格式化字符串漏洞利用 二、格式化函数
来源:互联网 发布:vb if then 编辑:程序博客网 时间:2024/05/22 05:33
二、格式化函数
原文:Exploiting Format String Vulnerabilities
作者:scut@team-teso.net
译者:飞龙
日期:2001.9.1
版本:v1.2
格式化函数是一类特殊的 ANSI C 函数,接受可变数量的参数,其中的一个就是所谓的格式化字符串。当函数求解格式化字符串时,它会访问向函数提供的额外参数。它是一个转换函数,用于将原始的 C 数据类型表示为人类可读的字符串形式。它们在几乎任何 C 程序中都会使用,来输出信息、打印错误信息或处理字符串。
这一章中,我们会涵盖格式化函数使用中的典型漏洞,正确用法,它们的一些参数,以及格式化字符串漏洞的一般概念。
2.1 格式化字符串
如果攻击者能够向 ANSI C 格式化函数提供字符串,无论部分还是全部,就出现了格式化字符串漏洞。由此,格式化函数的行为会改变,并且攻击者就可能控制目标应用。
在下面的例子中,字符串user由攻击者提供 – 他可以控制整个 ASCIIZ 字符串,例如通过使用命令行参数。
错误用法:
int func (char *user) { printf (user); }正确用法:
int func (char *user) { printf ("%s", user); }2.2 格式化函数系列
ANSI C 规范中定义了大量格式化函数。有一些基本的格式化函数,复杂的函数基于它们,它们中的一些并不是标准的一部分,但是广泛可用。
实际成员为:
fprintf– 打印到FILE流printf– 打印到stdout流sprintf– 打印到字符串snprintf– 打印到字符串,带有长度检查vfprintf– 从va_arg结构打印到FILE流vprintf– 从va_arg结构打印到stdout流vsprintf– 从va_arg结构打印到字符串vsnprintf– 从va_arg结构打印到字符串,带有长度检查
近亲:
setproctitle– 设置argv[]syslog– 输出到syslog设施其它类似
err*,verr*,warn*,vwarn*的函数
2.3 格式化函数的用法
为了理解这个漏洞在 C 语言代码的哪里,我们必须检验格式化函数的目的。
功能
用于将简单的 C 数据类型转换为字符串表示
允许指定表示的格式
处理产生的字符串(输出到
stderr、stdout、syslog…)
格式化函数工作原理
格式化字符串控制了函数的行为
它指定了需要打印的参数类型
直接(传值)或间接(传址)保存二者
调用函数
需要知道它向栈中压入了多少参数,因为它当格式化函数返回时需要清栈。
2.4 格式化字符串具体是什么?
格式化字符串是一个 ASCIIZ 字符串,包含文本和格式化参数。
例如:
printf ("The magic number is: %d\n", 1911); 要打印的文本是The magic number is:,后面是格式化参数%d,它在输出中会被参数1911代替。所以输出是这个样子:he magic number is: 1911。
一些格式化参数:
%d 十进制(int) 传值 %u 无符号十进制(unsigned int) 传值 %x 十六进制(unsigned int) 传值 %s 字符串((const) char*) 传址 %n 目前为止写入的字节数(int *) 传址\字符用于转义特殊字符。它会被 C 编译器在编译使其替换,将转义序列替换为二进制中的适当字符。格式化函数并不会识别这些特殊的序列。实际上,它们并不对格式化字符串做任何事情,但是有时会产生混淆,就像它们被编译器求值一样。
例如:
printf ("The magic number is: \x25d\n", 23);上面的代码可以工作,因为\x25在编译时期替换为%,虽然0x25(37)是百分号字符的 ASCII 值。
2.5 栈和它在格式化字符串中的作用
格式化函数的行为由格式化字符串控制。函数接受栈上的一些参数,它们由格式化字符串请求。
printf ("Number %d has no address, number %d has: %08x\n", i, a, &a);从printf来看,栈的样子是:
栈顶+--------+| ... || &a || a || i || A || ... |+--------+ 栈底其中:
i的值 a 变量a的值 &a 变量a的地址格式化字符串现在解析了格式化字符串A,一次读取一个字符。如果它不是%,字符会复制到输出中。否则,%后面的字符规定了要求值的参数类型。字符串%%拥有特殊函数,用于打印转义字符%本身。其它每个参数都和数据相关,位于栈上。
- 格式化字符串漏洞利用 二、格式化函数
- Linux 格式化字符串漏洞利用
- 格式化字符串漏洞利用 三、格式化字符串漏洞
- 格式化字符串漏洞利用 一、引言
- 格式化字符串漏洞利用 五、爆破
- 格式化字符串漏洞利用 六、特殊案例
- 格式化字符串漏洞利用 七、工具
- 学习记录:格式化字符串漏洞利用
- 格式化字符串漏洞
- 格式化字符串漏洞实验
- 格式化字符串漏洞简介
- 实践格式化字符串漏洞
- 格式化字符串漏洞攻击
- 格式化字符串漏洞利用 四、利用的变体
- [转载]格式化字符串漏洞实验
- 格式化字符串漏洞泄露StackCanary
- C# 字符串格式化函数
- WSPRINTF格式化字符串函数
- xPredIntraAng
- Traceroute程序
- Lunch Time
- redis持久化方法对比分析
- 如何创建一个只能在堆上创建对象的类
- 格式化字符串漏洞利用 二、格式化函数
- 插入排序
- IP选路
- LinkedTransferQueue
- SVN仍处于树冲突
- 多人实时对战网络同步方式研究
- Linux ls命令详解
- (原创)安卓导入项目时遇见的一些相关问题
- 6. ZigZag Conversion
