标签：prog1 信息系统 字符串 .% 安全 实验 printf var input

[信息系统安全实验] 实验2.软件安全

格式化字符串漏洞

prog1

• prog1.c 代码:

/* prog1.c */
#include <stdio.h>

void fmtstr()
{
    char input[100];
    int var = 0x11223344;                     

    /* print out information for experiment purpose */
    printf("Target address: %x\n", (unsigned) &var);
    printf("Data at target address: 0x%x\n", var);

    printf("Please enter a string: ");
    fgets(input, sizeof(input)-1, stdin);

    printf(input);

    printf("Data at target address: 0x%x\n",var);
}

void main() { fmtstr(); }

根据 prog1.c 的代码, 可以看到程序会输入一个字符串 input, 然后由 printf() 进行打印.
需要注意的有两点: 一是使用 fgets() 函数进行的输入读取, 最多会读取 sizeof(input)-1 个字符, 因此不会出现缓冲区溢出的漏洞; 二是 printf() 的使用不规范, 只有输入字符串作为参数, 因此可以利用输入格式化字符串对 printf() 的输出进行控制.

• 环境配置: 关闭 ASLR, 使用命令:

$ sudo sysctl -w kernel.randomize_va_space=0

1. 使得 prog1 崩溃
   运行程序 prog1, 输入 %s, 即可使程序崩溃.
   

• 解释: 使用格式化字符串时, 由于没有对应的参数, 在汇编时也就没有将参数入栈, 因此 printf() 会输出栈上的数据. 采用 %x 进行尝试, 如下图输出了 0x63, 容易知道该值比较小, 作为地址的话一般位于操作系统保护的区域不能输出, 因此可以利用 %s 格式化字符串尝试输出该地址的值, 从而使程序崩溃.
  

2. 打印栈上数据
   运行程序 prog1, 输入 %x.%x.%x.%x.%x.%x.%x.%x
   

• 解释: 原理和 #1 类似, 输入多个 %x 即可打印栈上的多个数据. 容易看到, 变量的值 0x11223344 也出现在了 printf() 打印的栈上数据中.

3. 改变程序的内存数据: 将变量 var 的值, 从 0x11223344 变成 0x66887799

标签：prog1,信息系统,字符串,.%,安全,实验,printf,var,input
来源： https://blog.csdn.net/LostUnravel/article/details/120397007

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。