七、格式化字符串漏洞

原文:Format String Vulnerability

译者:飞龙

printf ( user_input );

上面的代码在 C 程序中十分常见。这一章中,我们会发现如果程序使用权限运行(例如 Set-UID 程序),可能造成什么问题。

1 格式化字符串

  • 什么是格式化字符串?

    printf ("The magic number is: %d\n", 1911);
    

    被打印的文本是The magic number is:,后面是格式化参数%d。它在输出中由参数 1911 替换。因此输出是这样:The magic number is: 1911。除了%d,还有几种其它的格式化参数,每种都有不同的含义。下面的表格总结了这些格式化参数:

    参数 含义 传递方式
    ------------------------------------------
    %d 十进制 (int) 传值 
    %u 无符号十进制 (unsigned int) 传值 
    %x 十六集进制 (unsigned int) 传值 
    %s 字符串 ((const) (unsigned) char *) 传址 
    %n 目前为止写入的字符数 (* int) 传址
    
  • 栈和它在格式化字符串中的作用

    格式化函数的行为格式化字符串控制。函数从栈上获取由格式化字符串请求的参数。

    printf ("a has value %d, b has value %d, c is at address: %08x\n", a, b, &c);
    

  • 如果格式化字符串和实际参数之间不匹配,会如何?

    printf ("a has value %d, b has value %d, c is at address: %08x\n", a, b);
    
    • 在上面的例子中,格式化字符串请求三个参数,但是程序实际上提供了两个(也就是ab)。
    • 这个可以通过编译器嘛?
      • 函数printf定义为参数长度可变的函数。因此,通过查看参数数量,一切都正常。
      • 为了寻找不匹配,编译器需要理解printf如何工作,以及格式化字符串是什么意思。但是,编译器不会做这种分析。
      • 有时,格式化字符串不是个字符串常量。它在程序执行期间生成。因此,这里编译器没有办法发现不匹配。
    • printf可能检测不匹配吗?
      • 函数printf从栈上获取参数。如果格式化字符串需要三个参数,它会从栈上获取三个参数。除非栈上存在标记,printf不知道它超出了提供给它的参数范围。
      • 由于不存在标记,printf会继续从栈上抓取数据。在不匹配的情况下,它会抓取一些不属于这个函数调用的数据。

2 格式化字符串漏洞攻击

  • 使程序崩溃

    printf ("%s%s%s%s%s%s%s%s%s%s%s%s");
    
    • 对于每一个%sprintf会从栈上抓取一个数值,将其看做地址,并将由该地址指向的内存内容打印为字符串,直到遇到了空字符(数值 0 而不是字符 0)。
    • 由于printf抓取的数值可能不是有效地址,由该数值指向的内存可能不存在(也就是没有物理内存赋给这个地址),程序就会崩溃。
    • 也可能数值碰巧是有效地址,但是地址空间被保护了(也就是为内核空间预留)。这样的话,程序也会崩溃。
  • 查看栈

    printf ("%08x %08x %08x %08x %08x\n");
    
    • 这让printf函数从栈上获取五个参数,并将其展示为填充长度为 8 的十六进制数值。所以输出可能为:

      40012980 080628c4 bffff7a4 00000005 08059c04
      
  • 查看任何地址的内存

    • 我们需要提供内存地址。但是我们不能修改代码,我们只能提供格式化字符串。

    • 如果我们使用printf(%s),而不指定内存地址,printf就会从栈上获取目标地址。函数维护了初始的栈指针,所以它知道栈上参数的位置。

    • 观察:格式化字符串通常位于栈上。如果我们可以将目标地址编码在格式化字符串中,目标地址就能在栈上。下面的示例中,格式化字符串储存在缓冲区中,它位于栈上。

      int main(int argc, char *argv[]) { 
          char user_input[100]; 
          ... ... /* other variable definitions and statements */
      
          scanf("%s", user_input); /* getting a string from user */ 
          printf(user_input); /* Vulnerable place */
      
          return 0;
      }
      
    • 如果我们可以让printf从格式化字符串获取地址(也位于栈上),我们就可以控制该地址。

      printf ("\x10\x01\x48\x08 %x %x %x %x %s");
      
    • \x10\x01\x48\x08是目标地址的四个字节。在 C 语言中,\x10让编译器将十六进制值 0x10 放入当前位置。这个值只占一个字节。如果我们不使用\x,直接将 10 放入字符串,就会储存 ASCII 值 1 和 0。它们的 ASCII 值是 49 和 48。

    • %x让栈指针沿着格式化字符串移动。

    • 这里是攻击方式,如果user_input包含下面的格式化字符串:

      "\x10\x01\x48\x08 %x %x %x %x %s"
      

    • 本质上,我们使用四个%x来使printf的指针,向我们储存在格式化字符串中的地址移动。一旦到达了目标,我们就会像printf提供%s,使其打印出地址0x10014808的内容。函数printf会将内存看做字符串,并打印出来,知道到达了字符串尾部(空字符)。

    • user_input和传给printf函数的地址之间的栈空间并不是printf的。但是,由于程序中的格式化字符串漏洞。printf将它们看做匹配格式化字符串中%x的参数。

    • 这个攻击的关键就是弄清楚user_input和传给printf的地址的距离。这个距离决定了在提供%s之前,你需要向格式化字符串插入多少个%x

  • 在进程的内存中向任何地址写入整数

    • %n:目前为止写入的字符数量,储存在一个整数中,它由相应参数表示。

      int i; 
      printf ("12345%n", &i);
      
    • 它使printf将 5 写入变量i

    • 使用查看任意地址内存的相同方式,我们可以使printf将整数写入任意地址。只需要将上面例子中的%s替换为%n,就会覆盖0x10014808地址处的内容。

    • 使用这个攻击,攻击者可以做这些事情:

      • 覆盖控制访问权限的重要程序标志位
      • 覆盖栈上的返回地址,函数指针,以及其他
    • 但是,写入的值由%n之前已打印的字符数量决定。是否真的可以写入任意整数呢?

      • 使用伪造的输出字符。为了写入值 1000,应该事先打印 1000 个伪造字符的间隔。
      • 为了避免过长的格式化字符串,我们可以使用格式化标志的宽度限定。
  • 预防措施

    • 地址空间随机化:就像用于保护缓冲区溢出攻击的预防措施那样,地址空间随机化攻击者难以找到他们想要读取或写入什么地址。(译者注:但是仍然有一些区域无法随机化,比如 PLT)。


书籍推荐

此网站出售,联系QQ:779236454