Título: Deshabilitando protecciones contra Buffer Overflows Publicado por: c1c4tr1z en 14 Enero 2009, 01:28 am Cuando es el momento de analizar un programa en busca de vulnerabilidades o simplemente explotarlos bajo GNU/Linux, hay dos simples protecciones que hay que tener en cuanta cuando hablamos de sistemas con Kernels de versiones 2.6 y mayores, y por sobre todo si están compilados con GCC. Hay mas protecciones como el parche grsecurity o exec-shield (de los que quizás hable mas adelante), hasta existe una protección desde hardware llamado StackGuard.
Virtual Address Space Randomization: La primera protección es la creación de espacio de direcciones virtuales aleatorias en el proceso, que van cambiando con cada invocación del proceso. Al cambiar esto, los exploits creados para direcciones absolutas (osea, constantes) serian obsoletos ya que cambian las direcciones con cada ejecución del programa y sus librerías en un rango de 8MB. Esto se aplica solamente a binarios ELF (Executable and Linkable Format). El método para habilitarlo y deshabilitarlo es simple, voy a demostrar el cambio de direcciones en la memoria con el siguiente código: Código: #include <stdio.h> Este código me daría la dirección exacta de ESP en el momento de la ejecución. Ahora con este código vamos a probar la protección en si del kernel en cuestión. El archivo de sistema que controla esta opción se encuentra en /proc/sys/kernel/randomize_va_space (solo manipulado por un superusuario o root) y podríamos decir que se controla mediante un TRUE (1) o FALSE (0). Entonces, probemos: Código: c1c4tr1z@c1c4tr1z-desktop:~/Escritorio$ cat /proc/sys/kernel/randomize_va_space Mediante la habilitación de este "parche" podemos ver que las direcciones van cambiando y haciendo casi imposible saber la dirección virtual de ESP (en este caso..) hasta el momento de la ejecución. Ahora deshabilitemos esta función y veamos que pasa: Código: root@c1c4tr1z-desktop:~# echo 0 > /proc/sys/kernel/randomize_va_space Después de deshabilitar el parche podemos ver que la dirección de ESP es constante en el ejecutable, sin siquiera volver a compilarlo! Pero no se asusten, como la historia nos ha enseñado! Detras de cada sistema de seguridad hay alguien tratando de romperlo.. [1] GCC StackGuard (ProPolice) Protection: Bueno, esta es una proteccion de seguridad implementada en el compilador ultra renombrado y que se encuentra en cada distribución GNU/Linux , hablo de GCC (GNU Compiler Collection). Este compilador viene con un sistema de protección llamado "StackGuard" desarrollado por Immunix y ahora llamado ProPolice [2]. Esta protección detecta un ataque de buffer overflow (siempre en el "stack") creando un valor llamado "Canario" entre los buffers creados y el "frame pointer" (EBP) & "return address" (EIP), entonces cuando un buffer intenta sobreescribir estos valores tiene que de una forma o otra sobreescribir el valor "Canario" y esto sirve como lanzador ("trigger") de la proteccion que da una alerta y toma una acción contra ello, por ejemplo, deteniendo el proceso. Bueno, vamos a ver como reacciona a un simple overflow como este: Código: #include <stdio.h> Como vemos, hay un buffer de 32 bytes y ni un solo checkeo al hacer la copia de string al buffer. Ya sabemos que tenemos 32 bytes de buffer + EBP + EIP, pero si la protección esta habilitada no nos permitiría ni pasar de el "frame pointer": Código:
DETECTADO! Si analizamos mas de cerca vemos esto ./vulnerable[0x80483ef], esa direccion nos indica en que momento el programa ejecuta el buffer overflow: Código: c1c4tr1z@c1c4tr1z-desktop:~/Escritorio$ gdb -q vulnerable Como vemos detiene el programa en la instrucció leave, que (por lo que entiendo) es la encargada de mover (mov) a %ebp a %esp y sacar (pop) a %ebp de la pila, eso significaria que pretende volver a ESP y con el buffer copiado (call 0x8048320 <strcpy@plt>). Es ahi donde el canario es sobreescrito y se detiene todo el procedimiento despues del checkeo. El checkeo lo hace mediante la funcion __stack_chk_fail(). Ahora vamos a probar el programa _sin_ esta protección. Para eso vamos a compilar el programa con el flag --no-stack-protector: Código: c1c4tr1z@c1c4tr1z-desktop:~/Escritorio$ gcc --no-stack-protector vulnerable.c -o vulnerable Y sin esta protección pudimos sobreescribir EBP y EIP sin ninguna dificultad, cosa que seria fácil de explotar mas aún si la protección de la cual hable antes esta deshabilitada para poder conseguir la dirección constante de ESP y sobreescribir el flujo del proceso. En sí, yo solo hable de un solo método de protección de esta extensión, que por lo que sé son 5 y se pueden ver en al pagina oficial [2]. Espero que les haya gustado esta pequeña charla, si tienen alguna pregunta o recalcarme en algo que estuve mal por favor haganlo ya que me estarían ayudando a mi y a los lectores :D porque apenas entro en el mundo de los exploits a nivel de sistema y la *lectura* de códigos en ASM. Referencias: [1] Smack the Stack (Advanced Buffer Overflow Methods) - http://www.packetstormsecurity.org/papers/bypass/smackthestack.txt [2] ProPolice - http://www.trl.ibm.com/projects/security/ssp/ Título: Re: Deshabilitando protecciones contra Buffer Overflows Publicado por: AlbertoBSD en 15 Enero 2009, 05:49 am Muy bien explicado, la verdad me gusto el documento, lastima que en FreeBSD no sea igual aun asi no tengo activada la pila en random.
