Stack-based buffer overflow

Documenti analoghi
La protezione dai memory error exploit

Reverse engineering: disassembly

Reverse engineering: disassembly

Spazio di indirizzamento virtuale

Scrivere uno shellcode da zero

Istruzioni di trasferimento dati

Corso di Sicurezza Informatica

Buffer Overflow Attacchi ai servizi di rete

Capire e sfruttare gli stack buffer overflows

Format String Vulnerability

Corso di Sicurezza Informatica. Sicurezza del software. Ing. Gianluca Caminiti

Exploiting di applicazioni vulnerabili a buffer overflow sotto Linux

Linguaggio C: le funzioni. Visibilità variabili e passaggio parametri

Allocazione dinamica della memoria

ASM: catena di compilazione

Processore Danilo Dessì. Architettura degli Elaboratori.

L ambiente di simulazione SPIM

Subroutine in linguaggio macchina: collegamento e passaggio dei parametri. Sottoprogrammi: richiami

Subroutine in linguaggio macchina: collegamento e passaggio dei parametri

Organizzazione della Memoria usata dai Processi

Reverse engineering: executable file format

A#acchi Base: Buffer Overflow

ARM: stack e subroutine

L insieme delle istruzioni (6)

C: panoramica. Violetta Lonati

Puntatori. Un puntatore contiene un numero che indica la locazione di memoria dove è presente la variabile puntata

Assembly. Modello x86

Strutture Dati Dinamiche

I puntatori. Un puntatore è una variabile che contiene l indirizzo di un altra variabile. puntatore

Architettura di una CPU

Uso avanzato dei puntatori Allocazione dinamica della memoria

Calcolatori Elettronici

Perché il linguaggio C?

1 Esercizi con architettura a 1 bus

Linguaggio Macchina. Linguaggio Macchina. Linguaggio Macchina. Linguaggio Macchina ADD A,B ISTRUZIONE SUCCESSIVA

maurizio pizzonia sicurezza dei sistemi informatici e delle reti. esercizi su vulnerabilità del software e delle reti

Fondamenti di Informatica T. Linguaggio C: Stack e Ricorsione

7 - Programmazione procedurale: Dichiarazione e chiamata di metodi ausiliari

Gestione dinamica della memoria

Esercitazione: Implementazione in linguaggio C dell ADT. Stack con l utilizzo. di linked list

Interazione con il DOS e il BIOS

Esercizi su microistruzioni. 1 Esercizi con architettura a 1 bus

Il linguaggio C. Puntatori e dintorni

Introduzione a GCC: GNU Compiler Collection

Funzioni. Il modello console. Interfaccia in modalità console

Gestione della memoria

STUDIO DI BUFFER OVERFLOW IN AMBIENTE WIN32 E REALIZZAZIONE DI UN TOOL PER LA RICERCA AUTOMATICA DI PROGRAMMI VULNERABILI A QUESTO TIPO DI ATTACCO

Stringhe e allocazione dinamica della memoria

Input/output da file I/O ANSI e I/O UNIX FLUSSI E FILE FLUSSI FLUSSI di TESTO FLUSSI BINARI FILE

Parametri Formali di una Funzione e Record di Attivazione

Gestione della Memoria

Sottoprogrammi in linguaggio assembly del Motorola 68000

Transcript:

Università degli Studi di Milano Facoltà di Scienze e Tecnologie Stack-based buffer overflow Andrea Lanzi A.A. 2015 2016 Andrea Lanzi Stack-based buffer overflow A.A. 2015 2016 1 / 19

Classificazione attacchi Attacchi di tipo overflow Stack overflow return-into-stack return-into-libc off-by-one Heap overflow Integer overflow Andrea Lanzi Stack-based buffer overflow A.A. 2015 2016 2 / 19

Layout memoria di un processo 0xbfffffff ENV/ARG strings stack ENV/ARG pointers argc heap.bss.data.text 0x08040000 Andrea Lanzi Stack-based buffer overflow A.A. 2015 2016 3 / 19

