《The Shellcoder's handbook》第四章_格式化串漏洞-外文翻译-看雪-安全社区|安全招聘|kanxue.com

《The Shellcoder's handbook》第四章_格式化串漏洞

2006-11-12 20:21 14167

《The Shellcoder's handbook》第四章_格式化串漏洞

arhat

2006-11-12 20:21

14167

4
格式化串漏洞

尽管格式化串漏洞与操作系统无关，但为了方便大家理解，我们本章仍以Linux为平台来介绍格式化串漏洞。出现格式化串漏洞最常见的原因是在C程序里，没有正确调用带有可变参数的函数而产生的后果。从这一方面讲，只要是用C语言写的程序都可能存在格式化串漏洞，所以它影响所有带C编译器的操作系统，可以说，几乎每个操作系统都存在这种漏洞。
为什么从根本上会存在格式化串漏洞呢？本章结尾部分“为什么会这样?”有所解释。

阿里云助力开发者！2核2G 3M带宽不限流量！6.18限时价，开发者可享99元/年，续费同价！

上传的附件：

4.格式化串漏洞.rar （312.22kb，318次下载）

收藏・2

点赞・7

打赏

最新回复 (14)
kanxue 雪币： 32401 活跃值： (18875) 能力值： (RANK：350 ) 在线值：发帖 1826 回帖 15216 粉丝 489 关注私信	kanxue 8 2006-11-12 20:42 2 楼 0 arhat做事确实严谨认真。格式化串漏洞这块是个好的话题。
arhat 雪币： 2108 活跃值： (208) 能力值： (RANK：1260 ) 在线值：发帖 78 回帖 393 粉丝 8 关注私信	arhat 31 2006-11-13 08:41 3 楼 0 格式串漏洞在前几年风光一时，但漏洞猎人赶尽杀绝的做法，致使现在很少见到它的身影。。。。
colboy 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 371 粉丝 0 关注私信	colboy 2006-11-13 13:11 4 楼 0 谢谢!!!!!!!!
harrmn 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	harrmn 2006-11-13 16:42 5 楼 0 感著?主的辛?
softKiller 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 152 粉丝 0 关注私信	softKiller 2006-11-14 11:29 6 楼 0 我要顶,感谢楼主
zjgjohn 雪币： 233 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	zjgjohn 2006-11-14 13:07 7 楼 0 谢谢，一出来新的我就下载后看！！！楼主辛苦了！！
chinatme 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 94 粉丝 0 关注私信	chinatme 2006-11-14 21:15 8 楼 0 感觉翻译的过程也是成长的过程~,如果以后自己有水平了,也希望能加入TT小组,服务大家吗~,挺好的~,呵呵~,支持一下~arhat大哥~
xianhe 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 0 关注私信	xianhe 2006-12-18 22:30 9 楼 0 支持楼主. 下载中
jjnet 雪币： 101 活跃值： (12) 能力值： ( LV12，RANK：210 ) 在线值：发帖 28 回帖 503 粉丝 0 关注私信	jjnet 5 2006-12-23 22:20 10 楼 0 根据57页描述的直接输出esp+(n*sizeof(int))的值 //////////////////////////// ./dowu localhost "%3\$x" 应该会输出如下内容： 200-index bfffca9c //////////////////////////// 这里的"%3\$x"是printf的格式化控制，我在vc6上的printf做的例子 printf("%3\$x", 1, 2, 3); 并不会输出3啊，输出$x; 如果printf("%3\x",1,2,3); 直接提示编译失败,\x后面必须跟一个16进制数. 是不是linux的format跟windows的c运行库有区别??
Wilbur 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	Wilbur 2006-12-28 23:51 11 楼 0 请教：关于wu-ftpd　书中说到：＂我们首先需要计算出我们提交的字符串在栈上的起始位置．于是我们可以执行下列命令： for( (i = 1;i<1000;i++) ): do echo -n "$i" && ./dowu localhost "AAAAAAAAAAAAAAAA%$i\$x" 0;done \| grep 4141 从输出的数据里面（在这个格式化串的开头）我们可以找到41414141的位置　，在我的机器上是272＂这一段我一直没有理解是什么意思只知道那个shell命令是执行999次循环　，　每次循环打印出序号i ，然后执行程序./down，参数是那一串字符　然后找出结果包含4141的行我不明白4141是哪里冒出来的？　　也不明白site index 　AAAAAAAAAAAAAAAA%$i\$x 会出现什么结果呢？ ps:我是刚刚学习安全方面的学生　　我想与一些也是刚起步的朋友们交流　我的qq是455010613　希望大家共同进步
arhat 雪币： 2108 活跃值： (208) 能力值： (RANK：1260 ) 在线值：发帖 78 回帖 393 粉丝 8 关注私信	arhat 31 2006-12-29 08:56 12 楼 0 回10楼区别是肯定有的，否则两个平台之间的移植就容易了。－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－回11楼 A=0x41 寻找4141，就是寻找“AAAAAAAAAAAAAAAA%$i\$x”中连续两个A site index 　AAAAAAAAAAAAAAAA%$i\$x 执行上述命令，将触发有漏洞的wu-ftpd出错，你可以用GDB调试。注意书中有些程序的输出因机器、操作系统的版本等原因而有所不同。实践是检验真理的唯一标准。
Wilbur 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	Wilbur 2006-12-31 16:13 13 楼 0 printf("ABCD%x...%x); 1)这个%x到底打印的是哪里的内容呢? 我也知道是打印出栈上的内容但是具体是哪个地方呢? 2)随着%x的增加某个%x会最后打印出DCBA的吧但是%x增加了(printf参数长度增加) 会不会发生这个栈溢出然后改写printf的返回地址啊? 不知道下面这个关于printf调用时栈的情况的图我画的对不对
heroinhell 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	heroinhell 2007-2-3 07:34 14 楼 0 看到这章了，再次为楼主的辛勤努力致敬
simpler 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	simpler 2007-2-22 19:22 15 楼 0 要读书,要读好书.谢谢
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