Ahora: Código
Cualquiera siendo root puedo desactivar las protecciones :-X. aun así muy instructivo la verdad. Saludos. Título: Re: Deshabilitando protecciones contra Buffer Overflows Publicado por: c1c4tr1z en 15 Enero 2009, 06:30 am Gracias Anon!
Si, eso fue un error mio, a lo primero fue pensado como un simple post del "porque" a veces los exploits no funcionan por eso el titulo fue "Deshabilitando protecciones contra Buffer Overflows", pero decidí desarrollar un poco mas el texto ;D Título: Re: Deshabilitando protecciones contra Buffer Overflows Publicado por: k-k0 en 15 Enero 2009, 06:34 am Buen post!... si mal no recuerdo FreeBSD, trae la opcion de evitar overflows por defecto en gcc, no ?
Título: Re: Deshabilitando protecciones contra Buffer Overflows Publicado por: c1c4tr1z en 15 Enero 2009, 07:09 am En realidad por default GCC trae la proteccion habilitada. Supongo que debe ser asi en todos los sistemas *nix..
Título: Re: Deshabilitando protecciones contra Buffer Overflows Publicado por: AlbertoBSD en 15 Enero 2009, 07:21 am No la tiene habilitada, tengo FreeBSD 7.0
Código
Tiene por defecto el gcc 4.2.1 Código
Y yo compile por aparte el 3.4.6 Código
Y nada de proteccionista por defecto. Una cosa que puedo hacer es por defecto desactivar la ejecución en la pila. Esa es una proteccion mas, sin embargo muchas veces con el return into libc no sirve de mucho. Saludos. Título: Re: Deshabilitando protecciones contra Buffer Overflows Publicado por: k-k0 en 15 Enero 2009, 07:26 am hace un tiempo cuando probe FreeBSD, recuerdo que traia en gcc una opcion por defecto para evitar posibles overflows, pero sinceramente no me acuerdo cual era esa proteccion ...
Título: Re: Deshabilitando protecciones contra Buffer Overflows Publicado por: c1c4tr1z en 15 Enero 2009, 15:31 pm Yo tampoco parezco tener las protecciones cuando miro los headers de configuración:
Código Pero aun así viene por default, quizás simplemente en Ubuntu o los sabores Debian. Si tenes algo de tiempo, podrías probar el código de ejemplo? Así de paso tenemos mas información.. Título: Re: Deshabilitando protecciones contra Buffer Overflows Publicado por: k-k0 en 16 Enero 2009, 04:22 am uname -a
Código: Linux localhost 2.6.27-ARCH #1 SMP PREEMPT Sun Dec 21 09:31:10 UTC 2008 i686 Intel(R) Core(TM) Duo CPU T2350 @ 1.86GHz GenuineIntel GNU/Linux gcc -v Código: Usando especificaciones internas. En un rato cuando termine de meter mano a unas librerias pruebo el codigo y lo posteo ... Título: Re: Deshabilitando protecciones contra Buffer Overflows Publicado por: c1c4tr1z en 16 Enero 2009, 18:57 pm @k-k0: Ok, gracias k-k0.
@Anon: Estoy en duda por la posibilidad de que no este el parche por default. Asi que dejo el link (http://www.trl.ibm.com/projects/security/ssp/freebsd51/protector-fbsd-5.1-3.patch) parche para FreeBSD (y su checksum (http://www.trl.ibm.com/projects/security/ssp/freebsd51/protector-fbsd-5.1-3.patch.md5)) por las dudas. Saludos! Título: Re: Deshabilitando protecciones contra Buffer Overflows Publicado por: NewLog en 19 Enero 2009, 18:45 pm Muy buen texto!
