history of format string attacks
play

History of Format String Attacks Format String Attacks - PowerPoint PPT Presentation

Feb 05, 2023 •198 likes •488 views

History of Format String Attacks Format String Attacks First noted in 1990 as a result of fuzz testing on csh First used as an attack

  2. History ¡of ¡Format ¡String ¡ Attacks ¡ � Format ¡String ¡Attacks ¡ � First ¡noted ¡in ¡1990 ¡as ¡a ¡result ¡of ¡fuzz ¡testing ¡on ¡ csh ¡ � First ¡used ¡as ¡an ¡attack ¡vector ¡on ¡ProFTPd ¡ � 1999 ¡Bugtraq ¡mailing ¡list ¡ � Became ¡popular ¡in ¡2000 ¡ � Paper ¡appropriately ¡called ¡“Format ¡String ¡Attacks” ¡ 2

  3. Format ¡Strings ¡ � Format ¡Strings ¡ � Used ¡to ¡display ¡values ¡in ¡various ¡formats ¡ � printf(fmt_string, ¡arg1, ¡arg2, ¡…); ¡ � Format ¡string ¡escape ¡character: ¡% ¡ 3

  4. Format ¡String ¡Functions ¡ � Format ¡String ¡Functions ¡ � printf() ¡ � fprintf() ¡ � sprintf() ¡ � snprintf() ¡ � vfprintf() ¡ � vprintf() ¡ � vsprintf() ¡ � vsnprintf() ¡ � wprintf() ¡ 4

  5. Format ¡String ¡Formatters ¡ � Format ¡String ¡Formatters ¡ � %c ¡ � Print ¡a ¡character ¡ � %d ¡ � Print ¡a ¡decimal ¡ � %e, ¡%E ¡ � Print ¡a ¡float ¡or ¡double ¡in ¡signed ¡E ¡notation ¡(1.3E3) ¡ � %f ¡ � Print ¡a ¡float ¡or ¡double ¡in ¡decimal ¡notation ¡(like ¡ 12.345) ¡ 5

  6. Format ¡String ¡Formatters ¡ � Format ¡String ¡Formatters ¡ � %o ¡ � Print ¡an ¡octal ¡number ¡ � %p ¡ � Print ¡a ¡pointer ¡(equivalent ¡to ¡%0.8X) ¡ � %s ¡ � Prints ¡the ¡string ¡at ¡address ¡ � %x, ¡%X ¡ � Print ¡a ¡hex ¡number ¡ ¡ 6

  7. Format ¡String ¡Attack ¡ � Format ¡String ¡Attacks ¡ � The ¡vulnerability ¡is ¡called ¡a ¡format ¡string ¡bug ¡ � Occurs ¡when ¡a ¡hacker ¡can ¡control ¡the ¡format ¡ string ¡ 7

  8. Format ¡String ¡Attack ¡ � Analysis ¡of ¡the ¡Format ¡String ¡Attack ¡ � When ¡the ¡printf() ¡call ¡is ¡made, ¡the ¡stack ¡looks ¡like: ¡ 8

  9. Format ¡String ¡Attack ¡ � Analysis ¡of ¡the ¡Format ¡String ¡Attack ¡ � What ¡is ¡1763730469? ¡ � Let’s ¡try ¡%x ¡instead ¡of ¡%d ¡ � 1763730469 ¡!= ¡0x69207825… ¡ ¡Let’s ¡see ¡why ¡ 9

  10. Format ¡String ¡Attack ¡ � Analysis ¡of ¡the ¡Format ¡String ¡Attack ¡ � If ¡we ¡take ¡a ¡look ¡at ¡our ¡stack, ¡it ¡all ¡makes ¡sense ¡ � 0x69207825 ¡is ¡taken ¡as ¡a ¡parameter! ¡ 10

  11. Memory ¡Disclosure ¡and ¡the ¡ Format ¡String ¡Attack ¡ � Format ¡String ¡Attack ¡ � Memory ¡disclosure ¡is ¡a ¡serious ¡vulnerability ¡ 11

  12. Memory ¡Overwrite ¡and ¡the ¡ Format ¡String ¡Attack ¡ � Format ¡String ¡Attack ¡ � %n ¡formatting ¡character ¡ � Writes ¡the ¡number ¡of ¡characters ¡printed ¡thus ¡far ¡to ¡ an ¡integer ¡pointer ¡ � Aka ¡4-­‑byte ¡overwrite ¡address ¡pointer ¡ 12