arhat

发帖

393

回帖

1260

RANK

关注

私信

他的文章

[翻译]sp 800系列翻译设想

[下载]IDA pro代码破解揭秘的随书例子下载

[注意]RE with IDA Pro的例子程序的答复

[注意]“惊”闻 RE with IDA Pro 就要面世了

[注意]一本新书，有人有意翻译吗？

关于我们

联系我们

企业服务

看雪公众号

最新回复 (14)
kanxue 雪币： 32401 活跃值： (18875) 能力值： (RANK：350 ) 在线值：发帖 1826 回帖 15216 粉丝 489 关注私信	kanxue 8 2006-11-12 20:42 2 楼 0 arhat做事确实严谨认真。格式化串漏洞这块是个好的话题。
arhat 雪币： 2108 活跃值： (208) 能力值： (RANK：1260 ) 在线值：发帖 78 回帖 393 粉丝 8 关注私信	arhat 31 2006-11-13 08:41 3 楼 0 格式串漏洞在前几年风光一时，但漏洞猎人赶尽杀绝的做法，致使现在很少见到它的身影。。。。
colboy 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 371 粉丝 0 关注私信	colboy 2006-11-13 13:11 4 楼 0 谢谢!!!!!!!!
harrmn 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	harrmn 2006-11-13 16:42 5 楼 0 感著?主的辛?
softKiller 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 152 粉丝 0 关注私信	softKiller 2006-11-14 11:29 6 楼 0 我要顶,感谢楼主
zjgjohn 雪币： 233 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	zjgjohn 2006-11-14 13:07 7 楼 0 谢谢，一出来新的我就下载后看！！！楼主辛苦了！！
chinatme 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 94 粉丝 0 关注私信	chinatme 2006-11-14 21:15 8 楼 0 感觉翻译的过程也是成长的过程~,如果以后自己有水平了,也希望能加入TT小组,服务大家吗~,挺好的~,呵呵~,支持一下~arhat大哥~
xianhe 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 0 关注私信	xianhe 2006-12-18 22:30 9 楼 0 支持楼主. 下载中
jjnet 雪币： 101 活跃值： (12) 能力值： ( LV12，RANK：210 ) 在线值：发帖 28 回帖 503 粉丝 0 关注私信	jjnet 5 2006-12-23 22:20 10 楼 0 根据57页描述的直接输出esp+(n*sizeof(int))的值 //////////////////////////// ./dowu localhost "%3\$x" 应该会输出如下内容： 200-index bfffca9c //////////////////////////// 这里的"%3\$x"是printf的格式化控制，我在vc6上的printf做的例子 printf("%3\$x", 1, 2, 3); 并不会输出3啊，输出$x; 如果printf("%3\x",1,2,3); 直接提示编译失败,\x后面必须跟一个16进制数. 是不是linux的format跟windows的c运行库有区别??
Wilbur 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	Wilbur 2006-12-28 23:51 11 楼 0 请教：关于wu-ftpd　书中说到：＂我们首先需要计算出我们提交的字符串在栈上的起始位置．于是我们可以执行下列命令： for( (i = 1;i<1000;i++) ): do echo -n "$i" && ./dowu localhost "AAAAAAAAAAAAAAAA%$i\$x" 0;done \| grep 4141 从输出的数据里面（在这个格式化串的开头）我们可以找到41414141的位置　，在我的机器上是272＂这一段我一直没有理解是什么意思只知道那个shell命令是执行999次循环　，　每次循环打印出序号i ，然后执行程序./down，参数是那一串字符　然后找出结果包含4141的行我不明白4141是哪里冒出来的？　　也不明白site index 　AAAAAAAAAAAAAAAA%$i\$x 会出现什么结果呢？ ps:我是刚刚学习安全方面的学生　　我想与一些也是刚起步的朋友们交流　我的qq是455010613　希望大家共同进步
arhat 雪币： 2108 活跃值： (208) 能力值： (RANK：1260 ) 在线值：发帖 78 回帖 393 粉丝 8 关注私信	arhat 31 2006-12-29 08:56 12 楼 0 回10楼区别是肯定有的，否则两个平台之间的移植就容易了。－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－回11楼 A=0x41 寻找4141，就是寻找“AAAAAAAAAAAAAAAA%$i\$x”中连续两个A site index 　AAAAAAAAAAAAAAAA%$i\$x 执行上述命令，将触发有漏洞的wu-ftpd出错，你可以用GDB调试。注意书中有些程序的输出因机器、操作系统的版本等原因而有所不同。实践是检验真理的唯一标准。
Wilbur 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	Wilbur 2006-12-31 16:13 13 楼 0 printf("ABCD%x...%x); 1)这个%x到底打印的是哪里的内容呢? 我也知道是打印出栈上的内容但是具体是哪个地方呢? 2)随着%x的增加某个%x会最后打印出DCBA的吧但是%x增加了(printf参数长度增加) 会不会发生这个栈溢出然后改写printf的返回地址啊? 不知道下面这个关于printf调用时栈的情况的图我画的对不对
heroinhell 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	heroinhell 2007-2-3 07:34 14 楼 0 看到这章了，再次为楼主的辛勤努力致敬
simpler 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	simpler 2007-2-22 19:22 15 楼 0 要读书,要读好书.谢谢
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复