Žvilgsnis į pažeidžiamumų išnaudojimą

Kai tikėjausi toliau diskutuoti šia tema, leiskite jums papasakoti apie pažeidžiamumo istoriją, teoriją ir praktiką. Mes visi jau girdėjome, kad saugumo trūkumai gali kainuoti daug, visi žinome, kad turime nuolat atnaujinti savo programinę įrangą, visi žinome, kad daugelį atnaujinimų sukelia saugos klaidos. Bet šiandien aš jums šiek tiek papasakosiu, kaip šios klaidos randamos ir išnaudojamos. Tačiau prieš tai mes patiksliname keletą detalių, kad galėtume geriau apžvelgti.

Prieš pradėdami

Pirmiausia noriu jums pasakyti, kad daugiausia dėmesio skirsime pirmajam pažeidžiamumui, kurį išmokau išnaudoti, žinomam Buferio perpildymas, šiame pažeidžiamume pasinaudodami atminties patikrinimo trūkumu, kad atliktume įdomių dalykų things Bet paaiškinkime šiek tiek daugiau apie tai.

Tai nebus realaus pasaulio scenarijus

Negaliu sau leisti jų išmokyti nutraukti bet kokią matomą programą 🙂, nes tai pavojinga jų kompiuteriams, antra, nes tam prireiktų daugiau nei mano įprasta žodžių kvota.

Vykstame į kelionę į 80-uosius

Tai, ką jums parodysiu, galiu padaryti savo nešiojamuoju kompiuteriu, tačiau tai nereiškia, kad šiandien tai galima padaryti paprastai - daugelis šių sąvokų jau buvo panaudotos tiek kartų, kad atsirado naujų apsaugos metodų ir naujų būdų, kaip jų išvengti. 😛 bet tai grąžina mus į tą pačią vietą, nėra vietos visa tai pasakyti 🙂

Tai gali neveikti jūsų procesoriuje

Nors aš naudosiu labai paprastą pavyzdį, noriu, kad nuo pat pradžių būtų visiškai aišku, jog detalių yra tiek daug ir tiek įvairių, kad lygiai taip pat, kaip gali pasirodyti tas pats kaip aš, jei norite išbandyti, norimas efektas taip pat gali nepasiekti 🙂 Bet jūs galite įsivaizduoti, kad negaliu paaiškinti, jog šioje erdvėje, juolab, kad su šia įžanga aš jau paėmiau daugiau nei 300 žodžių, taigi mes einame tiesiai į savo tašką.

Kas yra a Buferio perpildymas

Norėdami atsakyti į tai, pirmiausia turime suprasti pirmąją šio derinio pusę.

Buferiai

Kadangi viskas yra susijusi su atmintimi kompiuteryje, logiška, kad turi būti tam tikro tipo informacijos talpykla. Kai kalbėsime apie įėjimai o išėjimai, mes pereiname tiesiai į sąvoką buferiai. Kad jis būtų trumpas, a buferis Tai apibrėžto dydžio atminties erdvė, kurioje ketiname saugoti paprastą informacijos kiekį

Kaip rodo pavadinimas, įvyksta perpildymai, kai buferis užpildo daugiau informacijos, nei ji gali sutvarkyti. Bet kodėl tai svarbu?

Sukrauti

Taip pat žinomi kaip kaminai, jie yra abstraktus duomenų tipas, kuriame mes galime kamino informacija, jų pagrindinė ypatybė yra ta, kad jie turi užsakymą LIFO (paskutinis pirmas išėjimas). Pagalvokime sekundę apie plokščių šūsnį, mes dedame jas po vieną ir tada išimame po vieną iš viršaus, todėl paskutinė mūsų įdėta plokštė (ta, kuri yra viršuje) yra pirmoji plokštė kad išimsime, aišku, jei vienu metu galime išimti tik vieną plokštelę ir nusprendžiame tai padaryti tokia tvarka: P.

Dabar, kai žinote šias dvi sąvokas, turime jas sutvarkyti. Šūsniai yra svarbūs, nes kiekviena mūsų vykdoma programa turi savo vykdymo kamino. Bet šis kaminas turi tam tikra charakteristika, auga žemyn. Vienintelis dalykas, kurį reikia žinoti apie tai, yra tai, kad kol programa veikia, kai iškviečiama funkcija, krūva pereina nuo skaičiaus X atmintyje prie skaičiaus (Xn). Tačiau norėdami tęsti turime suprasti dar vieną sąvoką.