  13. Memory ¡Overwrite ¡and ¡the ¡ Format ¡String ¡Attack ¡ � Format ¡String ¡Attack ¡ 13

  14. Memory ¡Overwrite ¡and ¡the ¡ Format ¡String ¡Attack ¡ � Format ¡String ¡Attack ¡ � %n ¡formatting ¡character ¡ � Continues ¡counting ¡(doesn’t ¡reset ¡after ¡another ¡%n) ¡ � This ¡means ¡our ¡write ¡values ¡are ¡ever-­‑increasing ¡ 14

  15. Memory ¡Overwrite ¡and ¡the ¡ Format ¡String ¡Attack ¡ � Format ¡String ¡Attack ¡ � %hn ¡is ¡available ¡in ¡some ¡printf ¡implementations ¡ � 16-­‑bit ¡(2-­‑byte) ¡overwrite ¡ � Ex.: ¡We ¡can ¡overwrite ¡0xFFFFFFFF ¡with ¡0xFFFF0001 ¡ 15

  16. Format ¡String ¡Attack ¡ Essentials ¡ � Need ¡to ¡Know ¡and ¡Understand ¡ � The ¡number ¡of ¡chars ¡printed ¡is ¡our ¡write ¡value ¡ � The ¡aligned ¡parameter ¡on ¡the ¡stack ¡for ¡our ¡%n ¡or ¡ %hn ¡is ¡our ¡write ¡address ¡ 16

  17. Format ¡String ¡Attack ¡ Formatter ¡Sizes ¡ � Format ¡String ¡Formatter ¡information ¡ � Keeping ¡our ¡attack ¡string ¡small ¡saves ¡space ¡ � Space ¡that ¡could ¡be ¡used ¡for ¡NOP ¡sled/shellcode ¡ � Sizes ¡ � %c: ¡ ¡ ¡2 ¡fmt ¡/ ¡4 ¡mem ¡/ ¡1 ¡count ¡ � %d, ¡%x…: ¡ ¡2 ¡fmt ¡/ ¡4 ¡mem ¡/ ¡? ¡count ¡ � %p: ¡ ¡2 ¡fmt ¡/ ¡4 ¡mem ¡/ ¡8 ¡count ¡ � %f: ¡ ¡ ¡2 ¡fmt ¡/ ¡8 ¡mem ¡/ ¡? ¡count ¡ � Risky, ¡divide ¡by ¡zero ¡is ¡possible ¡ � %.f: ¡ ¡3 ¡fmt ¡/ ¡8 ¡mem ¡/ ¡? ¡count ¡ � Avoids ¡division ¡by ¡zero ¡ � %s: ¡ ¡ ¡variable ¡(2 ¡fmt ¡/ ¡n ¡mem ¡/ ¡n-­‑1 ¡count) ¡ � Up ¡to ¡and ¡including ¡first ¡null ¡byte ¡ � Risky, ¡can ¡access ¡violate ¡ 17

  18. Creative ¡Format ¡String ¡ Attacks ¡ � Large ¡Scale ¡Memory ¡Disclosure ¡ � Use ¡%s ¡to ¡disclose ¡memory ¡up ¡to ¡the ¡first ¡null ¡byte ¡ � It ¡is ¡possible ¡to ¡access ¡violate ¡if ¡you ¡hit ¡the ¡end ¡of ¡ the ¡stack ¡before ¡you ¡find ¡a ¡null ¡terminator ¡ � However, ¡null ¡bytes ¡are ¡numerous ¡ � So ¡you ¡can ¡bank ¡on ¡this ¡trick ¡a ¡few ¡times ¡ 18

  19. Creative ¡Format ¡String ¡ Attacks ¡ � Format ¡String ¡Memory ¡Math ¡ � Use ¡predictable ¡values ¡in ¡memory ¡to ¡help ¡you! ¡ � There ¡exists ¡a ¡* ¡qualifier ¡ � Can ¡safely ¡print ¡a ¡large ¡number ¡of ¡chars ¡ � Can ¡take ¡a ¡long ¡time ¡(minutes) ¡ � Handy ¡trick, ¡especially ¡for ¡harder-­‑to-­‑hack ¡Windows ¡ 19

  20. Creative ¡Format ¡String ¡ Attacks ¡ � Format ¡String ¡Memory ¡Math ¡ � If ¡your ¡format ¡string ¡is ¡on ¡the ¡stack, ¡use ¡it! ¡ � Lowland ¡addresses ¡are ¡hard ¡to ¡generate ¡ � You ¡cannot ¡have ¡null ¡bytes ¡in ¡your ¡format ¡string ¡ 20

