elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Curso de javascript por TickTack


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Deshabilitando protecciones contra Buffer Overflows
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: Deshabilitando protecciones contra Buffer Overflows  (Leído 14,920 veces)
c1c4tr1z

Desconectado Desconectado

Mensajes: 27



Ver Perfil
Deshabilitando protecciones contra Buffer Overflows
« en: 14 Enero 2009, 01:28 am »

Cuando es el momento de analizar un programa en busca de vulnerabilidades o simplemente explotarlos bajo GNU/Linux, hay dos simples protecciones que hay que tener en cuanta cuando hablamos  de sistemas con Kernels de versiones 2.6 y mayores, y por sobre todo si están compilados con GCC. Hay mas protecciones como el parche grsecurity o exec-shield (de los que quizás hable mas adelante), hasta existe una protección desde hardware llamado StackGuard.

Virtual Address Space Randomization:

La primera protección es la creación de espacio  de direcciones virtuales aleatorias en el proceso, que van cambiando con cada invocación del proceso. Al cambiar esto, los exploits creados para direcciones absolutas (osea, constantes) serian obsoletos ya que cambian las direcciones con cada ejecución del programa y sus librerías en un rango de 8MB. Esto se aplica solamente a binarios ELF (Executable and Linkable Format).
El método para habilitarlo y deshabilitarlo es simple, voy a demostrar el cambio de direcciones en la memoria con el siguiente código:

Código:
#include <stdio.h>

unsigned long esp(void){
__asm__("movl %esp, %eax");
}

int main(int argc, char *argv[]){
printf("0x%08x\n",esp());
return 0;
}

Este código me daría la dirección exacta de ESP en el momento de la ejecución. Ahora con este código vamos a probar la protección en si del kernel en cuestión. El archivo de sistema que controla esta opción se encuentra en /proc/sys/kernel/randomize_va_space (solo manipulado por un superusuario o root) y podríamos decir que se controla mediante un TRUE (1) o FALSE (0). Entonces, probemos:

Código:
c1c4tr1z@c1c4tr1z-desktop:~/Escritorio$ cat /proc/sys/kernel/randomize_va_space 
1
c1c4tr1z@c1c4tr1z-desktop:~/Escritorio$ cat > esp.c << _END_
> #include <stdio.h>
>
> unsigned long esp(void){
> __asm__("movl %esp, %eax");
> }
>
> int main(int argc, char *argv[]){
> printf("0x%08x\n",esp());
> return 0;
> }
>
> _END_
c1c4tr1z@c1c4tr1z-desktop:~/Escritorio$ gcc esp.c -o esp
c1c4tr1z@c1c4tr1z-desktop:~/Escritorio$  ./esp
0xbfef2448
c1c4tr1z@c1c4tr1z-desktop:~/Escritorio$ ./esp
0xbfd48298
c1c4tr1z@c1c4tr1z-desktop:~/Escritorio$ ./esp
0xbfa24778
c1c4tr1z@c1c4tr1z-desktop:~/Escritorio$

Mediante la habilitación de este "parche" podemos ver que las direcciones van cambiando y haciendo casi imposible saber la dirección virtual de ESP (en este caso..) hasta el momento de la ejecución. Ahora deshabilitemos esta función y veamos que pasa:

Código:
root@c1c4tr1z-desktop:~# echo 0 > /proc/sys/kernel/randomize_va_space
[...]
c1c4tr1z@c1c4tr1z-desktop:~/Escritorio$ cat /proc/sys/kernel/randomize_va_space
0
c1c4tr1z@c1c4tr1z-desktop:~/Escritorio$ ./esp
0xbffff558
c1c4tr1z@c1c4tr1z-desktop:~/Escritorio$ ./esp
0xbffff558
c1c4tr1z@c1c4tr1z-desktop:~/Escritorio$ ./esp
0xbffff558
c1c4tr1z@c1c4tr1z-desktop:~/Escritorio$

Después de deshabilitar el parche podemos ver que la dirección de ESP es constante en el ejecutable, sin siquiera volver a compilarlo!
Pero no se asusten, como la historia nos ha enseñado! Detras de cada sistema de seguridad hay alguien tratando de romperlo.. [1]

GCC StackGuard (ProPolice) Protection:

Bueno, esta es una proteccion de seguridad implementada en el compilador ultra renombrado y que se encuentra en cada distribución GNU/Linux , hablo de GCC (GNU Compiler Collection). Este compilador viene con un sistema de protección llamado "StackGuard" desarrollado por Immunix y ahora llamado ProPolice [2]. Esta protección detecta un ataque de buffer overflow (siempre en el "stack") creando un valor llamado "Canario" entre los buffers creados y el "frame pointer" (EBP) & "return address" (EIP), entonces cuando un buffer intenta sobreescribir estos valores tiene que de una forma o otra sobreescribir el valor "Canario" y esto sirve como lanzador ("trigger") de la proteccion que da una alerta y toma una acción contra ello, por ejemplo, deteniendo el proceso.
Bueno, vamos a ver como reacciona a un simple overflow como este:

Código:
#include <stdio.h>
#include <string.h>

void overflow(char *badbeef){
char buffer[32];
strcpy(buffer, badbeef);
}

int main(int argc, char *argv[]){
overflow(argv[1]);
return 0;
}


Como vemos, hay un buffer de 32 bytes y ni un solo checkeo al hacer la copia de string al buffer. Ya sabemos que tenemos 32 bytes de buffer + EBP +  EIP, pero si la protección esta habilitada no nos permitiría ni pasar de el "frame pointer":
Código:

c1c4tr1z@c1c4tr1z-desktop:~/Escritorio$ cat > vulnerable.c <<_END_
> #include <stdio.h>
> #include <string.h>
>
> void overflow(char *badbeef){
> char buffer[32];
> strcpy(buffer, badbeef);
> }
>
> int main(int argc, char *argv[]){
> overflow(argv[1]);
> return 0;
> }
>
> _END_
c1c4tr1z@c1c4tr1z-desktop:~/Escritorio$ gcc vulnerable.c -o vulnerable
c1c4tr1z@c1c4tr1z-desktop:~/Escritorio$ ./vulnerable $(perl -e 'print "A"x32')
c1c4tr1z@c1c4tr1z-desktop:~/Escritorio$ ./vulnerable $(perl -e 'print "A"x36#EBP')
*** stack smashing detected ***: ./vulnerable terminated
======= Backtrace: =========
/lib/tls/i686/cmov/libc.so.6(__fortify_fail+0x48)[0xb7f69138]
/lib/tls/i686/cmov/libc.so.6(__fortify_fail+0x0)[0xb7f690f0]
./vulnerable[0x80483fe]
./vulnerable[0x8048421]
[0x41414141]
======= Memory map: ========
08048000-08049000 r-xp 00000000 08:02 534536     /home/c1c4tr1z/Escritorio/vulnerable
08049000-0804a000 rw-p 00000000 08:02 534536     /home/c1c4tr1z/Escritorio/vulnerable
0804a000-0806b000 rw-p 0804a000 00:00 0          [heap]
b7e70000-b7e7a000 r-xp 00000000 08:02 197220     /lib/libgcc_s.so.1
b7e7a000-b7e7b000 rw-p 0000a000 08:02 197220     /lib/libgcc_s.so.1
b7e7b000-b7e7c000 rw-p b7e7b000 00:00 0
b7e7c000-b7fc5000 r-xp 00000000 08:02 1425929    /lib/tls/i686/cmov/libc-2.7.so
b7fc5000-b7fc6000 r--p 00149000 08:02 1425929    /lib/tls/i686/cmov/libc-2.7.so
b7fc6000-b7fc8000 rw-p 0014a000 08:02 1425929    /lib/tls/i686/cmov/libc-2.7.so
b7fc8000-b7fcb000 rw-p b7fc8000 00:00 0
b7fe1000-b7fe3000 rw-p b7fe1000 00:00 0
b7fe3000-b7fe4000 r-xp b7fe3000 00:00 0          [vdso]
b7fe4000-b7ffe000 r-xp 00000000 08:02 196676     /lib/ld-2.7.so
b7ffe000-b8000000 rw-p 00019000 08:02 196676     /lib/ld-2.7.so
bffeb000-c0000000 rw-p bffeb000 00:00 0          [stack]
Cancelado
c1c4tr1z@c1c4tr1z-desktop:~/Escritorio$ ./vulnerable $(perl -e 'print "A"x44#EIP')
*** stack smashing detected ***: ./vulnerable terminated
======= Backtrace: =========
/lib/tls/i686/cmov/libc.so.6(__fortify_fail+0x48)[0xb7f69138]
/lib/tls/i686/cmov/libc.so.6(__fortify_fail+0x0)[0xb7f690f0]
./vulnerable[0x80483fe]
[0x41414141]
======= Memory map: ========
08048000-08049000 r-xp 00000000 08:02 534536     /home/c1c4tr1z/Escritorio/vulnerable
08049000-0804a000 rw-p 00000000 08:02 534536     /home/c1c4tr1z/Escritorio/vulnerable
0804a000-0806b000 rw-p 0804a000 00:00 0          [heap]
b7e70000-b7e7a000 r-xp 00000000 08:02 197220     /lib/libgcc_s.so.1
b7e7a000-b7e7b000 rw-p 0000a000 08:02 197220     /lib/libgcc_s.so.1
b7e7b000-b7e7c000 rw-p b7e7b000 00:00 0
b7e7c000-b7fc5000 r-xp 00000000 08:02 1425929    /lib/tls/i686/cmov/libc-2.7.so
b7fc5000-b7fc6000 r--p 00149000 08:02 1425929    /lib/tls/i686/cmov/libc-2.7.so
b7fc6000-b7fc8000 rw-p 0014a000 08:02 1425929    /lib/tls/i686/cmov/libc-2.7.so
b7fc8000-b7fcb000 rw-p b7fc8000 00:00 0
b7fe1000-b7fe3000 rw-p b7fe1000 00:00 0
b7fe3000-b7fe4000 r-xp b7fe3000 00:00 0          [vdso]
b7fe4000-b7ffe000 r-xp 00000000 08:02 196676     /lib/ld-2.7.so
b7ffe000-b8000000 rw-p 00019000 08:02 196676     /lib/ld-2.7.so
bffeb000-c0000000 rw-p bffeb000 00:00 0          [stack]
Cancelado