Stack layout Caratteristiche stack Intel x86 struttura LIFO (last-in first-out) cresce da indirizzi alti verso indirizzi bassi due registri per la gestione dello stack: frame pointer (ebp): punta al record di attivazione della procedura corrente stack pointer (esp): punta all ultimo elemento inserito sullo stack istruzioni assembly Intel per manipolare lo stack: push: decrementa esp e inserisce l elemento in cima allo stack, nella locazione puntata da esp pop: elimina l elemento dalla cima dello stack, incrementando esp Andrea Lanzi Stack-based buffer overflow A.A. 2015 2016 4 / 19

Stack layout Esempio 0xbffeaffc 0xbffeaff8 0xbffeaff4 cima dello stack esp push %eax push %ebx push %ecx pop %eax pop %ecx pop %ebx 0xbffeaff0 0xbffeafec 4 byte eax = x ebx = y ecx = z Andrea Lanzi Stack-based buffer overflow A.A. 2015 2016 5 / 19

Stack layout Esempio 0xbffeaffc 0xbffeaff8 0xbffeaff4 cima dello stack x esp push %eax push %ebx push %ecx pop %eax pop %ecx pop %ebx 0xbffeaff0 0xbffeafec 4 byte eax = x ebx = y ecx = z Andrea Lanzi Stack-based buffer overflow A.A. 2015 2016 5 / 19

Stack layout Esempio 0xbffeaffc 0xbffeaff8 0xbffeaff4 cima dello stack x y esp push %eax push %ebx push %ecx pop %eax pop %ecx pop %ebx 0xbffeaff0 0xbffeafec 4 byte eax = x ebx = y ecx = z Andrea Lanzi Stack-based buffer overflow A.A. 2015 2016 5 / 19

Stack layout Esempio 0xbffeaffc 0xbffeaff8 0xbffeaff4 0xbffeaff0 cima dello stack x y z esp push %eax push %ebx push %ecx pop %eax pop %ecx pop %ebx 0xbffeafec 4 byte eax = x ebx = y ecx = z Andrea Lanzi Stack-based buffer overflow A.A. 2015 2016 5 / 19

Stack layout Esempio 0xbffeaffc 0xbffeaff8 0xbffeaff4 cima dello stack x y esp push %eax push %ebx push %ecx pop %eax pop %ecx pop %ebx 0xbffeaff0 0xbffeafec 4 byte eax = z ebx = y ecx = z Andrea Lanzi Stack-based buffer overflow A.A. 2015 2016 5 / 19

Stack layout Esempio 0xbffeaffc 0xbffeaff8 0xbffeaff4 cima dello stack x esp push %eax push %ebx push %ecx pop %eax pop %ecx pop %ebx 0xbffeaff0 0xbffeafec 4 byte eax = z ebx = y ecx = y Andrea Lanzi Stack-based buffer overflow A.A. 2015 2016 5 / 19

Stack layout Esempio 0xbffeaffc 0xbffeaff8 0xbffeaff4 cima dello stack esp push %eax push %ebx push %ecx pop %eax pop %ecx pop %ebx 0xbffeaff0 0xbffeafec 4 byte eax = z ebx = x ecx = y Andrea Lanzi Stack-based buffer overflow A.A. 2015 2016 5 / 19

Chiamata a funzione In genere, 3 passi principali: 1 il chiamante inserisce i parametri della funzione sullo stack 2 il chiamante trasferisce il controllo alla funzione (e.g. call <strcpy>), salvando prima sullo stack il return address 3 il chiamato esegue alcune operazioni preliminari (prologo) salvataggio (push) del registro ebp ebp = esp allocazione delle variabili locali alla funzione chiamata Andrea Lanzi Stack-based buffer overflow A.A. 2015 2016 6 / 19

Terminazione di una funzione Epilogo 1 esp = ebp (ripristino spazio nello stack adibito alle variabili locali della funzione) 2 ripristino ebp relativo al record d attivazione precedente 3 ripristino return address (i.e., indirizzo del chiamante da cui riprendere l esecuzione) Andrea Lanzi Stack-based buffer overflow A.A. 2015 2016 7 / 19

