前言:可以去一些开源镜像站下载libc老的乌班图镜像,因为堆题的libc可能比较老,没有新的一些保护措施和机制。
格式化字符串漏洞
归根结底,可以读写任意地址内存。
泄露栈数据/任意地址数据
主要问题就是printf不知道自己有没有参数,只会根据格式化字符个数在栈上往上读取,就算不是自己的参数也读取。
如果%s过多,没有足够参数情况下,程序就会崩溃
%x用来输出对应数据的16进制(不加0x的16进制)%p是把栈数据当作指针来输出,和%x相比前面有0x,所以一般也常用%p泄露。如下图,2者差不多。%p太多了,有可能给之前某个函数的canary也泄露了。
如果printf("%p","hello"),实际上入栈的是hello对应的地址。C语言传递字符串就是传递它的地址的,函数参数传递就是如此,不可能直接把数据压栈的。
这也是C语言用指针不安全的一点,比如字符串截断漏洞。将对应地址的字符串的\x00删除或篡改,puts函数这样的输出函数在输出对应地址内容的时候,就会不遇到\x00不停止,一直输出后面的内容。相应的,配合strlen和read(xxx,str,str_len)还可以篡改字符串数据。
因此不难理解,%s则是会读取这段地址,尝试解析为字符串。其实这样也有一个好处,比如栈上存放的got表自己的地址,%s读取后,就是got表内存放的数据的地址了,达到泄露got表的目的。
而%n$d,表示这是第n个参数,并且按照有符号整数打印出来。
那么,格式化字符串自己存放在什么地方呢?如果程序没有刻意搞bss之类存放,那么应该就是在栈上存放,在参数那个栈的地方存放其地址,见下图
因此,我们可以在栈上利用格式化字符串这一特性,在栈上写入敏感数据的地址,而后利用格式化字符串读取,见下图
由于给里面的地址超长了(x86一个栈是4字节),因此%6$s会在下一个栈的区域存放。
这里需要注意,0x00402004会被打印出,具体解释请看下图。
篡改栈数据/任意地址数据
需要用%n,他也是和%s一样解析,但不同的是它是向地址写入,写入前面格式化字符打印成功的个数。但是如果我们要用这个写入很大的数据,必须在前方打印足够长的字节吗?
可以用格式化字符串控制,比如%20d,意思是宽度是20的一个d,这样就算打印出来了一个变量,他也会认为前方已经打印出20个字符了。同时%n也支持%4$n这样的语法。
由于%n不是直接修改栈上的值,想要修改栈的值还得是通过%p泄露EBP之类的值,再利用%n来操作。
这里要注意,%n默认是4字节整数写入。%hn是2字节,%hhn是一个字节(h代表half)
例题讲解
fmtstr1
有canary,估计无法栈溢出。看源码估计也是格式化字符串。因为第10行的printf函数的格式化参数我们是完全可控的。
老师的思路是先调试一下看看。我们得看看x的地址(因为是%n)对于printf来说是第几个参数才行,ida看不出来这,必须得动调。
易错点:printf的第一个参数是格式化字符串,格式化字符串的参数是%n,%s之类。也就是printf的第二个参数才是格式化字符串的第一个参数。以此类推,主要是格式化字符串也是一个参数,他的地址同样入栈,千万不要搞混淆。
同时,格式化字符串中的%n$的n指的是相对于格式化字符串的参数的意思,也就是参数是第N个printf的参数减去1。
更加具体的介绍,下面是程序执行流停在了call printf。这里可以看出esp指向的AAAA就是压栈的格式化字符串地址,这个参数实际上是储存在了eax那一行的。从上往下数刚好是第12个(针对于printf而言)而格式化字符串里面肯定是11$.
exp可以证明这一点:
goodluck
这是个64位程序。
程序竟然让我们自己输入flag,他进行比对。这肯定是不行的。format完全是我们控制,所以这也是格式化字符串漏洞的题目。我估计要想办法泄露fp的地址把。实际上v10保存着flag字符串,应该是泄露v10(刚好他也在栈上)
ms的用法:
在 C 语言里,
scanf函数的%ms格式说明符是一个拓展功能,主要用于动态分配内存来存储输入的字符串。下面为你详细介绍它的功能和用法:主要功能
- 动态内存分配:
%ms会依据输入字符串的实际长度,自动分配足够的内存空间,这样就无需提前指定缓冲区的大小。- 自动字符串终止:和
%s一样,%ms会在读取到空白字符(例如空格、制表符、换行符)时停止,并会自动在字符串末尾添加\0作为结束符。- 返回分配的指针:成功读取输入后,
%ms会把分配的内存地址存储到对应的指针变量中。关键要点
- 需要指针参数:调用
scanf时,传给%ms的参数必须是一个char**类型的指针,也就是一个指向字符指针的指针。- 内存管理:使用完分配的内存后,要记得用
free()函数释放内存,防止出现内存泄漏。- 输入截断:
%ms会一直读取,直到遇到空白字符或者文件结束符(EOF),这一点和%s是相同的。
这就有意思了,因为泄露任意地址数据肯定要保证格式化字符串在栈上呀 。但是无关紧要,我们只需要泄露栈上的v10。
注意64位printf的参数。首先第一个参数格式化字符串在rdi寄存器,现在我们知道前6个参数肯定在寄存器,第六个才入栈,明显printf也会按照这样的顺序来读取。
可以直接正常执行程序输入%7$p,看看程序泄露出来的第七个参数的地址。当然这样一眼不一定能看出来,可以在输入89多对比看看。因为一般具有栈地址随机化,但是栈上某些部分的值却是特殊的,可以多打印几个明显看出来。
一句话就是由于传参方式不一样,不能直接通过在栈上数参数来找偏移了,必须试出来按正常执行的第七个参数究竟在什么地方。
其实这道题经过我的观察也可以直接从x64入栈方式来找偏移,第七个参数按理来说就是靠近addr的那个栈保存的。根据此数出来的偏移也刚好符合题意,实战中二者结合使用吧。
堆引入
想要解决第三题,必须有堆的基础,接下来就认识一下堆。实际的漏洞栈多于堆,但是CTF中堆的题目数量是大于栈的。
shared这块就是mmap段。
一般linux就是glibc。GNU协会搞linux的软件环境,所以这linux很多地方都有g的身影。
堆管理器是用户态代码,所以必须通过系统调用和内存这方面硬件建立联系。
在Linux进程的虚拟内存布局中,数据段包含已初始化和未初始化的全局及静态变量,其大小在程序加载时就已确定,运行过程中无法改变。而堆位于数据段之后,是动态内存分配的区域,`brk`系统调用并非直接扩展数据段,而是通过调整堆的结束地址(`break`指针)来实现堆空间的动态扩展与收缩。当程序调用`malloc`请求内存,若现有堆空间不足,`malloc`就可能通过`brk`系统调用增加`break`指针的值,使堆向高地址方向延伸;当释放大量内存时,`break`指针可能减小,但内核通常不会立即将内存归还系统,而是保留以供后续分配 。--豆包
mmap有意思了,map就是映射,也就是在物理内存开辟一块空间,映射到相应虚拟内存。
主线程两种方法都可以(申请内存空间相对大就用mmap,否则是brk),子线程只能用mmap。释放内存则是free
具体了解堆,且听下回分解