En mi Debian (Kernel 2.6.18-6-686) el gcc tampoco viene con la protección por defecto. Hay alguna manera de hackear la última protección? Edito:Aquí tenéis un pdf original escrito por Immunix sobre el StackGuard Protection. En ese mismo documento comentan que en el número 10(¿56?) de phrack se explica como hackear la protección. Documento (http://mirror-fpt-telecom.fpt.net/gcc/summit/2003/Stackguard.pdf) Vuelvo a editar: Aquí tenéis el artículo de phrack. Must read! Artículo (http://www.phrack.com/issues.html?issue=56&id=5#article) Además he encontrado otro pdf muy bueno donde se explica la teoria de las protecciones y como saltarselas: Artículo (http://www.coresecurity.com/files/attachments/StackGuard.pdf) Título: Re: Deshabilitando protecciones contra Buffer Overflows Publicado por: c1c4tr1z en 20 Enero 2009, 18:14 pm Muchas gracias NewLog!
Muy buena información. Aunque esta desactualizada sirve para varias ideas. En cuanto a las protecciones de StackGuard encontré lo siguiente: Defeating compiler-level buffer overflow protection (http://usenix.org/publications/login/2005-06/pdfs/alexander0506.pdf) En cuánto a la protección del parche del VA, encontré varias técnicas para hacer un bypass:
Estoy viendo un poco mas afondo este tema, asi que dentro de poco aparezco con mas información si el tiempo me lo permite ;D. Título: Re: Deshabilitando protecciones contra Buffer Overflows Publicado por: AlbertoBSD en 20 Enero 2009, 19:05 pm Perfecto, yo me los practicare bajo linux, en esta semana que me lo instale, también voy a instalar el windows, para testear algunas vulnerabilidades bajo el.
Saludos. Que esto no estaba en Bugs y exploits ? Título: Re: Deshabilitando protecciones contra Buffer Overflows Publicado por: c1c4tr1z en 23 Enero 2009, 07:21 am Si Anon, estaba en "Bugs y Exploits" pero lo movieron.
Bueno, estuve investigando un poco y encontré al representante (mejor dicho ayudante) de esta protección. Su nombre es linux-gate.so.1 y es una librería compartida que no se presenta en el sistema, sino que reside en el kernel. Voy a usar el mismo programa vulnerable del articulo principal, compilado con la protección. Para saber si el programa usa la librería voy a usar el comando ldd: Código
Y bueno, uno de los checkeos mas importantes lo hace la misma función __stack_chk_fail que forma parte de glibc: Código
Pero que parece llamar a la función mas importante si se produce un buffer overflow, que es __kernel_vsyscall. Entonces corremos de nuevo gdb y vemos la función: Código
Al parecer y por lo que he leído, esta función encuentra la manera mas "rápida" de hacer una llamada dependiendo del procesador y de la versión del kernel (>=2.6), determinando si usar sysenter/sysexit o int 0x80 para hacer llamadas. Bueno, leyendo las listas de correo de linux.kernel me encontré con una simplificada pero buena explicación de como actúa el protector. Lo que hace la protección es seleccionar diferentes funciones (dependiendo si presentan buffers mayores de 8 bytes) y colocan un valor "canario" al principio de la función antes de la dirección de retorno. Antes de terminar la función y usar RET se compara el "canario" (__stack_chk_fail) con el valor de referencia, si sufre un cambio es una alerta de un posible buffer overflow. Hay otra función que voy a checkear mas tarde que es __fortify_fail(), pero no puedo encontrar mucha información sobre ello. Estas son cosas que voy leyendo/entendiendo hasta ahora. Saludos! Título: Re: Deshabilitando protecciones contra Buffer Overflows Publicado por: plAnadecU en 10 Marzo 2009, 21:09 pm En este thread estoy intentado descubrir como saltarse esta protección.
http://foro.elhacker.net/bugs_y_exploits/saltarse_protecciones_gcc_stackchkfail_fortify-t248049.0.html Título: Re: Deshabilitando protecciones contra Buffer Overflows Publicado por: rmdma() en 13 Febrero 2012, 12:33 pm Código: (gdb) r $(perl -e 'print "A"x[b]42[/b] , "B"x4') ------------------------------------------------------------------------- Código: (gdb) r $(perl -e 'print "A"x[b]44 [/b], "B"x4') Código: (gdb) r $(perl -e 'print "A"x[b]43[/b] , "B"x4') mi pregunta es, que es lo q esta pasando? por que eip derrepente tiene una direccion menor de lo normal y por que me sobrescribe alos 46 en vez d en los 40 que os sobrescribe a vosotros, alguien me puede hacer un dibujo de como estaria el stack al principio de ejecucion y despues de ser sobrescrito todo x favor, en la teoria lo entiendo o me da la sensacion de que lo e entendido pero llego a la practica y zass nose.. Título: Re: Deshabilitando protecciones contra Buffer Overflows Publicado por: Ivanchuk en 15 Febrero 2012, 22:10 pm Tendrias que poner el desensamblado de tu funcion. Para mi debe ser por la alineacion de 16 bytes de la pila, pero no estoy seguro. argv es mas grande y las direcciones de las variables locales se corren (mas abajo), y capaz que sp se te paso a la siguiente alineacion.
|