  21. Creative ¡Format ¡String ¡ Attacks ¡ � Format ¡String ¡Memory ¡Math ¡ � Hide ¡lowland ¡addresses ¡as ¡their ¡negative ¡value ¡ � The ¡* ¡qualifier ¡will ¡left ¡justify ¡for ¡negative ¡params ¡ � Can ¡safely ¡print ¡a ¡large ¡numbers ¡with ¡null ¡bytes ¡ � Now ¡we ¡can ¡write ¡lowland ¡vals ¡ � Handy ¡trick, ¡especially ¡for ¡harder-­‑to-­‑hack ¡Windows ¡ 21

  22. Creative ¡Format ¡String ¡ Attacks ¡ � Advanced ¡Format ¡String ¡Alignment ¡ � You ¡are ¡not ¡limited ¡to ¡4-­‑byte ¡write ¡alignments ¡ � (in ¡x86) ¡ � The ¡address ¡%n ¡uses ¡is ¡byte-­‑aligned ¡ � Ex: ¡ � Write ¡0x41414141 ¡to ¡0x0012FF82 ¡ 22

  23. Linux ¡Format ¡String ¡Attacks ¡ � Direct ¡Parameter ¡Access ¡ � Not ¡implemented ¡by ¡Windows ¡(msvcrt.printf) ¡ � %3$x � Grab ¡the ¡3rd ¡parameter ¡ � Makes ¡most ¡formatting ¡string ¡attacks ¡very ¡compact ¡ � Ex: ¡Write ¡0x0012FFC0 ¡to ¡200th ¡parameter ¡ � “%.621786x%.621786x%.8x%.8x…%.8x%.8x%n” � 816 ¡characters ¡ � Reduces ¡to ¡ “%.622560x%.622560x%200$n” � 24 ¡characters ¡ 23

  24. Windows ¡Format ¡String ¡ Attacks ¡ � Windows ¡Format ¡String ¡Limitations ¡ � Beware ¡width ¡specifiers! ¡ � Some ¡limit ¡the ¡maximum ¡number ¡ � WinNT ¡4.0, ¡XP: ¡ ¡%.516x ¡maximum ¡ � Win2000: ¡ ¡ ¡ ¡allows ¡large ¡values ¡(%.622496x) ¡ � All ¡typically ¡store ¡the ¡expanded ¡format ¡string ¡on ¡the ¡ stack ¡ � Long ¡format ¡strings ¡(like ¡%.622496x) ¡can ¡overflow ¡the ¡stack ¡ � Crashes ¡the ¡program ¡ � No ¡direct ¡parameter ¡access ¡ � Nope, ¡none. ¡ ¡Bummer. ¡ � So ¡parameter ¡alignment ¡and ¡size ¡cognizance ¡is ¡ important ¡ 24

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

String Oriented Programming Exploring Format String Attacks Mathias Payer Motivation

String Oriented Programming Exploring Format String Attacks Mathias Payer Motivation

String Oriented Programming Exploring Format String Attacks Mathias Payer Motivation Additional protection mechanisms prevent many existing attack vectors Format string exploits are often overlooked Drawback: hard to construct (new

850 views • 23 slides
Software Security Explorative Lecture A brief history of security problems attacks on

Software Security Explorative Lecture A brief history of security problems attacks on

1/30/2020 Software Security Explorative Lecture A brief history of security problems attacks on multi-user UNIX systems for fun viruses & worms attacking operating systems due to buffer overflow, format string attacks, integer

477 views • 37 slides
Owning RealPlayer, just like they do in the movies! Further advances in format string attacks to

Owning RealPlayer, just like they do in the movies! Further advances in format string attacks to

Owning RealPlayer, just like they do in the movies! Further advances in format string attacks to help us win the game c0ntex Pakcon 2005 Karachi Who I Am My name is c0ntex and I research computer security, exploitation techniques,

317 views • 21 slides
Format String Vulnerabilities Most slides courtesy Wenliang Du @ Syracuse Univ. (with

Format String Vulnerabilities Most slides courtesy Wenliang Du @ Syracuse Univ. (with

Format String Vulnerabilities Most slides courtesy Wenliang Du @ Syracuse Univ. (with modifications) Outline Format String Access optional arguments How printf() works Format string attack How to exploit the

798 views • 35 slides
Format-String Vulnerability Instructor: Fengwei Zhang SUSTech CS 315 Computer Security 1

Format-String Vulnerability Instructor: Fengwei Zhang SUSTech CS 315 Computer Security 1

