格式化字符串漏洞利用 二、格式化函数

二、格式化函数

原文:Exploiting Format String Vulnerabilities

作者:scut@team-teso.net

译者:飞龙

日期:2001.9.1

版本:v1.2

格式化函数是一类特殊的 ANSI C 函数,接受可变数量的参数,其中的一个就是所谓的格式化字符串。当函数求解格式化字符串时,它会访问向函数提供的额外参数。它是一个转换函数,用于将原始的 C 数据类型表示为人类可读的字符串形式。它们在几乎任何 C 程序中都会使用,来输出信息、打印错误信息或处理字符串。

这一章中,我们会涵盖格式化函数使用中的典型漏洞,正确用法,它们的一些参数,以及格式化字符串漏洞的一般概念。

2.1 格式化字符串

如果攻击者能够向 ANSI C 格式化函数提供字符串,无论部分还是全部,就出现了格式化字符串漏洞。由此,格式化函数的行为会改变,并且攻击者就可能控制目标应用。

在下面的例子中,字符串user由攻击者提供 -- 他可以控制整个 ASCIIZ 字符串,例如通过使用命令行参数。

错误用法:

int func (char *user) { 
    printf (user); 
}

正确用法:

int func (char *user) { 
    printf ("%s", user); 
}

2.2 格式化函数系列

ANSI C 规范中定义了大量格式化函数。有一些基本的格式化函数,复杂的函数基于它们,它们中的一些并不是标准的一部分,但是广泛可用。

实际成员为:

  • fprintf -- 打印到FILE

  • printf -- 打印到stdout

  • sprintf -- 打印到字符串

  • snprintf -- 打印到字符串,带有长度检查

  • vfprintf -- 从va_arg结构打印到FILE

  • vprintf -- 从va_arg结构打印到stdout

  • vsprintf -- 从va_arg结构打印到字符串

  • vsnprintf -- 从va_arg结构打印到字符串,带有长度检查

近亲:

  • setproctitle -- 设置argv[]

  • syslog -- 输出到syslog设施

  • 其它类似err*, verr*, warn*, vwarn*的函数

2.3 格式化函数的用法

为了理解这个漏洞在 C 语言代码的哪里,我们必须检验格式化函数的目的。

功能

  • 用于将简单的 C 数据类型转换为字符串表示

  • 允许指定表示的格式

  • 处理产生的字符串(输出到stderrstdoutsyslog...)

格式化函数工作原理

  • 格式化字符串控制了函数的行为

  • 它指定了需要打印的参数类型

  • 直接(传值)或间接(传址)保存二者

调用函数

需要知道它向栈中压入了多少参数,因为它当格式化函数返回时需要清栈。

2.4 格式化字符串具体是什么?

格式化字符串是一个 ASCIIZ 字符串,包含文本和格式化参数。

例如:

printf ("The magic number is: %d\n", 1911); 

要打印的文本是The magic number is:,后面是格式化参数%d,它在输出中会被参数1911代替。所以输出是这个样子:he magic number is: 1911

一些格式化参数:

参数 输出 传递方式
%d 十进制(int 传值
%u 无符号十进制(unsigned int 传值
%x 十六进制(unsigned int 传值
%s 字符串((const) char* 传址
%n 目前为止写入的字节数(int * 传址

\字符用于转义特殊字符。它会被 C 编译器在编译使其替换,将转义序列替换为二进制中的适当字符。格式化函数并不会识别这些特殊的序列。实际上,它们并不对格式化字符串做任何事情,但是有时会产生混淆,就像它们被编译器求值一样。

例如:

printf ("The magic number is: \x25d\n", 23);

上面的代码可以工作,因为\x25在编译时期替换为%,虽然0x25(37)是百分号字符的 ASCII 值。

2.5 栈和它在格式化字符串中的作用

格式化函数的行为由格式化字符串控制。函数接受栈上的一些参数,它们由格式化字符串请求。

printf ("Number %d has no address, number %d has: %08x\n", i, a, &a);

printf来看,栈的样子是:

   栈顶
+--------+
|  ...   |
|   &a   |
|   a    |
|   i    |
|   A    |
|  ...   |
+--------+
   栈底

其中:

符号 含义
A 格式化字符串的地址
i 变量i的值
a 变量a的值
&a 变量a的地址

格式化字符串现在解析了格式化字符串A,一次读取一个字符。如果它不是%,字符会复制到输出中。否则,%后面的字符规定了要求值的参数类型。字符串%%拥有特殊函数,用于打印转义字符%本身。其它每个参数都和数据相关,位于栈上。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,214评论 6 481
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,307评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 152,543评论 0 341
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,221评论 1 279
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,224评论 5 371
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,007评论 1 284
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,313评论 3 399
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,956评论 0 259
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,441评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,925评论 2 323
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,018评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,685评论 4 322
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,234评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,240评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,464评论 1 261
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,467评论 2 352
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,762评论 2 345

推荐阅读更多精彩内容