应用安全系列之三十五:格式化字符串

原创 已于 2023-04-24 11:25:11 修改 · 1.1k 阅读 · 1 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#web安全
于 2022-05-05 18:07:41 首次发布

在使用格式化字符串函数时,通常会以printf([格式化字符串],参数)的形式进行调用,如果攻击者可以控制格式化字符串的值,或者不正确的以printf(参数)的形式进行调用,并且参数的值攻击者可控,攻击者可以通过使用特定的格式化字符获取系统内存信息或者修改系统的内存数据。

格式化字符串漏洞所造成的危害包括:

  1. 泄露系统内存信息,造成系统的信息泄露
  2. 可用于修改内存数据,当修改内存中的函数返回地址时,攻击者就可以控制代码执行逻辑,注入Shellcode,造成远程代码执行。
  3. 发起DOS攻击

格式化字符串一般C语言使用的比较多,出问题的情况也很多。如下示例代码:

#include <stdio.h>



int main () {

   char ch='a';



   printf("ASCII value = %d, Character = %c\n", ch , ch );



   return(0);

}

正常情况下,格式化字符串中的%+一个类型的字符和后面参数的个数是一样,这样保证打印出来的内容符合预期。但是,如果格式化字符串可以被控制,%+类型字符少了一个,示例如下:

#include <stdio.h>



int main () {

   char ch='a';



   printf("ASCII value = %c, Character = %lx %lx %lx\n", ch );



   return(0);

}

这种情况会怎么样呢?

编译代码之后,执行的结果如下:

通过gdb debug如下:

可以看出通过篡改格式化字符串,可以将其他寄存器的内容读出来。

再来看一下经典的堆栈的结构:

上图,参数内容之后便是当前函数的栈帧,EBP固定执行旧的EBP起始地址,而旧的EBP存储着上一个函数的执行地址,这样等到末尾出栈之后就能按层级返回上一级函数了,而ESP总是执行栈顶,会随着函数的调用或这些不断变化。

在运行的时候,当执行到printf时,就会根据其中的%+类型的个数去栈上找对应的参数,当实际传递的参数不够时,也依然在栈上继续向上找,这样就会把上一栈帧的EBP当做第二个参数打印出来。这只是简单打印,当使用snprintf将参数组合成一个字符串而且这个字符串会回返回到客户端显示,就会导致栈上的内容泄露。

当使用sprintf函数根据输入的内容格式化一个字符串时,如果攻击者可以控制字符串参数的内容,也可以造成缓冲区溢出的问题。示例代码如下:

#include <stdio.h>



int main (int argc, char* argv[]) {

   char str[80];



   sprintf(str, "Value of 2nd argument is %s", argv[1]);

   puts(str);

   

   return(0);

}

这里,当argv[1]的长度加上格式化字符串的长度,如果大于80就会导致缓冲区溢出。

由于这种错误在编译时,是无法被发现的,甚至如果格式化字符串本身也是变量时,在代码审查的时候,可能也很难发现。

C主要的Sink如下:

头文件

方法

stdlib.h

int fprintf(FILE *stream, const char *format, ...)

int printf(const char *format, ...)

int sprintf(char *str, const char *format, ...)

int vfprintf(FILE *stream, const char *format, va_list arg)

int vprintf(const char *format, va_list arg)

int vsprintf(char *str, const char *format, va_list arg)

wchar.h

int fwprintf (FILE* stream, const wchar_t* format, ...);

int swprintf (wchar_t* ws, size_t len, const wchar_t* format, ...);

int vfwprintf (FILE* stream, const wchar_t* format, va_list arg);

int vswprintf (wchar_t * ws, size_t len, const wchar_t * format, va_list arg );

int vwprintf (const wchar_t* format, va_list arg);

int wprintf (const wchar_t* format, ...);

Java语言也有格式化字符串的方法String.format,示例代码如下:

public static void testFormatString() {
    int first = 88000;
    int second= 99000;
    String s = String.format("第一个参数:%,d 第二个参数:%,d", first);
    System.out.println(s);
}

当只传递一个参数时,会报异常如下:

由于所抛的异常MissingFormatArgumentException是RuntimeException。根据RuntimeException与Exception的区别:

异常类型

说明

Exception

非运行时异常,如果代码里不try-catch或者不通过throws传递,IDE就会显示错误,编译也不能通过。

RuntimeException

运行时异常,在项目运行之后出错则直接中止运行,异常由JVM虚拟机处理。

由于RuntimeException在编码时即使不适用try-catch语句,也不会提醒这里会发生异常,所以,可能在编程的时候,就会忽略这个异常。JVM一般处理这个异常的时候,就是终止程序,所以,当格式化字符串可以被攻击者控制时,攻击者就可以发起DOS攻击。