Chiamata e terminazione di una funzione Esempio 1 / hello.c / 2 3 void foo(int n) 4 { 5 printf( numero: %d;\n, n); 6 } 7 8 int main(int argc, char argv) 9 { 10 foo(10); 11 return 0; 12 } 1 push %ebp 2 mov %esp,%ebp 3 sub $0x8,%esp 4 mov 0x8(%ebp),%eax 5 mov %eax,0x4(%esp) 6 movl $0x8048480,(%esp) 7 call 0x80482d8 <printf@plt> 8 leave 9 ret 1 push %ebp 2 mov %esp,%ebp 3 sub $0x4,%esp 4 movl $0xa,(%esp) 5 call 0x8048374 <foo> 6 mov $0x0,%eax 7 leave 8 ret foo() main() Andrea Lanzi Stack-based buffer overflow A.A. 2015 2016 8 / 19

Buffer overflow Buffer Insieme di locazioni di memoria contigue, contenente più istanze di uno stesso tipo di dato (e.g. int temperature[10];). Overflow Cosa succede se cerchiamo di inserire in un buffer più dati di quanti ne possa contenere? il sistema rileva una condizione anomala e interrompere l operazione (e.g. Java), oppure il sistema non può rilevare l anomalia, quindi l operazione viene effettuata ugualmente (e.g. C)... ma dove finiscono i dati in più? Andrea Lanzi Stack-based buffer overflow A.A. 2015 2016 9 / 19

Buffer overflow Buffer Insieme di locazioni di memoria contigue, contenente più istanze di uno stesso tipo di dato (e.g. int temperature[10];). Overflow Cosa succede se cerchiamo di inserire in un buffer più dati di quanti ne possa contenere? il sistema rileva una condizione anomala e interrompere l operazione (e.g. Java), oppure il sistema non può rilevare l anomalia, quindi l operazione viene effettuata ugualmente (e.g. C)... ma dove finiscono i dati in più? Andrea Lanzi Stack-based buffer overflow A.A. 2015 2016 9 / 19

Esempio di overflow 1 / overflow.c / 2 3 int main() 4 { 5 int i; 6 char buf2[4]; 7 char buf1[6]; 8 9 for(i=0; i<10; i++) 10 buf1[i] = A ; 11 12 return 0; 13 } buf1 buf2 0 1 2 3 4 5 6 7 8 9 i = 0 Andrea Lanzi Stack-based buffer overflow A.A. 2015 2016 10 / 19

Esempio di overflow 1 / overflow.c / 2 3 int main() 4 { 5 int i; 6 char buf2[4]; 7 char buf1[6]; 8 9 for(i=0; i<10; i++) 10 buf1[i] = A ; 11 12 return 0; 13 } buf1 buf2 A A A A A A 0 1 2 3 4 5 6 7 8 9 i = 6 Andrea Lanzi Stack-based buffer overflow A.A. 2015 2016 10 / 19

Esempio di overflow 1 / overflow.c / 2 3 int main() 4 { 5 int i; 6 char buf2[4]; 7 char buf1[6]; 8 9 for(i=0; i<10; i++) 10 buf1[i] = A ; 11 12 return 0; 13 } buf1 buf2 A A A A A A A A A A 0 1 2 3 4 5 6 7 8 9 i = 10 Andrea Lanzi Stack-based buffer overflow A.A. 2015 2016 10 / 19

Perché succede? Due ragioni: in alcuni linguaggi (e.g. C) mancano boundary check channeling problem: informazioni di controllo e dati nello stesso canale. Andrea Lanzi Stack-based buffer overflow A.A. 2015 2016 11 / 19

Perché succede? Negli stack-based buffer overflow si ha: canale: stack. dati: parametri e variabili locali delle funzioni informazioni di controllo: code pointer (e.g., return address) o frame pointer Andrea Lanzi Stack-based buffer overflow A.A. 2015 2016 12 / 19

Layout stack 0xbfffffff cima dello stack direzione crescita stack return address frame pointer variabili locali direzione crescita memoria Andrea Lanzi Stack-based buffer overflow A.A. 2015 2016 13 / 19

Programma vulnerabile 1 / vuln.c / 2 3 void foobar(char str) 4 { 5 char buffer[100]; 6 strcpy(buffer, str); 7 } 8 9 int main(int argc, char argv) 10 { 11 if(!argv[1]) return 1; 12 foobar(argv[1]); 13 exit(0); 14 } Effetti sullo stack di strcpy(buffer, str), supponendo che argv[1] sia formato da 108 caratteri A : buffer EBP retaddr i = 0 Andrea Lanzi Stack-based buffer overflow A.A. 2015 2016 14 / 19

Programma vulnerabile 1 / vuln.c / 2 3 void foobar(char str) 4 { 5 char buffer[100]; 6 strcpy(buffer, str); 7 } 8 9 int main(int argc, char argv) 10 { 11 if(!argv[1]) return 1; 12 foobar(argv[1]); 13 exit(0); 14 } Effetti sullo stack di strcpy(buffer, str), supponendo che argv[1] sia formato da 108 caratteri A : buffer EBP retaddr i = 0 Andrea Lanzi Stack-based buffer overflow A.A. 2015 2016 14 / 19

Programma vulnerabile 1 / vuln.c / 2 3 void foobar(char str) 4 { 5 char buffer[100]; 6 strcpy(buffer, str); 7 } 8 9 int main(int argc, char argv) 10 { 11 if(!argv[1]) return 1; 12 foobar(argv[1]); 13 exit(0); 14 } Effetti sullo stack di strcpy(buffer, str), supponendo che argv[1] sia formato da 108 caratteri A : buffer EBP retaddr A A A A A A A A A A............ A A A A A A A A A A i = 100 Andrea Lanzi Stack-based buffer overflow A.A. 2015 2016 14 / 19

Programma vulnerabile 1 / vuln.c / 2 3 void foobar(char str) 4 { 5 char buffer[100]; 6 strcpy(buffer, str); 7 } 8 9 int main(int argc, char argv) 10 { 11 if(!argv[1]) return 1; 12 foobar(argv[1]); 13 exit(0); 14 } Effetti sullo stack di strcpy(buffer, str), supponendo che argv[1] sia formato da 108 caratteri A : buffer EBP retaddr A A A A A A A A A A............ A A A A A A A A A A A A A A i = 104 Andrea Lanzi Stack-based buffer overflow A.A. 2015 2016 14 / 19

Programma vulnerabile 1 / vuln.c / 2 3 void foobar(char str) 4 { 5 char buffer[100]; 6 strcpy(buffer, str); 7 } 8 9 int main(int argc, char argv) 10 { 11 if(!argv[1]) return 1; 12 foobar(argv[1]); 13 exit(0); 14 } Effetti sullo stack di strcpy(buffer, str), supponendo che argv[1] sia formato da 108 caratteri A : buffer EBP retaddr A A A A A A A A A A............ A A A A A A A A A A A A A A A A A A i = 108 Andrea Lanzi Stack-based buffer overflow A.A. 2015 2016 14 / 19

Programma vulnerabile 1 / vuln.c / 2 3 void foobar(char str) 4 { 5 char buffer[100]; 6 strcpy(buffer, str); 7 } 8 9 int main(int argc, char argv) 10 { 11 if(!argv[1]) return 1; 12 foobar(argv[1]); 13 exit(0); 14 } Dove ritornerà il processo al termine dell esecuzione della funzione foobar()? Effetti sullo stack di strcpy(buffer, str), supponendo che argv[1] sia formato da 108 caratteri A : buffer EBP retaddr A A A A A A A A A A............ A A A A A A A A A A A A A A A A A A i = 108 Andrea Lanzi Stack-based buffer overflow A.A. 2015 2016 14 / 19