Format-String Vulnerability Instructor: Fengwei Zhang SUSTech CS 315 Computer Security 1 Outline Format String Access optional arguments How printf() works Format string attack How to exploit the vulnerability

617 views • 36 slides
ICANN 50 Detecting Distributed DNS Attacks Utilizing Levenshtein String Distances

ICANN 50 Detecting Distributed DNS Attacks Utilizing Levenshtein String Distances

ICANN 50 Detecting Distributed DNS Attacks Utilizing Levenshtein String Distances Nils Clausen, M.Sc. University Lecturer n.clausen@ium.edu.na Detecting Distributed DNS Attacks Utilizing Levenshtein String

328 views • 14 slides
The Curse of Small Domains New Attacks on Format-Preserving Encryption Viet Tung Hoang Stefano

The Curse of Small Domains New Attacks on Format-Preserving Encryption Viet Tung Hoang Stefano

The Curse of Small Domains New Attacks on Format-Preserving Encryption Viet Tung Hoang Stefano Tessaro Ni Trieu Florida State University UC Santa Barbara Oregon State University CRYPTO 2018 August 20, 2018 1 Format-Preserving Encryption

373 views • 24 slides
The printf Function The printf function must be supplied with a format Formatted Input/Output

The printf Function The printf function must be supplied with a format Formatted Input/Output

1/28/14 The printf Function The printf function must be supplied with a format Formatted Input/Output string, followed by any values that are to be inserted into the string during printing: printf( string , expr 1 , expr 2 , ); The

484 views • 4 slides
String Oriented Programming Circumventing ASLR, DEP, and other Guards Mathias Payer, ETH Zrich

String Oriented Programming Circumventing ASLR, DEP, and other Guards Mathias Payer, ETH Zrich

String Oriented Programming Circumventing ASLR, DEP, and other Guards Mathias Payer, ETH Zrich Motivation Additional protection mechanisms prevent many existing attack vectors Format string exploits are often overlooked Drawback: hard to

640 views • 26 slides
String Matching String matching problem: string T (text) and string P (pattern) over an

String Matching String matching problem: string T (text) and string P (pattern) over an

String Matching String matching problem: string T (text) and string P (pattern) over an alphabet . String Matching |T| = n, |P| = m. Report all starting positions of occurrences of P in T. Inge Li Grtz P = a b a b a c a T

468 views • 9 slides
Character String 1 What we should learn about strings Representation in C String Literals

Character String 1 What we should learn about strings Representation in C String Literals

10-02-2016 Character String 1 What we should learn about strings Representation in C String Literals String Variables String Input/Output printf, scanf, gets, fgets, puts, fputs String Functions strlen, strcpy,

663 views • 18 slides
Attacking the stack (continued) hic 1 1 Firefox bugs this morning hic 2 Last week

Attacking the stack (continued) hic 1 1 Firefox bugs this morning hic 2 Last week

Attacking the stack (continued) hic 1 1 Firefox bugs this morning hic 2 Last week Using buffer overruns or format string attacks to read out or corrupt the stack, esp. the control data on the stack: frame pointers and return

647 views • 42 slides
More Vulnerabilities (buffer overreads, format string, integer overflow, heap overflows) Chester

More Vulnerabilities (buffer overreads, format string, integer overflow, heap overflows) Chester

More Vulnerabilities (buffer overreads, format string, integer overflow, heap overflows) Chester Rebeiro Indian Institute of Technology Madras Buffer Overreads 2 Buffer Overread Example 3 Buffer Overread Example len read from command line

906 views • 76 slides
History & Overview J.D. Falk, Return Path Inc. Mail Abuse Reporting Format (MARF) Working

History & Overview J.D. Falk, Return Path Inc. Mail Abuse Reporting Format (MARF) Working

History & Overview J.D. Falk, Return Path Inc. Mail Abuse Reporting Format (MARF) Working Group IETF 77Anaheim, California, USA 1 Complaint Feedback Loops Rationale History ARF MARF History Installed Base

784 views • 28 slides
String Matching Inge Li Grtz CLRS 32 String Matching String matching problem: string

String Matching Inge Li Grtz CLRS 32 String Matching String matching problem: string

String Matching Inge Li Grtz CLRS 32 String Matching String matching problem: string T (text) and string P (pattern) over an alphabet . |T| = n, |P| = m. Report all starting positions of occurrences of P in T. P = a b a b

903 views • 43 slides
NECESSARY BACKGROUND ON MEMORY EXPLOITS AND WEB APPLICATION VULNERABILITIES Outline 2

NECESSARY BACKGROUND ON MEMORY EXPLOITS AND WEB APPLICATION VULNERABILITIES Outline 2

1 NECESSARY BACKGROUND ON MEMORY EXPLOITS AND WEB APPLICATION VULNERABILITIES Outline 2 Memory safety attacks Buffer overruns Format string vulnerabilities Web application vulnerabilities SQL injections Cross-site

901 views • 39 slides
Introduction Buffer Overflows Buffer overflows were the most common form of security

Introduction Buffer Overflows Buffer overflows were the most common form of security

Introduction Buffer Overflows Buffer overflows were the most common form of security vulnerability in the 90s. Buffer overflows dominate in the area of remote network penetration vulnerabilities. CS 465 They represent one of the

651 views • 4 slides
Smart Card Attacks: Enter the Matrix Tiana Razafindralambo Guillaume Bouffard Julien

Smart Card Attacks: Enter the Matrix Tiana Razafindralambo Guillaume Bouffard Julien

Introduction Logical attacks Combined attacks Conclusion Smart Card Attacks: Enter the Matrix Tiana Razafindralambo Guillaume Bouffard Julien Iguchi-Cartigny Jean-Louis Lanet Smart Secure Devices (SSD) Team Xlim Labs Universit e

902 views • 53 slides
ECS 153 Discussion Section April 6, 2015 1 What Well Cover Goal : To

ECS 153 Discussion Section April 6, 2015 1 What Well Cover Goal : To

ECS 153 Discussion Section April 6, 2015 1 What Well Cover Goal : To discuss buffer overflows in detail Stack-based buffer overflows Smashing the stack: execution from the stack

620 views • 37 slides
Info formation Leaks Kyriakos Kyriakou kkyria16@cs.ucy.ac.cy University of Cyprus EPL 682:

Info formation Leaks Kyriakos Kyriakou kkyria16@cs.ucy.ac.cy University of Cyprus EPL 682:

Info formation Leaks Kyriakos Kyriakou kkyria16@cs.ucy.ac.cy University of Cyprus EPL 682: Advanced Security Topics 1 Ju Just st-in in-tim time Code Reuse On the effectiveness of Fine-Grained Address Space Layout Randomization Kevin Z.

1.82k views • 180 slides
Jump Over ASLR: Attacking Branch Predictors to Bypass ASLR Presentation by Eric Newberry and

Jump Over ASLR: Attacking Branch Predictors to Bypass ASLR Presentation by Eric Newberry and

Jump Over ASLR: Attacking Branch Predictors to Bypass ASLR Presentation by Eric Newberry and Youssef Tobah Paper by Dmitry Evtyushkin, Dmitry Ponomarev, and Nael Abu-Ghazaleh 1 Motivation Buffer overflow attacks modify the control flow of a

1.6k views • 17 slides
Detecting Stack Based kernel Information Leaks. S. Peir o , M. Mu noz, M. Masmano, A. Crespo

Detecting Stack Based kernel Information Leaks. S. Peir o , M. Mu noz, M. Masmano, A. Crespo

Detecting Stack Based kernel Information Leaks. S. Peir o , M. Mu noz, M. Masmano, A. Crespo Instituto de Autom atica e Inform atica Industrial Universitat Polit` ecnica de Val` encia, Spain { speiro, mmu noz, mmasmano, acrespo }

379 views • 18 slides
Lecture 12: ROP & Review January 27, 2020 Chris Stone Lab 3 (Bomb) Due 1:15pm Tomorrow Lab

Lecture 12: ROP & Review January 27, 2020 Chris Stone Lab 3 (Bomb) Due 1:15pm Tomorrow Lab

Lecture 12: ROP & Review January 27, 2020 Chris Stone Lab 3 (Bomb) Due 1:15pm Tomorrow Lab 4 (Attack) Starts Tomorrow New Partner! Take-Home Midterm available by 5pm Tomorrow Afternoon (75-minute exam due 5pm next Friday) Security:

317 views • 19 slides
the Top of the Pride Staircase! Pride Pride Pride 1 st Self Reliance Step Courage Reliable

the Top of the Pride Staircase! Pride Pride Pride 1 st Self Reliance Step Courage Reliable

he View Is Sweeter From the Top of the Pride Staircase! Pride Pride Pride 1 st Self Reliance Step Courage Reliable Pride Determination Pride Pride We As The Conner Cougars Are Proud Of Our Conner Family. Pride Is Pleasure Arising

445 views • 12 slides

More recommend