Interesujące jest to, że nikt nie wspomniał o notacji n$ obsługiwanej przez POSIX. Jeśli możesz kontrolować łańcuch formatowania jako atakujący, możesz użyć notacji takich jak:

"%200$p"

Aby odczytać 200^th pozycji na stosie (jeśli taka istnieje). Intencją jest, aby lista wszystkich n$ liczb od 1 do maksimum, i zapewnia sposób resekwencjonowania, w jaki sposób parametry pojawiają się w ciągu formatu, co jest przydatne w przypadku I18N (L10N, G11N, M18N^*).

Jednak niektóre (prawdopodobnie większość) systemy są nieco niedokładne co do sposobu walidacji wartości n$, co może prowadzić do nadużyć ze strony atakujących, którzy mogą kontrolować ciąg formatowania. W połączeniu ze specyfikatorem formatu %n może to prowadzić do zapisu w miejscach wskaźnika.

^* akronimy I18N, L10N, G11N i M18N oznaczają odpowiednio internacjonalizację, lokalizację, globalizację i wielonarodowość. Liczba oznacza liczba pominiętych liter.

Odpowiedź jest w artykule!

Niekontrolowany ciąg formatowania to rodzaj luki w oprogramowaniu, odkryty około 1999 roku, który może być użyty w exploitach bezpieczeństwa. Wcześniej uważane za nieszkodliwe, exploity formatujące mogą być użyte do rozbicia programu lub do wykonania szkodliwego kodu .

Typowy exploit używa kombinacji tych technik, aby wymusić na programie nadpisanie adresu funkcji bibliotecznej lub adresu zwrotnego na stosie za pomocą wskaźnik do jakiegoś złośliwego kodu powłoki. Parametry dopełniania do specyfikacji formatu są używane do kontrolowania liczby bajtów wyjściowych, a token %x jest używany do wyświetlania bajtów ze stosu aż do osiągnięcia samego początku ciągu formatu. Początek ciągu formatowania jest tworzony tak, aby zawierał adres, który Token formatu %n może następnie zastąpić adresem złośliwego kodu, aby wykonać.

To dlatego, że %n przyczyny printf do zapis dane do zmiennej , która znajduje się na stosie. Ale to oznacza, że może napisać do czegoś arbitralnie. Wystarczy, że ktoś użyje tej zmiennej (jest to stosunkowo łatwe, jeśli stanie się wskaźnikiem funkcji, którego wartość dopiero co zorientowałeś się, jak kontrolować) i może sprawić, że wykonasz wszystko dowolnie.

Spójrz na linki w artykule; one wyglądają ciekawie .

Polecam przeczytać Ten wykład na temat luki w łańcuchu formatowania. Opisuje szczegółowo, co się dzieje i jak, i ma kilka obrazów, które mogą pomóc ci zrozumieć temat.

AFAIK to głównie dlatego, że może zawiesić Twój program, który jest uważany za atak typu denial-of-service. Wystarczy podać nieprawidłowy adres (praktycznie cokolwiek z kilkoma %s jest gwarantowane, że zadziała), a stanie się to prostym atakiem typu DoS (denial-of-service).

Teoretycznie jest to możliwe aby to cokolwiek wyzwoliło w przypadku obsługi wyjątku / sygnału/przerwania, ale zastanawianie się, jak to zrobić, jest poza mną -- musisz dowiedzieć się jak zapisać dowolne dane do pamięci.

Ale dlaczego kogoś obchodzi, czy program się zawiesza, można zapytać? Czy to nie przeszkadza użytkownikowi (kto i tak na to zasługuje)?

Problem polega na tym, że niektóre programy są dostępne dla wielu użytkowników, więc ich awaria wiąże się z nieistotnymi kosztami. Czasami są one krytyczne dla działania systemu (a może są w trakcie robienia czegoś bardzo krytycznego), w którym to przypadku może to być szkodliwe dla danych. Z oczywiście, jeśli rozwalisz Notatnik, to nikogo to nie obchodzi, ale jeśli rozwalisz CSRSS (który moim zdaniem miał podobny rodzaj błędu-podwójnie wolny błąd, konkretnie), to tak, cały system pójdzie w dół z Tobą.

Aktualizacja:

Zobacz ten link {[20] } dla błędu CSRSS, o którym mówiłem.

Edit:

Zwróć uwagę, że odczyt dowolnych danych może być równie niebezpieczny jak wykonywanie dowolnego kodu! Jeśli czytasz hasło, plik cookie itp. jest to tak samo poważne jak dowolne wykonanie kodu-i jest to trywialne , Jeśli masz wystarczająco dużo czasu, aby wypróbować wystarczająco dużo ciągów formatujących.