格式化字符串攻击(2)

2019-09-01 19:52

1、确定函数调用过程，通过反汇编，查看寄存器、内存内容确定函数在调用过程中的ESP、EBP、EIP的变换，从而清晰了解具体调用过程，为之后的攻击打下良好的理论基础。

2、分析printf函数漏洞，通过构造一些针对的格式化字符串，尝试一些强有力的格式化字符串的用法，查看输出结果。

3、尝试利用printf函数漏洞，找到子函数返回的EIP地址，并更改该地址，即植入shellcode。shellcode为简单的弹出cmd对话框。

3.3实验环境

3.3.1主机操作系统： Window7旗舰版处理器： 3.3.2虚拟机环境 Vmwork station 8.0

操作系统：Windows xp3

IDE：microsoft visual c++ 6.0（debug版本和release版本都有用过）

3.4实验所用到的工具

3.4.1 microsoft visual c++ 6.0 1）工具概述

Visual c++ 6.0由microsoft开发，不仅仅是c++编译器，而且是基于windows操作系统的可视化集成开发环境。 2）工作原理

①microsoft visual c++6.0可以建立win32 console application工程。 ②该集成开发环境可以查看高级语言对应的汇编代码，能查看寄存器、内存等内容，是比较好的开发工具。

③利用microsoft visual c++6.0 tools 的depends工具查看系统提供的函数的入口地址，编写shellcode时需要用到。 3.4.2 Immunity Debugger

1）工具概述

Immunity Debugger具有功能图表的强大的用户界面、为入侵渗透行业专门为堆创建而制作的第一个对分析工具，支持python应用程序编程接口，很容易进行扩展。

1）工具的安装

该工具需要安装以下软件： ①python-2.5.2

②py2exe-0.6.9.win332-py2.4 ③Immunity Debugger setup 2）工作原理

有多个功能模块：

①memory map内存地图-查看内容的分布 ②log data，记录使用日志

③cpu-thread，代码段，显示执行的代码

④register（fpu），显示寄存器的值 ⑤call stack of main thread，查看栈信息

四、实验验证

4.1系统栈的具体工作

图1.1-程序代码A

1）编译运行后，将xiaorong.exe在Immunity Debugger中调试可以清楚得看到PE header、text、data、rsrc、reloc等节信息以及其对应的内存地址。

图1.2-内存地图

数据区地址：0x00422000-0x00424000 代码区地址：0x00401000-0x00421000 堆栈区地址：0x0012E000-0x00130000

2）上面只是帮助我们理解PE文件，接下来，在vc6.0中进行反汇编进行深入地了解系统栈的工作，如下图是反汇编结果：

①char string[]指令：

图1.3-程序A的汇编代码1

查看数据区：

图1.4-字符串存放的数据区

可以看到内存地址为0x00422048里存放的是“Hello World！”数据，因此我们可以这样理解代码：将内存地址为0x00422048里存放的是“Hello World！”数据以双字为单位（最后一部分以字为单位）复制到栈区。

指令执行完后栈区[ebp-10h]的数据如下：（ebp=0x0012ff80）

图1.5-栈区内容

由此说明在main函数中，将局部变量string数组压入了堆栈。

②printf（）；指令：

图1.6-程序A的汇编代码2

该步骤中首先获得了string这个变量在堆栈中的偏移地址，即[ebp-10h]，压入堆栈，然后将格式化字符串的偏移地址压入堆栈。

查看数据区：

图1.7-格式化字符串所在的数据区

发现格式化字符串的存放地址在0x0042201c中，这样理解代码：将格式串的存放地址压入了栈中：栈顶（0x0012ff1c）存放的即是地址0x0042201c.

图1.8-栈区

在格式化字符串入栈后就调用了printf函数，函数地址为0x00401090，可以在代码区找到：

图1.9-程序A的子函数汇编代码

可以看到printf函数调用时首先将ebp入栈，再将现在的栈顶地址赋给ebp，即创建新的栈帧，再将esp地址减0ch，需要说明的是栈的生长方向是向低地址生长的，然后保护寄存器现场，再开始执行功能。 ③printf( )查看format格式串在栈中的位置：（0x0012ff1c），可以发现后面的四个字节是string在栈中的地址（0x0012ff70）

图1.10-栈区

根据format中 (%)的数目来依次显示堆栈中format参数后面地址的内容，每次根据%格式移动相应的字节数(如%s为4个字节，%f为8个字节)，因而打印结果为00000000和00000000。程序的执行结果：

图1.11-执行结果

由上述过程可以看到函数的调用过程中堆栈情况：堆栈地址栈中内容说明（以地址为首址的双字内容）栈顶 0x0012ff14 80 FF 12 00（值为0x0012FF80）调用printf（）时保持的ebp 0x0012ff18 58 10 40 00（值为0x00401058）调用printf（）时保持的eip 0x0012ff1c 1C 20 42 00（值为0x0042201c） \ , arg2: %#p , arg3: \格式字符串的地址 0x0012ff20 70 FF 12 00（值为0x0012ff70） “Hello World！”的地址 0x0012ff20 若干00000000或者cccccccc Main函数为局部变量多留- 出的栈内存 0x0012FF70 0x0012FF70 48 65 6C 6C 存放“Hello World！” 9

0x0012FF80 C0 FF 12 00 栈底表2-程序A中栈的使用情况 4.2printf函数漏洞

4.2.1用printf函数读取内存数据

图2.1-程序B的代码

第一个printf函数调用正确，而第二个printf函数缺少了输出数据的变量列表，结果如何？

编译运行时可得如下图2.1：

图2.2-程序B的执行结果

分析：

1、用Immunity Debugger调试时得到的结果也为上图，很奇怪地出现了4223040这个随机数串，经分析知：4223040(10)=00407040(16),在Immunity Debugger中可以看到：即“a=%d,b=%d”的地址（不是“a=%d,b=%d,c=%d”!）

图2.3-在immunity debugger中的栈的情况

2、为什么b=53，c=54了呢？在调用第一个printf函数时，参数从右向左入栈，（包括格式控制符“a=%d,b=%d”的地址），栈的状态如图，在第二次调用printf函数时，参数中少了输入数据列表部分，故只压入格式控制符参数，即

“a=%d,b=%d,c=%d”的地址。尽管没有输出数据列表，但系统按“格式控制符指明的方式输出了栈中紧随其后的三个DWORD值—其一指向格式化字符串的指针4223040(10)；其二，即为变量a的值‘5’的ascII码为53；其三为变量b的值‘6’，ascii变量的值为54，便依次输出了。由此可以得出一个结论：

★printf函数针对没有数据列表与其对应的情况下，每一个%d都会解析成从栈上往回读一个双字！

共4页:

格式化字符串攻击(2).doc 将本文的Word文档下载到电脑下载失败或者文档不完整，请联系客服人员解决！

下载这篇word文档