我正在学习安全课程,需要我们对 unix 虚拟机进行格式字符串攻击。该漏洞是使用命令行参数的格式字符串。
我的问题是如何将值写入格式字符串的地址(如将 shell 代码地址写入函数返回地址)?
例如,我尝试将值 987654 写入返回地址位置 0xaabbccdd。
我尝试了一些像"AAAA_%10$x"这样的字符串,这可以导致程序打印AAAA_41414141。
然后我用我的地址替换字母并尝试覆盖它。
\xdd\xcc\xbb\xaa_%10$x_%54321x_%n"
但它不起作用。我看到一篇文章说我应该在%54321x 中使用较小的数字,因为我已经写了一些字符,但我也不知道我在%54321x 之前写了多少个字符。
注意:环境有老版本的gcc,不用担心值太大。 有什么建议?谢谢。
【问题讨论】:
标签: c string security format-string
printf 不能在不使用%n 格式说明符的情况下写入任何位置。这是你缺少的那个。 %.987654d%n 之类的东西会将数字 987654(到目前为止输出的字符数)写入第二个参数指定的地址,其中第一个参数是 int。这应该足以让您入门。
【讨论】:
sprintf 写入堆栈上的字符缓冲区也可能被用于恶意破坏...
strcpy 缓冲区溢出。使用sprintf 而不是strcpy 这一事实相当偶然。
您应该使用 %n 格式化程序指定要写入的堆栈偏移量,例如 %[offset]\$n
示例:%23\$n
确保通过检查 \xdd\xcc\xbb\xaa_%54321x_%[offset]\$x" 的结果来正确获取正确的地址,这可以通过 python 或 bash 脚本完成
你应该检索地址aabbccdd
【讨论】: