[翻译]windows平台下的格式化字符串漏洞利用技术-外文翻译-看雪-安全社区|安全招聘|kanxue.com

[翻译]windows平台下的格式化字符串漏洞利用技术

发表于: 2011-1-3 15:35 11333

[翻译]windows平台下的格式化字符串漏洞利用技术

riusksk

2011-1-3 15:35

11333

标题：windows平台下的格式化字符串漏洞利用技术
作者：Abysssec
译者：riusksk（泉哥：http://riusksk.blogbus.com）

本文真正的受益者应该是那些有定汇编语言基础，以及具备经典的栈溢出知识的人，这样本文才能引领读者在windows平台下编写出自己的格式化字符串漏洞利用程序。本文主要讲述各种关键的利用技术，也许在本文发布前已经有不少人写了关于格式化字符串漏洞的文章，但他们的文章一般都相对枯燥和基础。但我们也不敢说本文讲述得相当出色和全面，不过我们会尽量使其达到这种程度。
格式化字符串这类软件漏洞最初是在1999年左右发现的，但在2000年之前一直被认为是没有危害和利用价值的。格式化字符串攻击可使程序崩溃或者执行恶意代码。这个问题源于对用户输入内容未进行过滤导致的，这些输入数据都是作为某些C函数执行格式化操作时的参数，如printf（）。恶意用户可以使用％s和％x等格式符，从堆栈或其它可能内存位置来输出数据。也可以使用格式符％n向任意地址写入任意数据，配合printf（）函数和其它类似功能的函数就可以向存储在栈上的地址写入被格式化的字节数。一个经典的exploit是混合这些技术，然后用恶意shellcode的地址来覆盖某一链接库函数地址或者栈上的返回地址。其中填充的一些格式化参数主要是用于控制输出的字节数，而%x主要用于从栈中弹出字节直至格式化字符串自身的起始位置。伪造的格式化字符串起始部分应该用欲执行的恶意代码地址来覆写，这个可以借助%n格式符来实现。因此你现在需要理解受此类漏洞影响的PERL 和C/C++软件，除printf()函数之外，其它函数也可能受到格式化字符串漏洞的影响，比如：
● Printf()
● Snprintf()
● Vprintf()
● Syslog()
● ……
格式化字符串漏洞除了可以执行恶意代码外，还可以从漏洞程序中读取某些数据，比如密码及其它重要信息。下面我们写份C代码进行分析，以帮助大家理解消化。
更多内容请参见附件……

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

windows平台下的格式化字符串漏洞利用技术.doc （709.00kb，1063次下载）

收藏・4

免费・7

支持

最新回复 (8)
komany 雪币： 182 活跃值： (81) 能力值： ( LV3，RANK：20 ) 在线值：发帖 17 回帖 93 粉丝 0 关注私信	komany 2 楼顶，好文章 2011-1-3 16:06 0
zysyyz 雪币： 2743 活跃值： (1049) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 104 粉丝 1 关注私信	zysyyz 1 3 楼泉哥出手，必属精品 2011-1-3 20:22 0
dlmu 雪币： 239 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 210 粉丝 0 关注私信	dlmu 1 4 楼不知道泉哥的翻译材料都来自哪里 2011-1-4 10:49 0
Ditans 雪币： 357 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 77 粉丝 0 关注私信	Ditans 5 楼 snprintf函数应该不会有这种漏洞吧？第二个参数已经限定了缓冲区的大小，应该无法溢出吧？ int snprintf( char buffer, size_t count, const char format [, argument] ... ); 2011-1-4 11:11 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 6 楼 [QUOTE=Ditans;911136]snprintf函数应该不会有这种漏洞吧？第二个参数已经限定了缓冲区的大小，应该无法溢出吧？ int snprintf( char buffer, size_t count, const char format [, argument] ... ...[/QUOTE] 这不是缓冲区大小问题，你可能还没有理解什么是格式化漏洞 2011-1-4 12:50 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 7 楼都是国外的一些网站和博客 2011-1-4 12:55 0
switShell 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 21 粉丝 0 关注私信	switShell 8 楼请教泉哥，sprintf的漏洞利用点和printf是一样的吗？我怎么一直调不同。 2017-3-20 09:06 0
飞龙使者雪币： 704 活跃值： (228) 能力值： ( LV12，RANK：230 ) 在线值：发帖 20 回帖 58 粉丝 7 关注私信	飞龙使者 4 9 楼 Ditans snprintf函数应该不会有这种漏洞吧？第二个参数已经限定了缓冲区的大小，应该无法溢出吧？ int snprintf( char *buffer, size_t count ... 只要有`format`参数，并且可控，最好支持`%n`，就会有这种漏洞。 2017-3-21 09:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

riusksk

169

发帖

2648

回帖

1820

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (8)
komany 雪币： 182 活跃值： (81) 能力值： ( LV3，RANK：20 ) 在线值：发帖 17 回帖 93 粉丝 0 关注私信	komany 2 楼顶，好文章 2011-1-3 16:06 0
zysyyz 雪币： 2743 活跃值： (1049) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 104 粉丝 1 关注私信	zysyyz 1 3 楼泉哥出手，必属精品 2011-1-3 20:22 0
dlmu 雪币： 239 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 210 粉丝 0 关注私信	dlmu 1 4 楼不知道泉哥的翻译材料都来自哪里 2011-1-4 10:49 0
Ditans 雪币： 357 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 77 粉丝 0 关注私信	Ditans 5 楼 snprintf函数应该不会有这种漏洞吧？第二个参数已经限定了缓冲区的大小，应该无法溢出吧？ int snprintf( char buffer, size_t count, const char format [, argument] ... ); 2011-1-4 11:11 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 6 楼 [QUOTE=Ditans;911136]snprintf函数应该不会有这种漏洞吧？第二个参数已经限定了缓冲区的大小，应该无法溢出吧？ int snprintf( char buffer, size_t count, const char format [, argument] ... ...[/QUOTE] 这不是缓冲区大小问题，你可能还没有理解什么是格式化漏洞 2011-1-4 12:50 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 7 楼都是国外的一些网站和博客 2011-1-4 12:55 0
switShell 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 21 粉丝 0 关注私信	switShell 8 楼请教泉哥，sprintf的漏洞利用点和printf是一样的吗？我怎么一直调不同。 2017-3-20 09:06 0
飞龙使者雪币： 704 活跃值： (228) 能力值： ( LV12，RANK：230 ) 在线值：发帖 20 回帖 58 粉丝 7 关注私信	飞龙使者 4 9 楼 Ditans snprintf函数应该不会有这种漏洞吧？第二个参数已经限定了缓冲区的大小，应该无法溢出吧？ int snprintf( char *buffer, size_t count ... 只要有`format`参数，并且可控，最好支持`%n`，就会有这种漏洞。 2017-3-21 09:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复