- 23 Kasım 2025
- 1,103
- 46
Format String Zafiyetlerine Genel Bir Bakış
Format string zafiyetleri, yazılım güvenliğinde önemli bir yer tutar ve genellikle C/C++ gibi dillerde `printf()`, `sprintf()`, `fprintf()` gibi fonksiyonların yanlış kullanımı sonucunda ortaya çıkar. Bu fonksiyonlar, biçimlendirilmiş çıktı üretmek için format string adı verilen özel bir argüman bekler. Ancak, kullanıcıdan gelen verinin doğrudan format string olarak kullanılması durumunda, saldırganlar programın belleğini okuyabilir veya hatta değiştirebilir. Bu tür bir zafiyet, temel girdi doğrulamasının eksikliğinden kaynaklanır ve genellikle beklenenden daha fazla belleğe erişim sağlayarak hassas bilgilerin sızmasına ya da keyfi kod yürütülmesine yol açabilir. Dolayısıyla, bu zafiyetlerin anlaşılması ve doğru şekilde yönetilmesi büyük önem taşır.
Temel Format Belirleyiciler ve İşlevleri
Format string zafiyetlerini istismar etmek için öncelikle temel format belirleyicileri anlamak gereklidir. `%x` belirleyicisi, yığıt üzerindeki değerleri onaltılık formatta görüntülemek için kullanılır ve genellikle bellek sızıntısı elde etmenin ilk adımıdır. `%s` ise yığıt üzerinde veya başka bir bellek adresinde bulunan bir işaretçiyi takip ederek o adresteki diziyi okumamıza olanak tanır. `%n` belirleyicisi ise en tehlikeli olanlardan biridir; bu belirleyiciye kadar yazdırılan karakter sayısını, yığıt üzerinde belirtilen bir bellek adresine yazar. Bu, saldırganların keyfi bellek konumlarına veri yazmasını mümkün kılar. Her bir belirleyicinin doğru kullanımı, payload tasarımında kritik bir rol oynar.
Bilgi Sızıntısı İçin Payload Tasarımı
Bilgi sızıntısı elde etmek, format string zafiyetlerinin en yaygın kullanım alanlarından biridir. Saldırganlar, programın yığıtındaki veya global veri bölümündeki hassas bilgileri okumak amacıyla özel format stringleri tasarlar. Örneğin, `%x %x %x %x` gibi bir format string kullanarak yığıt üzerinde ardışık bellek konumlarındaki değerleri görüntüleyebilirler. Bu sayede, geri dönüş adresleri, fonksiyon işaretçileri veya diğer önemli bellek adresleri gibi bilgiler ele geçirilebilir. Ele geçirilen bu adresler, daha sonra daha karmaşık saldırılar, örneğin rastgele kod yürütme için bir temel oluşturur. Başarılı bir bilgi sızıntısı payload'u, hedef sistem hakkında kritik içgörüler sağlar.
Gelişmiş Bellek Yazma Teknikleri (%n kullanımı)
Gelişmiş bellek yazma teknikleri, genellikle `%n` format belirleyicisinin gücünden faydalanır. `%n` belirleyicisi, format string tarafından o ana kadar yazdırılan karakter sayısını, yığıtta belirtilen bir adrese yazar. Saldırganlar, bu özelliği kullanarak rastgele bellek adreslerine istedikleri değerleri yazabilirler. Örneğin, bir fonksiyonun geri dönüş adresini veya bir GOT (Global Offset Table) girişini kendi kötü niyetli kodlarının adresleriyle değiştirebilirler. Bununla birlikte, büyük değerleri yazmak için `%hn` (yarım kelime), `%hhn` (byte) gibi daha küçük yazma belirleyicileri kullanılır ve bu belirleyiciler hedef adresin parçalarını ayrı ayrı yazmayı mümkün kılar. Bu yöntemler, genellikle kademeli yazma teknikleri ile birleştirilir.
Hedef Bellek Adreslerini Belirleme ve Ofset Hesaplama
Başarılı bir format string payload'u tasarlarken, hedef bellek adreslerini doğru bir şekilde belirlemek ve yığıt üzerindeki ofsetleri hesaplamak hayati önem taşır. Saldırganlar, genellikle yığıt üzerinde kendi girdilerinin nerede durduğunu veya bir işaretçinin hangi konumda olduğunu bulmak için deneme yanılma yöntemlerini kullanır. Örneğin, belirli bir sayıda `%x` belirleyicisi kullanarak yığıt içeriğini analiz ederler. Bu sayede, payload'da hedef bellek adresi olarak kullanılacak doğru ofseti tespit ederler. Bu süreç, genellikle hedef programın davranışını gözlemleyerek ve bellek dökümlerini inceleyerek gerçekleştirilir. Doğru ofsetin bulunması, payload'un istenen bellek konumuna doğru veriyi yazmasını veya okumasını sağlar.
Genişletilmiş Format String Payload Oluşturma Adımları
Genişletilmiş bir format string payload oluşturmak sistematik bir süreç gerektirir. İlk olarak, zafiyetin bulunduğu programın bellek yapısı ve yığıt düzeni hakkında bilgi toplanır. Ardından, bilgi sızıntısı teknikleri (%x, %s) kullanılarak hedef bellek adresleri ve önemli ofsetler belirlenir. Bu bilgiler ışığında, `%n` veya varyantları (%hn, %hhn) ile keyfi yazma işlemleri için payload parçaları tasarlanır. Başka bir deyişle, geri dönüş adresini veya GOT girişini değiştirmek amacıyla, yazılacak değerler ve hedef adresler birleştirilir. Son olarak, bu parçalar dikkatlice birleştirilerek tek bir format string payload'u oluşturulur. Bu payload, programın beklediği girdiye göre uyarlanır ve çalıştırıldığında istenen istismarı gerçekleştirir.
Korunma Yöntemleri ve Güvenli Kodlama Pratikleri
Format string zafiyetlerine karşı korunmak için bir dizi önlem almak mümkündür. En temel ve etkili yöntem, kullanıcıdan gelen veriyi doğrudan `printf()` gibi formatlama fonksiyonlarına format string olarak geçirmemektir. Bunun yerine, kullanıcı girdisi her zaman ayrı bir argüman olarak sağlanmalıdır. Örneğin, `printf(kullanici_girisi);` yerine `printf("%s", kullanici_girisi);` kullanılmalıdır. Ek olarak, derleyici tarafından sağlanan güvenlik önlemleri, örneğin Stack Smashing Protector (SSP) veya Adres Alanı Düzensizliği (ASLR) gibi mekanizmalar aktif edilmelidir. Güvenli kodlama pratiklerinin benimsenmesi, kod incelemeleri ve statik/dinamik analiz araçlarının kullanılması da bu tür zafiyetlerin ortaya çıkmasını engellemede önemli rol oynar.