Format Strings
Informations de base
En C, printf
est une fonction qui peut être utilisée pour afficher une chaîne de caractères. Le premier paramètre que cette fonction attend est le texte brut avec les formateurs. Les paramètres suivants attendus sont les valeurs à substituer aux formateurs du texte brut.
La vulnérabilité apparaît lorsque le texte de l'attaquant est utilisé comme premier argument de cette fonction. L'attaquant pourra créer une entrée spéciale en abusant des capacités de chaînes de format printf pour lire et écrire n'importe quelle donnée à n'importe quelle adresse (lisible/inscriptible). En étant capable de cette manière d'exécuter du code arbitraire.
Formateurs:
Exemples:
Exemple vulnérable:
Utilisation normale :
Avec des arguments manquants :
Accès aux pointeurs
Le format %<n>$x
, où n
est un nombre, permet d'indiquer à printf de sélectionner le n-ième paramètre (de la pile). Ainsi, si vous souhaitez lire le 4ème paramètre de la pile en utilisant printf, vous pourriez faire :
et vous liriez du premier au quatrième paramètre.
Ou vous pourriez faire :
et lisez directement le quatrième.
Remarquez que l'attaquant contrôle le paramètre pr
intf
, ce qui signifie essentiellement que son entrée sera dans la pile lorsque printf
est appelé, ce qui signifie qu'il pourrait écrire des adresses mémoire spécifiques dans la pile.
Un attaquant contrôlant cette entrée sera capable d'ajouter une adresse arbitraire dans la pile et de faire en sorte que printf
y accède. La prochaine section expliquera comment utiliser ce comportement.
Lecture arbitraire
Il est possible d'utiliser le formateur $n%s
pour faire en sorte que printf
obtienne l'adresse située à la position n, la suivant et l'imprime comme s'il s'agissait d'une chaîne de caractères (imprime jusqu'à ce qu'un 0x00 soit trouvé). Ainsi, si l'adresse de base du binaire est 0x8048000
, et que nous savons que l'entrée utilisateur commence à la 4e position dans la pile, il est possible d'imprimer le début du binaire avec :
Notez que vous ne pouvez pas mettre l'adresse 0x8048000 au début de l'entrée car la chaîne sera concaténée avec 0x00 à la fin de cette adresse.
Écriture arbitraire
Le formateur $<num>%n
écrit le nombre d'octets écrits à l'adresse indiquée dans le paramètre <num> dans la pile. Si un attaquant peut écrire autant de caractères qu'il le souhaite avec printf, il pourra faire en sorte que $<num>%n
écrive un nombre arbitraire dans une adresse arbitraire.
Heureusement, pour écrire le nombre 9999, il n'est pas nécessaire d'ajouter 9999 "A" à l'entrée, pour ce faire, il est possible d'utiliser le formateur %.<num-write>%<num>$n
pour écrire le nombre <num-write>
à l'adresse pointée par la position num
.
Cependant, notez qu'en général, pour écrire une adresse telle que 0x08049724
(qui est un ENORME nombre à écrire en une seule fois), on utilise $hn
au lieu de $n
. Cela permet de n'écrire que 2 octets. Par conséquent, cette opération est effectuée deux fois, une fois pour les 2 octets les plus élevés de l'adresse et une autre fois pour les octets les plus bas.
Ainsi, cette vulnérabilité permet d'écrire n'importe quoi à n'importe quelle adresse (écriture arbitraire).
Dans cet exemple, l'objectif va être de remplacer l'adresse d'une fonction dans la table GOT qui sera appelée plus tard. Bien que cela puisse exploiter d'autres techniques d'écriture arbitraire pour exécuter du code :
Arbitrary Write 2 ExecNous allons remplacer une fonction qui reçoit ses arguments de l'utilisateur et la rediriger vers la fonction system
.
Comme mentionné, pour écrire l'adresse, généralement 2 étapes sont nécessaires : Vous écrivez d'abord 2 octets de l'adresse, puis les 2 autres. Pour ce faire, on utilise $hn
.
HOB est appelé pour les 2 octets les plus élevés de l'adresse
LOB est appelé pour les 2 octets les plus bas de l'adresse
Ensuite, en raison du fonctionnement de la chaîne de format, vous devez d'abord écrire le plus petit des [HOB, LOB] puis l'autre.
Si HOB < LOB
[adresse+2][adresse]%.[HOB-8]x%[décalage]\$hn%.[LOB-HOB]x%[décalage+1]
Si HOB > LOB
[adresse+2][adresse]%.[LOB-8]x%[décalage+1]\$hn%.[HOB-LOB]x%[décalage]
HOB LOB HOB_shellcode-8 NºParam_dir_HOB LOB_shell-HOB_shell NºParam_dir_LOB
Modèle Pwntools
Vous pouvez trouver un modèle pour préparer une exploitation de ce type de vulnérabilité dans :
Format Strings TemplateOu cet exemple de base à partir de ici:
Autres exemples et références
32 bits, pas de relro, pas de canary, nx, pas de pie, utilisation basique des chaînes de format pour divulguer le drapeau depuis la pile (pas besoin de modifier le flux d'exécution)
32 bits, relro, pas de canary, nx, pas de pie, chaîne de format pour écraser l'adresse
fflush
avec la fonction win (ret2win)32 bits, relro, pas de canary, nx, pas de pie, chaîne de format pour écrire une adresse à l'intérieur de main dans
.fini_array
(pour que le flux boucle une fois de plus) et écrire l'adresse desystem
dans la table GOT pointant versstrlen
. Lorsque le flux revient à main,strlen
est exécuté avec l'entrée utilisateur et pointant verssystem
, il exécutera les commandes transmises.
Last updated