,我看你骨骼精奇,见与你有缘,这套算法赠你
- Mac系统切换SMB账号密码
- 华为路由器命令手册_用数据说话,华为路由Q2 Pro与网件R7800对比测评
- GPIO的配置及使用(MC9S08AW60)
- busybox文件系统制作
- Android权限申请库——EasyPermissions使用详解和打开相册方法
- colorkey口红怎么样_colorkey小众品牌口红唇釉效果好吗 – 爱分享
- 【计量】调节效应专题
- addrow是什么意思java_如何在JTable中添加行?
- ANSI_SQL隔离级别-译文
热门文章
- (87)Verilog HDL:七分频设计
- linux系统汇总的qt,QT 编程总结_Linux编程_Linux公社-Linux系统门户网站
- oracle 强制索引_当唯一索引遇见分布式数据库
- C语言访问存储器的方法
- GO string 转map_用go语言,只需两百行代码就能搞定并发聊天室!
- 【实验2】——模糊函数
- 嵌入式Linux系统编程学习之二十无名管道(PIPE)
- mysql report参数_mysqlreport 使用说明
- linux 中级 教程pdf,Linux初中级学习者指导Linux操作系统技术合集.pdf
- 记录配置faster rcnn(caffe)CPU版本遇到的问题