Format-String

什么是字符串格式化漏洞

字符串格式化漏洞是一种常见的安全漏洞，主要出现在C语言中的printf函数和其他类似的格式化字符串函数中。这种漏洞的产生主要是因为程序将格式化字符串的输入权交给了用户，而printf函数并不知道参数个数，它的内部有一个指针，用来索检格式化字符串。对于特定类型的占位符，如%d、%s、%c等，printf就会去取相应参数的值，直到索检到格式化字符串结束。所以没有参数，代码也会将format string后面的内存当做参数以16进制输出。这样就会造成内存泄露。

例如，下面的代码就存在格式化字符串漏洞：

char str[100];
scanf("%s",str);
printf(str);

在这段代码中，printf函数的参数str是由用户输入的，如果用户输入的字符串中包含%字符，那么printf函数就会将其视为一个格式化字符串，并尝试从栈上获取相应的参数。这可能会导致内存泄露，甚至允许攻击者执行任意代码。

为了防止这种漏洞，你应该始终使用静态的格式化字符串，并且确保用户输入的数据永远不会被解释为格式化字符串。例如，你应该将上面的代码修改为：

char str[100];
scanf("%s",str);
printf("%s", str);

这样，无论用户输入什么，printf函数都只会将其视为普通的字符串，而不是格式化字符串。

字符串格式化漏洞影响

• 执行任意代码：攻击者可以利用格式化字符串漏洞在程序中执行任意代码。
• 读取栈：攻击者可以读取程序的栈，这可能会导致敏感信息的泄露，内存覆盖。
• 引发段错误：如果攻击者尝试访问无效的内存地址，可能会导致程序崩溃。

漏洞代码

// n' format specifier disabled 0 visual studio
// _set_printf_count_output(1);

#include <stdio.h>

void string_format_vuln()
{
    _set_printf_count_output(1);
    int secret_value = 0;
    printf(argv[1]);
    if (secret_value == 7) {
        printf("You win!\n");
    }
}

int main(int argc, char* argv[]) {

    string_format_vuln();
    return 0;
}