Читаем Защита от хакеров корпоративных сетей полностью

Было известно немного проблем с использованием форматирующей строки до тех пор, пока кто-то не понял, как с помощью форматирующих строк можно проводить атаки. Например, было известно, что клиент BitchX IRC может аварийно завершиться при передаче ему строки %s%s%s%s в качестве одного из параметров команды IRC (Internet Relay Chat – Интернетовские посиделки). (IRC – глобальная система, посредством которой пользователи могут общаться друг с другом в реальном масштабе времени.) Но насколько известно, никто не догадывался, что эту идею можно использовать для взлома, пока не стало известно об атаке на FTP-демон Вашингтонского университета.

На самом деле в применении форматирующей строки для аварийного завершения программы нет ничего особенного. Используя уязвимости форматирующей строки, можно реализовать гораздо более интересные и полезные вещи.

Если результат работы функции, использующей форматирующую строку, общедоступен, то злоумышленник может воспользоваться уязвимостью форматирующей строки для чтения памяти программы. Это является серьезной проблемой и может привести к раскрытию важной информации. Например, если программа получает от клиентов данные аутентификации и сразу же после получения не уничтожает их, то для ознакомления с ними можно воспользоваться уязвимостью форматирующей строки. Для злоумышленника наиболее простой способ прочесть содержимое памяти, воспользовавшись уязвимостью форматирующей строки, заключается в использовании переменных памяти. Переменные памяти – это переменные, которым присвоены адреса интересующих злоумышленника областей памяти и которые соответствуют заданным им спецификациям формата. Функция семейства printf, обрабатывая переданную ей форматирующую строку и обнаружив в ней очередную спецификацию преобразования, читает из стека значение следующей переменной. Например, для каждой спецификации вывода шестнадцатеричного целого числа без знака %x можно извлечь из памяти одно четырехбайтовое слово. Недостатком данного способа является то, что могут быть извлечены только данные из стека.

Но, используя спецификацию вывода строки %s, злоумышленник сможет прочитать данные из произвольной области памяти. Как уже говорилось ранее, спецификации формата %s соответствует строка, оканчивающаяся нулевым байтом. Эта строка передается функции по ссылке. Злоумышленник может прочитать содержимое любых участков памяти, добавляя в форматирующую строку спецификации вывода строки %s и указывая соответствующие им указатели на интересующие его участки памяти. Адрес начала интересующей злоумышленника области данных должен быть помещен в стек в том же формате, что и адрес памяти, соответствующей спецификации преобразования %n. При наличии в форматирующей строке спецификации вывода строки %s будет выведено содержимое области памяти, адрес начала которой указан злоумышленником, а адрес конца определяется по первому нулевому байту, встретившемуся при выводе.

Для злоумышленника возможность читать содержимое памяти очень полезна и может использоваться в сочетании с другими способами атак. В конце главы об этом как рассказано, так и показано на примере программы атаки с использованием ошибок форматирующей строки.

В предыдущих разделах уже затрагивалась спецификация формата %n. Эта некогда малопонятная спецификация позволяет определить текущий размер формируемой строки. Значением переменной, соответствующей спецификации преобразования %n, является адрес памяти. Если во время выполнения функции printf в форматирующей строке встречается спецификация преобразования %n, то в память по адресу, указанному этой переменной, записывается количество символов сформированной строки в формате целого числа.

Существование подобной спецификации преобразования имеет большое значение с точки зрения безопасности, поскольку с ее помощью можно осуществлять запись в память. А это, в свою очередь, является ключом к использованию уязвимости форматирующей строки для достижения таких целей, как, например, выполнение управляющего программного кода.

Способ однократной записи. Обсуждаемый способ позволяет увеличить права доступа, используя форматирующую строку с единственной спецификацией преобразования %n.

В некоторых программах такие критические значения, как идентификатор пользователя или идентификатор группы, хранятся в памяти программы для реализации механизма понижения прав. Злоумышленник может воспользоваться уязвимостью форматирующей строки для перезаписи этих значений.