缓冲区溢出-printf格式化输出漏洞

发布时间:2020-04-09 21:07:10 作者:Margin_51cto
来源:网络 阅读:1595

0x00本文视频:

    如果文字过于枯燥可观看在线视频:https://edu.51cto.com/sd/16514

0x01基础知识:

在c语言中printf的使用方法为printf(format,<参量表>),printf是c语言中少见的可变参数的库函数,printf在调用前无法知道传入的参数到底有多少个(在32位汇编中参数都是压入栈中,也就是说printf不知到有多少个参数入栈了),例如printf("My name is %s,%s"),这里format指定了要传递2个参数,但我们并没有传,这时候printf就会去栈中高地址四字节数据来填充%s,也就是:format+4,format+8的值进行填充。

下面举个例子:

缓冲区溢出-printf格式化输出漏洞

编译:gcc -m32 -O0 base.c -o ./base 编译为32位。

这是我们的测试代码,在printf里没有给printf传递%s对应的值,我们一起来看下执行效果:

缓冲区溢出-printf格式化输出漏洞

你会发现,我们没有传递str变量,但还是打印了,我们使用GDB来调试下,看是否和我们前面说的使用format+4地址来填充.

汇编代码执行到printf的时候我们暂停,看看栈中的数据:

缓冲区溢出-printf格式化输出漏洞

format数据是0x8048580,对应在栈空间的位置:0xffffd5c0,按照之前的计算format+4对应的值为Margin,这样我们便验证成功了。

利用这个思路,我们可以考虑下,既然可以使用%s来打印栈空间的内容,那是不是所有栈空间的内容都可以打印,我使用%s时打印的是format+4,那我使用两个%s%s打印的是不是format+4,format+8的内容,以此类推我们可以将栈空间所有值都可以打印出来。接下来我们用一个实验来验证下我们的想法。

下面我们要做的是使用printf的格式化漏洞来泄漏canary的值来达到绕过的目的。

第一步:我们先分析下c语言代码

缓冲区溢出-printf格式化输出漏洞

代码中的func函数是有一个printf函数,存在格式化字符串漏洞,正常写法应该是printf("My name is %s",name)。

编译:gcc -fstack-protector -m32 -o0 c.c -o ./c

第二步:确认canary的位置(偏移量)

思路是:先找到我们输入内容的位置x,在找到canary位置y,然后x-y得到偏移量

在printf位置打断点:b printf

在gdb里执行r运行程序,然后输入aaaa(这里随意写,写aaaa的意义在于在栈空间里好找,都是61616161)

1.打印ebp的值,在函数运行时要保存ebp的值,所以,我们只要在函数运行的时候找到即可。执行命令disass func查看func函数汇编代码,在0x080484ea的位置打断点,因为gs:0x14的值就是Canary的值。

缓冲区溢出-printf格式化输出漏洞

打断点:b *0x080484ea,执行到此处,在输入两次n,执行完mov dword ptr [ebp-0xc],eax后canary的值就在eax中了

缓冲区溢出-printf格式化输出漏洞

可以看到canary的值为0xb26f7f00

我们在打断点b printf,然后执行c,执行到该断点(中间我们输入margin)

1.找到canary在栈中的位置:p $ebp (因为canary在ebp附近)

缓冲区溢出-printf格式化输出漏洞

在栈中找到ebp的位置,执行:stack 0x28(意思是要看四十行栈数据)

我们知道在栈帧空间中布局如下:

缓冲区溢出-printf格式化输出漏洞

可以看到canary在0xffffd5ec的位置,我们输入的margin字符串在0xffffd5b0位置,但是指向的是0xffffd5cc,所以我们可以计算我们输入的margin字符串距离canary:0xffffd5ec - 0xffffd5cc = 32,所以,我们如果要覆盖canary需要32个字符。

第三部:动态获取canary

现在我们知道了canary的偏移量,但是我们还不知道canary的动态值,这里我们就需要用到printf函数的格式化漏洞(回忆下前面讲的format+4),上面截图我们可以看到printf第一个参数距离canary有15所以我们可以输入%08x%08x%08x%08x%08x%08x%08x%08x%08x%08x%08x%08x%08x%08x%08x来得到canary的值(最后8位是canary),或者简化写法%15$08x.

第四步:获取shell

在程序中我们已经知道了有一个exploit函数可以让我们直接获取shell,所以我们就把func函数的返回地址直接覆盖为exploit即可

从上面步骤截图中我们可以看到canary到ebp是12,所以payload为:

'a' * 32 + canary + 'a' * 12 + exploit地址

python代码为:

缓冲区溢出-printf格式化输出漏洞

推荐阅读:
  1. printf 格式
  2. 缓冲区溢出漏洞-基本ROP-ret2lib

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

网络/安全 安全技术 缓冲区溢出

上一篇:[cocos2dx]防止八门神器修改内存数据

下一篇:vsftpd服务监听端口修改以及设置iptables

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》