level02源代码如下图所示:
sprintf asprintf函数:
sprintf()函数用于将格式化的数据写入字符串,其原型为:
int sprintf(char *str, char * format [, argument, ...]);
【参数】str为要写入的字符串;format为格式化字符串,与printf()函数相同;argument为变量。
除了前两个参数类型固定外,后面可以接任意多个参数。而它的精华,显然就在第二个参数--格式化字符串--上。 printf()和sprintf()都使用格式化字符串来指定串的格式,在格式串内部使用一些以“%”开头的格式说明符(format specifications)来占据一个位置,在后边的变参列表中提供相应的变量,最终函数就会用相应位置的变量来替代那个说明符,产生一个调用者想要的字符串
sprintf的作用是将一个格式化的字符串输出到一个目的字符串中,而printf是将一个格式化的字符串输出到屏幕。sprintf的第一个参数应该是目的字符串,如果不指定这个参数,执行过程中出现 "该程序产生非法操作,即将被关闭...."的提示。
sprintf()会根据参数format 字符串来转换并格式化数据,然后将结果复制到参数str 所指的字符串数组,直到出现字符串结束('\0')为止
但是sprintf没有检查argument复制到*str中的长度,导致造成缓冲区溢出,所以采用更安全的函数
snprintf
int snprintf(char*str, size_t size,constchar* restrict format, ...)
可以明显看得出来,snprintf()這個函式比sprinf()多了一個參數size;這個参数的用处,就是用来限制最大的写入量,可以用來避免 buffer overflow
由于snprintf会把超过size的内容截断,从而产生了asprintf函数,但该函数不在c标准函数内而是gnu函数的扩展,asprintf会申请足够大的内存存储这些字段而不会像snprintf函数一样产生截断
asprintf
asprintf()可以说是一个增强版的sprintf(),在不确定字符串的长度时,非常灵活方便,能够根据格式化的字符串长度,申请足够的内存空间。此外,使用完后,必须通过free()释放空间
具体可参考该文章:http://stackoverflow.com/questions/12746885/why-use-asprintf
代码漏洞位于该句:
asprintf(&buffer, "/bin/echo %s is cool", getenv("USER"));
asprintf函数将USER的值与其他字符串链接在一起并存放在buffer变量内,最后通过system函数执行buffer中的内容。其中buffer是我们可控的,只需要修改环境变量USER的值。由于环境变量USER是可以控制的,所以可以把USER变量替换掉。USER变量如果被改成;/bin/getflag,等于是在执行完echo语句后,紧接着就执行/bin/getflag了(执行多条命令用“;”隔开)