DETECTADO! Si analizamos mas de cerca vemos esto ./vulnerable[0x80483ef], esa direccion nos indica en que momento el programa ejecuta el buffer overflow:

Código:
c1c4tr1z@c1c4tr1z-desktop:~/Escritorio$ gdb -q vulnerable
(gdb) disas 0x80483ef
Dump of assembler code for function overflow:
0x080483c4 <overflow+0>: push   %ebp
0x080483c5 <overflow+1>: mov    %esp,%ebp
0x080483c7 <overflow+3>: sub    $0x48,%esp
0x080483ca <overflow+6>: mov    0x8(%ebp),%eax
0x080483cd <overflow+9>: mov    %eax,-0x34(%ebp)
0x080483d0 <overflow+12>: mov    %gs:0x14,%eax
0x080483d6 <overflow+18>: mov    %eax,-0x4(%ebp)
0x080483d9 <overflow+21>: xor    %eax,%eax
0x080483db <overflow+23>: mov    -0x34(%ebp),%eax
0x080483de <overflow+26>: mov    %eax,0x4(%esp)
0x080483e2 <overflow+30>: lea    -0x24(%ebp),%eax
0x080483e5 <overflow+33>: mov    %eax,(%esp)
[b]0x080483e8 <overflow+36>: call   0x8048320 <strcpy@plt>[/b]
0x080483ed <overflow+41>: mov    -0x4(%ebp),%eax
0x080483f0 <overflow+44>: xor    %gs:0x14,%eax
0x080483f7 <overflow+51>: je     0x80483fe <overflow+58>
0x080483f9 <overflow+53>: call   0x8048330 <__stack_chk_fail@plt>
0x080483fe <overflow+58>: leave
0x080483ff <overflow+59>: ret   
End of assembler dump.

Como vemos detiene el programa en la instrucció leave, que (por lo que entiendo) es la encargada de mover (mov) a %ebp a %esp y sacar (pop) a %ebp de la pila, eso significaria que pretende volver a ESP y con el buffer copiado (call   0x8048320 <strcpy@plt>). Es ahi donde el canario es sobreescrito y se detiene todo el procedimiento despues del checkeo. El checkeo lo hace mediante la funcion __stack_chk_fail().
Ahora vamos a probar el programa _sin_ esta protección. Para eso vamos a compilar el programa con el flag --no-stack-protector:

Código:
c1c4tr1z@c1c4tr1z-desktop:~/Escritorio$ gcc --no-stack-protector vulnerable.c -o vulnerable
c1c4tr1z@c1c4tr1z-desktop:~/Escritorio$ ./vulnerable $(perl -e 'print "A"x44#EIP')
Fallo de segmentación
c1c4tr1z@c1c4tr1z-desktop:~/Escritorio$ gdb -q vulnerable
(gdb) r $(perl -e 'print "A"x36 ,"B"x4')
The program being debugged has been started already.
Start it from the beginning? (y or n) y

Starting program: /home/c1c4tr1z/Escritorio/vulnerable $(perl -e 'print "A"x36 ,"B"x4')

Program received signal SIGSEGV, Segmentation fault.
0x42424242 in ?? ()
(gdb) i r eip ebp
eip            0x42424242 0x42424242
ebp            0x41414141 0x41414141
(gdb)

Y sin esta protección pudimos sobreescribir EBP y EIP sin ninguna dificultad, cosa que seria fácil de explotar mas aún si la protección de la cual hable antes esta deshabilitada para poder conseguir la dirección constante de ESP y sobreescribir el flujo del proceso. En sí, yo solo hable de un solo método de protección de esta extensión, que por lo que sé son 5 y se pueden ver en al pagina oficial [2].