Rodyklės

Tai yra koncepcija, kuri išprotėja daugelį programuotojų, kai jie pradeda veikti C pasaulyje, iš tikrųjų didelę C programavimo galią iš dalies lemia rodyklių naudojimas. Kad būtų paprasčiau, rodyklė nurodo atminties adresą. Tai skamba sudėtingai, bet nėra taip sudėtinga, mes visi turime savo mašinose RAM, tiesa? Na, tai galima apibrėžti kaip nuoseklus blokų išdėstymas, šios vietos paprastai išreiškiamos šešioliktainiais skaičiais (nuo 0 iki 9, tada nuo A iki F, pvz., 0x0, 0x1, 0x6, 0xA, 0xF, 0x10). Čia kaip smalsus užrašas, 0x10 NE yra lygus 10 😛, jei perskaičiuosime ją po kablelio, būtų tas pats, kas sakyti 15. Tai taip pat iš pradžių painioja daugiau nei vieną, bet leiskime prie jo.

Registros

Procesoriai dirba su daugeliu registros, kurios veikia perduodant vietas iš fizinės atminties į procesorių, architektūroms, naudojančioms 64 bitus, registrų skaičius yra didelis ir čia sunku jį apibūdinti, tačiau norint suprasti idėją, registrai yra tarsi rodyklės, be kitų daiktai, atminties vieta (vieta).

Dabar praktikuokitės

Aš žinau, kad iki šiol tai buvo daug informacijos apdorojimas, tačiau iš tikrųjų tai yra šiek tiek sudėtingi klausimai, kuriuos bandau paaiškinti labai paprastai, pamatysime mažą programą, kurioje naudojami buferiai, ir ketiname ją sulaužyti, kad suprastume tai apie perpildymus, akivaizdu, kad tai nėra Tai tikra programa, ir mes „išvengsime“ daugelio šiandien naudojamų atsakomųjų priemonių, kad tik parodytume, kaip viskas buvo padaryta anksčiau 🙂 ir kadangi kai kurie iš šių principų yra būtini norint išmokti sudėtingesnių dalykų 😉

GDB

Puiki programa, kurią, be abejo, dažniausiai naudoja „C“ programuotojai. Tarp daugybės dorybių turime tai, kad ji leidžia pamatyti visa tai, apie ką kalbėjome iki šiol, registrus, kaminą, buferius ir pan. 🙂 Pažiūrėkime programą, kurią naudosime savo pavyzdžiu.

pakartojimas.c

Tai gana paprasta programa, mes ketiname naudotis biblioteka stdio.h kad būtų galima gauti informaciją ir parodyti ją terminale. Mes galime pamatyti funkciją, vadinamą return_input kuris generuoja a buferis vadinamas masyvas, kurio ilgis yra 30 baitų (char tipo duomenų tipas yra 1 baitas).

Funkcija gets(array); prašyti informacijos pagal konsolę ir funkciją printf() grąžina masyvo turinį ir rodo jį ekrane.

Kiekviena programa, parašyta C, prasideda funkcija main(), tai bus atsakinga tik už return_input iškvietimą, dabar mes sukursime programą.

Paimkime šiek tiek to, ką aš ką tik padariau. Variantas -ggdb sako gcc, kad ji turi sukompiliuoti programą su informacija, kad gdb galėtų tinkamai derinti. -fno-stack-protector Tai yra galimybė, kurios akivaizdžiai neturėtume naudoti, bet kurią ketiname naudoti, nes priešingu atveju būtų galima sukurti buferio perpildymą rietuvėje. Galų gale aš išbandžiau rezultatą. ./a.out jis tiesiog vykdo tai, ką ką tik sukūriau, manęs prašo informacijos ir grąžina. Bėgimas 🙂

Įspėjimai

Čia dar viena pastaba. Ar matote įspėjimus? aišku, į ką reikia atsižvelgti dirbant su kodu ar kompiliuojant, tai yra šiek tiek akivaizdu ir yra nedaug programų, kurios šiandien atlieka funkciją gets() Kode. Vienas „Gentoo“ pranašumas yra tas, kad kompiliuodamas kiekvieną programą matau, kas gali būti negerai, „idealioje“ programoje jų neturėtų būti, tačiau nustebtumėte, kiek daug didelių programų turi šiuos įspėjimus, nes jos yra tiesiog LABAI didelės ir jas sunku sekti. pavojingos funkcijos, kai vienu metu yra daug įspėjimų. Dabar, jei tęsime

Derinimas su programa

Dabar ši dalis gali būti šiek tiek paini, bet kadangi jau parašiau pakankamai, negaliu sau leisti visko paaiškinti, todėl atsiprašau, jei matai, kad einu per greitai 🙂

Kodo išjungimas

Pradėkime nuo mūsų sudarytos mašininės kalbos programos.

