[信息系统安全实验] 实验2.软件安全

格式化字符串漏洞

prog1

• prog1.c 代码:

/* prog1.c */
#include <stdio.h>

void fmtstr()
{
    char input[100];
    int var = 0x11223344;                     

    /* print out information for experiment purpose */
    printf("Target address: %x\n", (unsigned) &var);
    printf("Data at target address: 0x%x\n", var);

    printf("Please enter a string: ");
    fgets(input, sizeof(input)-1, stdin);

    printf(input);

    printf("Data at target address: 0x%x\n",var);
}

void main() { fmtstr(); }

根据 prog1.c 的代码, 可以看到程序会输入一个字符串 input, 然后由 printf() 进行打印.
需要注意的有两点: 一是使用 fgets() 函数进行的输入读取, 最多会读取 sizeof(input)-1 个字符, 因此不会出现缓冲区溢出的漏洞; 二是 printf() 的使用不规范, 只有输入字符串作为参数, 因此可以利用输入格式化字符串对 printf() 的输出进行控制.

• 环境配置: 关闭 ASLR, 使用命令:

$ sudo sysctl -w kernel.randomize_va_space=0

1. 使得 prog1 崩溃
   运行程序 prog1, 输入 %s, 即可使程序崩溃.
   

• 解释: 使用格式化字符串时, 由于没有对应的参数, 在汇编时也就没有将参数入栈, 因此 printf() 会输出栈上的数据. 采用 %x 进行尝试, 如下图输出了 0x63, 容易知道该值比较小, 作为地址的话一般位于操作系统保护的区域不能输出, 因此可以利用 %s 格式化字符串尝试输出该地址的值, 从而使程序崩溃.
  

2. 打印栈上数据
   运行程序 prog1, 输入 %x.%x.%x.%x.%x.%x.%x.%x
   

• 解释: 原理和 #1 类似, 输入多个 %x 即可打印栈上的多个数据. 容易看到, 变量的值 0x11223344 也出现在了 printf() 打印的栈上数据中.

3. 改变程序的内存数据: 将变量 var 的值, 从 0x11223344 变成 0x66887799