格式化字符串漏洞.pdf

实验2 格式化字符串漏洞 中国科学技术大学计算机学院 曾凡平 实验环境 • ubuntu Linux虚拟机 – 特别注意： – 不同版本的ubuntu系统(如9.x和14.x)和不同版本 的gcc编译出来的可执行文件在内存分配上有细 微的差异，本实验的结果是在ubuntu14下得到 的。 – 如果是其它版本的系统，需要修改格式化字符 串中的格式字符( 以%开头的串，如%08x、%n、 %s)的个数。 实验2 格式化字符串漏洞 2 1、格式化字符串攻击原理 Linux IA32下的进程映像 低地址 高地址 .text .data .bss Heap 未使用 Stack 环境 • 其中： • ——堆(Heap) ：用于在程序中进行动态内存申请， 如常用的malloc/new 函数。 • ——栈(Stack) ：函数中的局部变量以及在函数调 用过程中产生的临时变量等。 实验2 格式化字符串漏洞 3 printf()调用过程 • 以下面代码为例： • printf(A is %d and is at %08x, B is %u and is at %08x.\n,A,A,B,B) • 参量被逆序压栈，最后是格式化字符串的地址， printf()每次遍历格式化字符串中的一个字符，如 果该字符不是格式化参数的首字符 （由百分号指 定），则复制输入该字符，若遇到一个格式化参 数，就采取相应的动作，将栈中的变量pop() ，与 该参数对应。栈指针下移。 • 重点：若格式化参数个数参量个数，printf()会从 栈的当前指针开始，依次向下打印。 实验2 格式化字符串漏洞 4 printf(A is %d and is at %08x, B is %u and is at %08x.\n,A,A,B,B) 格式化字符串的地址 • 常用的格式化字符有： A 的值 • —%s ：打印地址对应的字 符串 A 的地址 • —%n ：对该printf()前面已 B的值 输出的字符计数，将数值 B的地址 存入当前栈指针指向的栈 单元存储的地址中。 . • —%m.nx ：十六进制打印， . 宽度为m ，精度为n ，在m . 前加0处理为左对齐。 栈底 实验2 格式化字符串漏洞 5 攻击原理 • 格式化字符串攻击原理是利用格式化函数 （如 printf() ）的沿着堆栈指针向