Esempio laser@laser:~/esempi$ gcc -o vuln vuln.c laser@laser:~/esempi$ objdump -d vuln vuln: file format elf32-i386 Disassembly of section.init:... 08048394 <foobar>: 8048394: 55 push %ebp 8048395: 89 e5 mov %esp,%ebp 8048397: 83 ec 78 sub $0x78,%esp 804839a: 8b 45 08 mov 0x8(%ebp),%eax 804839d: 89 44 24 04 mov %eax,0x4(%esp) 80483a1: 8d 45 9c lea 0xffffff9c(%ebp),%eax 80483a4: 89 04 24 mov %eax,(%esp) 80483a7: e8 28 ff ff ff call 80482d4 <strcpy@plt> 80483ac: c9 leave 80483ad: c3 ret... laser@laser:~/esempi$./vuln $(python -c print "X"*100 + "Y"*4 + "\x01\x02\x03\x04" ) Segmentation fault...@laser:~/...$ strace -i./vuln $(python -c print "X"*100 + "Y"*4 + "\x01\x02\x03\x04"; )... [04030201] --- SIGSEGV (Segmentation fault) @ 0 (0) --- Andrea Lanzi Stack-based buffer overflow A.A. 2015 2016 15 / 19

Obiettivo dell attacco Dirottare il flusso di esecuzione verso codice iniettato dall attaccante. Per fare questo bisogna: iniettare il codice da eseguire (shellcode) all interno di zone di memoria scrivibili del processo (stack,.data, heap,... ) modificare un code pointer del processo (e.g., return address) in modo da poter dirottare il flusso del programma verso il codice iniettato Andrea Lanzi Stack-based buffer overflow A.A. 2015 2016 16 / 19

Componenti injection vector NOP sled shellcode indirizzo shellcode shellcode: insieme di istruzioni che rappresentano il codice da eseguire (e.g. execve("/bin/sh")) indirizzo dello shellcode: indirizzo del buffer in memoria (e.g.. sullo stack) contenente lo shellcode NOP sled (opzionale): istruzioni (nop) che non fanno nulla, ma aumentano la probabilità di guessing dell indirizzo del buffer Andrea Lanzi Stack-based buffer overflow A.A. 2015 2016 17 / 19

Componenti injection vector NOP sled shellcode indirizzo shellcode shellcode: insieme di istruzioni che rappresentano il codice da eseguire (e.g. execve("/bin/sh")) indirizzo dello shellcode: indirizzo del buffer in memoria (e.g.. sullo stack) contenente lo shellcode NOP sled (opzionale): istruzioni (nop) che non fanno nulla, ma aumentano la probabilità di guessing dell indirizzo del buffer In che formato sono le istruzioni? Andrea Lanzi Stack-based buffer overflow A.A. 2015 2016 17 / 19

Esercizi 0x{01,02,03,04,05} Fare in modo che l input fornito ai seguenti programmi faccia stampare la stringa you win! http: //security.di.unimi.it/sicurezza1516/slides/stack1.c Memorandum studente@sec1:~$ sudo echo 0 > /proc/sys/kernel/randomize_va_space --------------------------------------------------------- studente@sec1:~$ gcc -m32 -fno-stack-protector -zexecstack -o stack1 stack1.c --------------------------------------------------------- studente@sec1:~$ objdump -d stack1 less... --------------------------------------------------------- studente@sec1:~$ perl -e print "\x41\x41\x41\x41". "\x42"x4 AAAABBBB --------------------------------------------------------- studente@sec1:~$ strace -fi./stack1... Andrea Lanzi Stack-based buffer overflow A.A. 2015 2016 18 / 19

Bibliografia Smashing The Stack For Fun And Profit (Aleph One) Phrack Magazine PC Assembly Language, Paul a Carter, http: //www.drpaulcarter.com/pcasm/pcasm-book.pdf.gz Andrea Lanzi Stack-based buffer overflow A.A. 2015 2016 19 / 19

2026 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back