Java主要的Sink如下:

类型

方法

PrintStream

PrintStream format(String format, Object ... args)

PrintStream format(Locale l, String format, Object ... args)

PrintStream printf(Locale l, String format, Object ... args)

PrintStream printf(String format, Object ... args)

String

String format(String format, Object... args)

String format(Locale l, String format, Object... args)

关于格式字符串问题的预防,主要是尽量避免格式化字符串可以被攻击者控制,在编程时能够细心,保证格式化字符串的个数和参数的个数一致。

【信息科学与工程学】【安全领域】第三十五篇 网络安全算法表02
weixin_49199313的博客
07-07 1146
​分级处理​:实时增量 + 离线全量 + 自动校验三线并行​最终一致优先​:强同步仅用于支付等核心场景​双向容错​:Redis侧:读CK兜底(CK侧:自动屏蔽校验失败分区​业务适配​:graph LR高实时场景 --> Redis写+双重读分析场景 --> 放宽CK同步延迟报表场景 --> T+1校准保障该方案已在京东、美团等千亿级数据平台验证,支撑双11级流量下Redis与ClickHouse的数据协同。
第十一章格式化字符串
weixin_62458944的博客
06-14 297
格式化字符串Format String)是在编程过程中,允许编码人员通过特殊的占位符,将相关对应的信息整合或提取的规则字符串
格式化字符串漏洞
Starr
03-22 2219
文章目录1. 再看printfprintf家族函数转换规则2. 漏洞原理危害防范3. 任意地址内存泄漏 Demo4. 覆盖栈数据5. 任意地址覆盖6. Pwntool Demo7. 工具8. 参考文章 格式化字符串漏洞基本已经销声匿迹了,不过在iot设备上可能还会存在。 1. 再看printf printf家族函数 #include <stdio.h> int printf(); int fprintf(); int dprintf(); int sprintf(); int snprintf(
java中String格式化format误用导致的bug
a200822146085的博客
02-03 1384
一次测试过程中发现报错弹框信息如下: 绑定失败,存在混XX的数据,箱号: 经过排查发发现,开发代码错误: if(flag1 && flag2) { message = String.format("绑定失败,存在混XX的数据,箱号:", id); return message; } 错误原因: String.format中少了%s,正确代码: if(flag1 && flag2) { message = String.format("绑定失败,
格式控制字符串
Nothing is impossible to a willing heart.
04-26 1825
.printf printf("格式控制字符串”,输出表列) 格式控制字符串用于指定输出格式,格式控制串可由格式字符串和非格式字符串两种组成 格式字符串:以%开头的字符串,在%后面跟有各种格式字符,以说明输出数据的类型、形式、长度、小数位数等。如: “%d” 表示按十进制整型输出; "%ld"表示按十进制长整型输出; "%c"表示按字符型输出。 非格式字符串:原样输出,在显示中起提示作用。输出表列中给出了各个输出项,要求格式字符串和各输出项在数量和类型上应该一一对应 格式字符串一般形式为: [标志] [
linux 格式化字符串漏洞
sky123博客
02-04 2791
格式化字符串漏洞 格式化字符串介绍 常见格式化字符串函数 函数 基本介绍 printf 输出到stdout fprintf 输出到指定FILE流 vprintf 根据参数列表格式化输出到stdout vfprintf 根据参数列表格式化输出到FILE流 sprintf 输出到字符串 snprintf 输出指定字节数到字符串 vsprintf 根据参数列表格式化输出到字符串 vsnprintf 根据参数列表格式化输出指定字节到字符串 常用格式化字符串形式 %[p
做50个Java字符串题即精通字符串
制定明确可量化的目标,坚持默默的做事。
01-05 2182
字符串常量池是 Java 堆内存的一个特殊存储区域,用于存储字符串字面量和字符串常量。Java 虚拟机为了节省内存空间和提高效率,会确保所有的字符串字面量只包含一份,这样如果有多个引用指向相同的字面量,它们实际上会指向内存中相同的位置。字符串不可变性意味着一旦字符串对象被创建,它所包含的字符序列就不能被更改。Java 中的String对象是不可变的,因为不可变性可以提供编译时的优化、线程安全性,以及因为字符串常量池而更好的内存效率。
pwn入门-buu第二页题解(32道)(持续更新中)(1),2024年最新2024最新网易网络安全面经
