利用格式化字符串漏洞对系统发起攻击

对这个程序有几点说明：第一，目的很简单：将一个通过命令行传递值格式化输出到一个定长的缓冲区里。并确保缓冲区的大小限制不被突破。在缓冲区格式化后，把它输出。除了把参数格式化，还设置了一个整型值随后输出。这个变量是随后我们攻击的目标。现在值得我们注意的是这个值应该始终为1。

本文中所有的例子都是在x86 BSD/OS 4.1机器上完成。如果你到莫桑比克执行任务超过20年时间可能会对x86不熟悉，这是一个little-endian机器。这决定在例子中多精度数字的表示方法。在这里使用的具体数值会因为系统的差异而不同，这些差异表现在不同体系结构、操作系统、环境甚至是命令行长度。经过简单调整，这些例子可以在其他x86平台上工作。通过努力也可以在其他体系结构的平台上工作。

用Format攻击

现在是我们戴上黑帽子开始以攻击者方式思考问题的时候了。我们现在手头有一个测试程序。知道这个程序有一个漏洞并且了解程序员是在哪里犯错误的（直接把用户输入的命令行参数作为snprintf的格式化参数）。我们还拥有关于printf函数深入的知识，知道如何运用这些知识。让我们开始修补我们的程序吧。

从简单的开始，我们通过简单的参数调用程序。看这儿：

% ./fmtme "hello world"
    buffer (11): hello world
x is 1/0x1 (@ 0x804745c)
 

现在这儿还没有什么特别的事情发生。程序把我们输入的字符串格式化输出到缓冲区里，然后打印出它的长度和数值。程序还告诉我们变量x的值是1（以十进制和十六进制分别显示），x的存储地址是0x804745c。接下来我们试着使用一些格式指令。在下面的例子中我们打印出在格式化字符串之上栈堆中的整型数值：

% ./fmtme "%x %x %x %x"
    buffer (15): 1 f31 1031 3133
    x is 1/0x1 (@ 0x804745c)
 

对这个程序的快速分析可以揭示在调用snprintf函数时程序堆栈的规划：

Address  Contents       Description
    fp+8     Buffer         pointer 4-byte address
    fp+12    Buffer         length 4-byte integer
    fp+16   &n