Espero que les haya gustado esta pequeña charla, si tienen  alguna pregunta o recalcarme en algo que estuve mal por favor haganlo ya que me estarían ayudando a mi y a los lectores :D porque apenas entro en el mundo de los exploits a nivel de sistema y la *lectura* de códigos en ASM.

Referencias:
[1] Smack the Stack (Advanced Buffer Overflow Methods) - http://www.packetstormsecurity.org/papers/bypass/smackthestack.txt
[2] ProPolice - http://www.trl.ibm.com/projects/security/ssp/
En línea



AlbertoBSD
Programador y
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.705


🏴 Libertad!!!!!


Ver Perfil WWW
Re: Deshabilitando protecciones contra Buffer Overflows
« Respuesta #1 en: 15 Enero 2009, 05:49 am »

Muy bien explicado, la verdad me gusto el documento, lastima que en FreeBSD no sea igual aun asi no tengo activada la pila en random.

Ahora:

Código
  1. root@c1c4tr1z-desktop:~# echo 0 > /proc/sys/kernel/randomize_va_space

Cualquiera siendo root puedo desactivar las protecciones  :-X. aun así muy instructivo la verdad.

Saludos.


En línea

c1c4tr1z

Desconectado Desconectado

Mensajes: 27



Ver Perfil
Re: Deshabilitando protecciones contra Buffer Overflows
« Respuesta #2 en: 15 Enero 2009, 06:30 am »

Gracias Anon!
Si, eso fue un error mio, a lo primero fue pensado como un simple post del "porque" a veces los exploits no funcionan por eso el titulo fue "Deshabilitando protecciones contra Buffer Overflows", pero decidí desarrollar un poco mas el texto ;D
En línea



k-k0

Desconectado Desconectado

Mensajes: 35


Queres dominar el mundo ? dame esa computadora ...


Ver Perfil
Re: Deshabilitando protecciones contra Buffer Overflows
« Respuesta #3 en: 15 Enero 2009, 06:34 am »

Buen post!... si mal no recuerdo FreeBSD, trae la opcion de evitar overflows por defecto en gcc, no ?
En línea

Hacking is an art, don't screw it ...
c1c4tr1z

Desconectado Desconectado

Mensajes: 27



Ver Perfil
Re: Deshabilitando protecciones contra Buffer Overflows
« Respuesta #4 en: 15 Enero 2009, 07:09 am »

En realidad por default GCC trae la proteccion habilitada. Supongo que debe ser asi en todos los sistemas *nix..
En línea



AlbertoBSD
Programador y
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.705


🏴 Libertad!!!!!


Ver Perfil WWW
Re: Deshabilitando protecciones contra Buffer Overflows
« Respuesta #5 en: 15 Enero 2009, 07:21 am »

No la tiene habilitada, tengo FreeBSD 7.0

Código
  1. Anon@localhost % uname -a
  2. FreeBSD  7.0-RELEASE FreeBSD 7.0-RELEASE #6: Sat Dec 27 08:13:05 CST 2008     root@:/usr/src/sys/i386/compile/VGN-N350  i386
  3.  

Tiene por defecto el gcc 4.2.1

Código
  1. Anon@localhost % gcc -v
  2. Using built-in specs.
  3. Target: i386-undermydesk-freebsd
  4. Configured with: FreeBSD/i386 system compiler
  5. Thread model: posix
  6. gcc version 4.2.1 20070719  [FreeBSD]

Y yo compile por aparte el 3.4.6

Código
  1. Anon@localhost % gcc34 -v
  2. Reading specs from /usr/local/lib/gcc/i386-portbld-freebsd7.0/3.4.6/gcc/i386-portbld-freebsd7.0/3.4.6/specs
  3. Configured with: ./..//gcc-3.4.6/configure --disable-nls --with-system-zlib --with-libiconv-prefix=/usr/local --program-suffix=34 --libdir=/usr/local/lib/gcc/i386-portbld-freebsd7.0/3.4.6 --with-gxx-include-dir=/usr/local/lib/gcc/i386-portbld-freebsd7.0/3.4.6/include/c++/ --prefix=/usr/local --mandir=/usr/local/man --infodir=/usr/local/info/gcc34 i386-portbld-freebsd7.0
  4. Thread model: posix
  5. gcc version 3.4.6 [FreeBSD]
  6.  