Tai yra mūsų pagrindinės funkcijos kodas Surinkimas, tai supranta mūsų procesorius, kairėje esanti eilutė yra fizinis adresas atmintyje, <+ n> yra žinomas kaip kompensuoti, iš esmės atstumas nuo funkcijos (pagrindinės) pradžios iki to sakinio (žinomo kaip kodas operacijos). Tada matome instrukcijos tipą (push / mov / callq ...) ir vieną ar daugiau registrų. Apibendrinant galime pasakyti, kad tai yra nuoroda, po kurios nurodomas šaltinis / kilmė ir paskirties vieta. <return_input> nurodo mūsų antrąją funkciją, pažvelkime.

return_input

Tai yra šiek tiek sudėtingiau, bet aš tik noriu, kad patikrintumėte keletą dalykų, yra žyma, vadinama <gets@plt> ir paskambino paskutinis opcode retq nurodant funkcijos pabaigą. Į funkciją įvesime porą lūžių taškų gets ir dar vienas retq.

paleisti

Dabar vykdysime programą, kad pamatytume, kaip prasideda veiksmas.

Matome, kad atsiranda maža rodyklė, nurodanti opcode, kur esame, noriu, kad jie atsižvelgtų į kryptį 0x000055555555469b, tai yra adresas po skambučio return_input funkcijoje main , tai yra svarbu, nes čia programa turėtų grįžti, kai baigsite gauti indėlis, pereikime prie funkcijos. Dabar prieš įvesdami funkciją patikrinsime atmintį gets.

Aš jums sukūriau pagrindinę funkciją ir paryškinau kodą, į kurį kalbėjau, kaip matote endiškumas buvo padalintas į du segmentus, noriu, kad jie atsižvelgtų į kryptį 0x7fffffffdbf0 (pirmasis iš kairės po komandos x/20x $rsp), nes tai yra vieta, kurią turime naudoti norėdami patikrinti gautų rezultatų rezultatus, tęskime:

Pažeisti programą

Aš juos išryškinau 0x44444444nes jie atspindi mūsų Ds 🙂 dabar mes pradėjome pridėti indėlis į programą ir, kaip matote, mes esame tik dvi eilutės nuo norimo adreso, mes jį užpildysime, kol būsime prieš pat adresus, kuriuos paryškinome ankstesniame žingsnyje.

Grįžimo kelio keitimas

Dabar, kai mums pavyko įvesti šį kodo skyrių, kur jis rodo funkcijos grįžimą, pažiūrėkime, kas atsitiks, jei pakeisime adresą 🙂, o ne eisime į opcodo vietą, kuri seka tą, kurią mes turėjome prieš akimirką, ką jūs manote jei grįšime į return_input? Bet tam būtina norimą adresą užrašyti dvejetainiu būdu, tai padarysime su funkcija printf nuo bash 🙂

Dabar mes du kartus gavome informaciją 😀 programa tikrai nebuvo sukurta tam, bet mums pavyko sulaužyti kodą ir priversti jį pakartoti tai, ko jis neturėjo padaryti.

Apmąstymai

Šį paprastą pakeitimą galima laikyti a išnaudoti labai paprastas - jam pavyko nutraukti programą ir padaryti tai, ko mes norime.

Tai tik pirmas žingsnis beveik begaliniame sąraše dalykų, kuriuos reikia pamatyti ir pridėti, yra būdų, kaip pridėti daugiau dalykų, nei paprasčiausiai pakartoti užsakymą, tačiau šį kartą aš parašiau daug ir visko, kas susiję su lukšto kodavimas tai tema, kad sakyčiau daugiau nei straipsniai, visos knygos. Atsiprašau, jei nesugebėjau šiek tiek daugiau įsigilinti į temas, kurios man patiktų, bet tikrai bus galimybė 🙂 Sveikinimai ir ačiū, kad čia patekote.