2401_84181524的博客
04-10 676
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
Python编程三十五个必学核心语法案例,含详细注释和解析!
最新发布
胡茬大叔的博客
07-24 1372
本文精选35个Python核心语法案例,涵盖变量交换、多重赋值、数字类型转换、字符串格式化、列表切片、推导式、字典操作、集合运算、元组拆包、条件表达式、for-else结构、函数参数和lambda函数等基础语法要点。每个案例均配有详细注释和解析,帮助初学者快速掌握Python编程精髓。案例代码简洁实用,如变量交换的Pythonic写法(a,b=b,a)、字符串格式化的四种方法、列表推导式的高效创建方式等,并特别强调易错点和注意事项,是Python入门学习的优质参考资料。
一篇文章搞懂格式化字符串漏洞
qq_42988973的博客
05-20 4421
文章目录0x00 序言0x01 格式化字符串0x02 printf()函数0x03 格式化字符串漏洞利用任意内存读取任意内存修改 0x00 序言 刚学pwn,做了两道攻防世界的pwn新手训练,真的是啥也不会,第一道题是连上就有flag我都不知道咋连,就菜到这种地步。一个格式化字符串漏洞看了一天。看了很多博客,最后终于弄明白了,感觉很多博客都对新手不是那么友好,刚学完,总结梳理一下,便于复习。也希望自己写的能帮到其他像我一样刚开始学的小白更快更清楚的明白格式化字符串漏洞。 0x01 格式化字符串 格式化字符串
深入浅出Python字符串格式化
量慧实工作室LHStudio的博客
03-10 321
字符串格式化操作符(%),非常类似于C 语言里面的printf()函数的字符串格式化,甚至所用的符号都一样,都用百分号(%),并且支持所有printf()式的格式化操作。语法如下: format_string % string_to_convert format_string为格式标记字符串,形式为“%cdoe”;string_to_convert 为要格式化字符串,如果是两个以上,则需要用小括号括起来。 字符串格式化符号 格式化符号 说明 %c 转换成字符(ASCII 码值,
String.format在多线程下不可用
DancingCalf的专栏
10-22 2970
 经过我认真验证,证实在多线程模式下 String.format有严重问题,原因未完全明确,我猜想有2可能:1、使用StringBuilder来实现,该类非线程安全2、可能使用了全局数据区,但没加锁定该数据区就读写 private static class MyReader extends Thread {  @Override  public synchronized void run() { 
CWE-134: Use of Externally-Controlled Format String(使用外部控制的格式字符串
plstudio1的博客
04-02 1505
ID: 134 类型:基础 结构:简单 状态:草稿 描述 软件使用一个接受格式字符串作为参数的函数,但格式字符串来自外部源。 扩展描述 当攻击者可以修改外部控制的格式字符串时,这可能导致缓冲区溢出、拒绝服务或数据表示问题。 应该注意的是,在某些情况下,例如国际化,格式字符串集是由设计从外部控制的。如果这些格式字符串的源是可信的(例如...
字符串 格式化 String.format()的详细解释
热门推荐
m0_57037182的博客
05-12 1万+
问题: 当我们开发的时候,有时候会遇到需要输出一定格式的字符串,在JDK1.5中增加了一个非常有用的静态函数format(String format, Objece... argues),可以将各类数据格式化字符串并输出。其中format参数指定了输出的格式,是最复杂也是最难掌握的一点,而argues则是一系列等待被格式化的对象。 该函数对c语言中printf函数的用法进行了一定的模仿,因此有c语言基础的人学起来会轻松许多。下面我们着重讨论一下format 参数的格式及含义。 ...
【5】 缓冲区溢出 格式化字符串 snprintf
如梦如幻的博客
04-29 6573
主要是利用格式化字符串漏洞来达到溢出目的,并且借用snprintf的特性,即在遇到格式化参数之前会先将正常的字符复制到指定区域中,最终通过字节大小的计算,利用%n向指定地址写入特定的返回地址
C和C++安全编码笔记:字符串
网络资源是无限的
04-05 4292
1. 安全概念 计算机安全(computer security):指的是阻止攻击者通过未授权访问或未授权使用计算机和网络达到目的。安全包含开发和配置两方面的元素。开发安全要求具有安全的设计和无瑕疵的实现;配置安全则要求系统和网络被安全地予以部署以免遭攻击。 安全策略(security policy):指系统管理员或网络管理员为使系统免遭威胁而设定的一些规则和操作。 安全缺陷(security...
python:自定义字符串格式化
FuncPlotCalc
03-01 525
python:自定义字符串格式化
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值