Y nada de proteccionista por defecto.

Una cosa que puedo hacer es por defecto desactivar la ejecución en la pila. Esa es una proteccion mas, sin embargo muchas veces con el return into libc no sirve de mucho.

Saludos.
En línea

k-k0

Desconectado Desconectado

Mensajes: 35


Queres dominar el mundo ? dame esa computadora ...


Ver Perfil
Re: Deshabilitando protecciones contra Buffer Overflows
« Respuesta #6 en: 15 Enero 2009, 07:26 am »

hace un tiempo cuando probe FreeBSD, recuerdo que traia en gcc una opcion por defecto para evitar posibles overflows, pero sinceramente no me acuerdo cual era esa proteccion ...
En línea

Hacking is an art, don't screw it ...
c1c4tr1z

Desconectado Desconectado

Mensajes: 27



Ver Perfil
Re: Deshabilitando protecciones contra Buffer Overflows
« Respuesta #7 en: 15 Enero 2009, 15:31 pm »

Yo tampoco parezco tener las protecciones cuando miro los headers de configuración:
Código
  1. c1c4tr1z@c1c4tr1z-desktop:~$ gcc -v
  2. Usando especificaciones internas.
  3. Objetivo: i486-linux-gnu
  4. Configurado con: ../src/configure -v --enable-languages=c,c++,fortran,objc,obj-c++,treelang --prefix=/usr --enable-shared --with-system-zlib --libexecdir=/usr/lib --without-included-gettext --enable-threads=posix --enable-nls --with-gxx-include-dir=/usr/include/c++/4.2 --program-suffix=-4.2 --enable-clocale=gnu --enable-libstdcxx-debug --enable-objc-gc --enable-mpfr --enable-targets=all --enable-checking=release --build=i486-linux-gnu --host=i486-linux-gnu --target=i486-linux-gnu
  5. Modelo de hilos: posix
  6. gcc versión 4.2.4 (Ubuntu 4.2.4-1ubuntu3)
  7.  
Pero aun así viene por default, quizás simplemente en Ubuntu o los sabores Debian. Si tenes algo de tiempo, podrías probar el código de ejemplo? Así de paso tenemos mas información..
En línea



k-k0

Desconectado Desconectado

Mensajes: 35


Queres dominar el mundo ? dame esa computadora ...


Ver Perfil
Re: Deshabilitando protecciones contra Buffer Overflows
« Respuesta #8 en: 16 Enero 2009, 04:22 am »

uname -a
Código:
Linux localhost 2.6.27-ARCH #1 SMP PREEMPT Sun Dec 21 09:31:10 UTC 2008 i686 Intel(R) Core(TM) Duo CPU T2350 @ 1.86GHz GenuineIntel GNU/Linux

gcc -v
Código:
Usando especificaciones internas.
Objetivo: i686-pc-linux-gnu
Configurado con: ../configure --prefix=/usr --enable-shared --enable-languages=c,c++,fortran,objc,obj-c++,treelang --enable-threads=posix --mandir=/usr/share/man --infodir=/usr/share/info --enable-__cxa_atexit --disable-multilib --libdir=/usr/lib --libexecdir=/usr/lib --enable-clocale=gnu --disable-libstdcxx-pch --with-tune=generic
Modelo de hilos: posix
gcc versión 4.3.2 (GCC)

En un rato cuando termine de meter mano a unas librerias pruebo el codigo y lo posteo ...

« Última modificación: 16 Enero 2009, 04:24 am por k-k0 » En línea

Hacking is an art, don't screw it ...
c1c4tr1z

Desconectado Desconectado

Mensajes: 27



Ver Perfil
Re: Deshabilitando protecciones contra Buffer Overflows
« Respuesta #9 en: 16 Enero 2009, 18:57 pm »

@k-k0: Ok, gracias k-k0.

@Anon: Estoy en duda por la posibilidad de que no este el parche por default. Asi que dejo el link parche para FreeBSD (y su checksum) por las dudas.

Saludos!
En línea



Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Dudas con paper sobre buffer overflows
ASM
[Kayser] 1 2,634 Último mensaje 20 Marzo 2013, 18:53 pm
por x64core
Windows 10 evitará un nuevo WannaCry deshabilitando protocolo
Noticias
wolfbcn 0 1,727 Último mensaje 19 Junio 2017, 21:16 pm
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines