Buffer Overflow Smashing the Stack Obra realizada bajo licencia FreeBeer para ser utilizada únicamente con fines educativos. El autor de esta obra no se responsabiliza por el fin que se le de a dicha información. El uso indebido de los contenidos aquí expuestos tiene responsabilidades legales en quién incurra en ellos. Pasen y dejen sus sombreros en la puerta, no importa el color que sean... $: WHOAMI */ * * * * * * * * * * */ My.Name : Facundo M. de la Cruz → _tty0 _tty0 My.E­Mail: fmdlc <at> code4life.com.ar My.Blog : http://www.codigounix.com.ar/ 0x41) Consultor en IT 0x42) Coordinador de SanLuiX 0x43) Estudie gastronómia y fui ayudante de cocina 0x44) Amigo de OpenBSDeros Intel i386 Modos de operación Los procesadores Intel x86 tienen distintos modos de operación. → Modo real → Modo protegido → Modo virtual 8086 → Long Mode → System Management Mode Rings de ejecución Los procesadores modernos utilizan rings para determinar los distintos permisos. Se protege : Memoria, I/O Ports, y el uso de algunas instrucciónes por parte de la CPU. Ring 3 → User Space Ring 0 → Supervisor Ring ­1 → Hypervisor User Space Kernel mode Memory management Cada proceso en un sistema operativo multi tareas corre en su propio sandbox de memoria. Esto es el VIRTUAL ADDRESS SPACE . Esta direcciones virtuales son mapeadas a la memoria física por las TABLAS DE PAGINAS mantenidas por el kernel y consultadas por la CPU. Una porción de las direcciones virtuales son reservadas para el propio kernel. Memoria virtual La memoria virtual es una técnica que le permite al software utilizar mas memoria de la que existe fisicamente en el sistema. La mayoría de las PC tiene cuatro tipo de memorias: → Memoria RAM → Registros del CPU → Memoria Caché (L1, L2) → Disco Duro (mas lento, mas grande y barato). La traducción de direcciones virtuales a reales es realizada por el MMU (Unidad de Manejo de Memoria) que incorpora su TLB. El sistema operativo es el responsable de que parte es mantenida en memoría física y que parte en memoria virtual. Paginación Los sistema operativos dividen los programas en pequeñas páginas ; y a la memoria en trozos del mismo tamaño llamados Marcos de Memoria . El kernel mantiene una lista de los marcos y una tabla por cada proceso donde consta en que marco se encuentra cada página de proceso. En la tabla de páginas se encuentra la ubicación del marco que contiene cada una de sus páginas. Que hay en la memoria? El kernel esta siempre listo para ser accedido. En contraste el mapeo para la porción de direcciones en el User­mode cambia entre procesos. Que hay en la memoria? 0xbfffffff 0x08000000 Shared libraries .text .bss .Heap .Stack En GNU/Linux es posible examinar las aréas de memoria de un proceso leyendo el archivo: /proc/`pgrep proceso`/maps env pointer Argv Endianness Es el formato en que se almacenan los datos de mas de un byte. 0xbfbb1a3c Motorola → \xbf\xbb\x1a\x3c → Big Endian Intel → \x3c\x1a\xbb\xbf → Little Endian El estándar de Motorola, se expresa en un orden “natural”. El standart de INTEL va desde el bit menos INTEL significativo al mas significativo. Facilita acceso ya que se hace de forma incremental. Stack LIFO 0xbfffffff POP PUSH 0x00000000 Stack Pointer (TOS) Registros Estructuras internas del CPU utlizadas para comunicar a la UAL con la Memoria. → Registros de propósito general → Registros de control → Registros de segmento → Otros registros Reg. Generales Son registros de 32 bits. → EAX → Acumulador DIV/MUL ­ Número Syscall → EBX → Offset ­ Argumentos Syscall → ECX → Contador de bucles ­ Argumentos Syscall → EDX → Puntero I/O Reg. de control Son registros de 32 bits. → EIP → Extended Instrucion Pointer → EBP → Extended Base Pointer → ESP → Extended Stack Pointer → EDI → Extended Data Index → ESI → Extended Source Index 31 16 0 EIP IP Reg. de segmento Son registros de 16 bits. → CS → Code Segment → DS → Data Segment → ES → Extra Segment → SS → Stack Segment CS : EIP Próxima instrucción SS : ESP Ubicación del Stack Disassemble main Frame Pointer Apunta a la localización dentro del stack de las variables locales y parámetros de una función. Estos pueden ser localizados dando sus OFFSETS desde BP (EBP). A Data SP Data Data Data Data BP FP RET Par 1 FP Procedure Log void function(int a, int b, int c) { char bufferA[5]; char bufferB[10]; } void main() { function(1,2,3); } bufferA bufferB FP RET 1 2 3 Procedure Log 0x080483a4: push ebp 0x080483a5: mov ebp,esp 0x080483a7: and esp,0xfffffff0 0x080483aa: sub esp,0x110 0x080483b0: mov eax,DWORD PTR [ebp+0xc] 0x080483a5: Crea un nuevo FP Epilog 0x080483c8 leave 0x080483c9 ret Veamos un ejemplo en la realidad!... Smashing the stack Buffer Definimos a Buffer como una porción o bloque contiguo de memoria utilizado para almacenar y contener datos. En el leguaje de programación C, el tipo de buffer más común es el array. array Buffer Overflow Es un error de programación que se produce cuando se copia una cantidad de datos a un aréa que no es lo suficientemente grande para contenerla, de esta manera los datos que se escriben en el buffer corrompen aquellos datos en direcciones de memoria adyacentes a los destinados para el buffer, debido a la falta de validación de los datos de entrada. Sistemas afectados Entornos Unix: → AIX → FreeBSD → GNU/Linux → HP­UX → MacOSX → NetBSD → OpenBSD → Solaris Entornos Microsoft: Entornos Microsoft: → Windows 95 → Windows 98 → Windows ME → Windows XP → Windows Vista → Windows Seven → Windows NT → Windows 2000 Prof. → Windows 2000 Server → Windows 2003 Server Funciones vulnerables Sistemas afectados → gets() → strcpy() → strcat() → vsprintf() → scanf() → getc() → fgetc() → getchar() BUFFER OVERFLOW $: ./buffer AAAAAAAA $: ./buffer `python ­c 'print “\x41”*8'` $: ./buffer `perl ­e '{print “\x41”x8}'` buffer – Segmentation Fault ¿Pero que sucede? A A A A A Buffer A - Char (6 Bytes) A A A 6 Buffer B – Char (3 Bytes) Controlling the EIP Si podemos controlar el EIP (RET) , podemos dirigir nuestro programa a donde nosotros queremos. Para controlarlo debemos sobreescribirlo con una posición de memoria valida donde se encuentre el comienzo de nuestra shellcode. Utilizando “ The NOP Method ” podemos hacer todo más facil. ./bof <padding><ret><nop><shellcode> NOP = No Operation = 0x90 = \x90 GDB Disassemble main GDB GNU Debugger el es depurador estándar para el sistema GNU creado en 1986 por Richard Stallman. Características generales: → Creado como y para el proyecto GNU. → Software Libre (distribuido bajo GPL). → Multiplataforma. → Funciona con C, C++, Fortran . → Posibildiad de trazar y modificar la ejecución. → Debugging remoto. → No posee GUI ( Frontend: DDD, KGDB, XXGDB). Ultíma versión estable: 6.8 Arquitecturas → Alpha → ARM → AVR → H8/300 → System/370 → System/390 → x86 → x86/64 → IA­64 “Itanium” → Motorola 68000 → MIPS → PA­RISC → PowerPC → SuperH → Sparc → A29K → ARC → EXTRA CRIS → D10V → D30V → FR­30 → Intel i960 → Motorola 8800 → MCORE → MN10200 → MN10300 → NS32K → VAX → V850 → Z8000 Características → Se puede detener la ejecución de un programa generando puntos de rupturas o Breakpoints . → Se puede detener la ejecución por puntos de ruptura por condición o Watchpoints . → Se puede detener la ejecución al recibir señales externas o Catchpoints . → Se puede consultar el valor de distintas expresiones ( Displays ). → Se pueden analizar archivos Core . Iniciando GDB Para iniciar GDB podemos hacerlo de tres formas. → De manera interactiva → Cargar directamente el binario → Atacheando el proceso en ejecución Interactiva $: gdb GNU gdb 6.8 Copyright (C) 2008 Free Software Foundation, Inc. License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html> This is free software: you are free to change and redistribute it. There is NO WARRANTY, to the extent permitted by law. Type "show copying" and "show warranty" for details. This GDB was configured as "i686­pc­linux­gnu". (gdb) file binario Directamente $: gdb binario GNU gdb 6.8 Copyright (C) 2008 Free Software Foundation, Inc. License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html> This is free software: you are free to change and redistribute it. There is NO WARRANTY, to the extent permitted by law. Type "show copying" and "show warranty" for details. This GDB was configured as "i686­pc­linux­gnu". (gdb) Attacheando $: gdb attach `pgrep binario` GNU gdb 6.8 Copyright (C) 2008 Free Software Foundation, Inc. License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html> This is free software: you are free to change and redistribute it. There is NO WARRANTY, to the extent permitted by law. Type "show copying" and "show warranty" for details. This GDB was configured as "i686­pc­linux­gnu". Attaching to process 1187 (gdb) Shellcode Syscall La syscall usa una instrucción especial ( int 0x80) que permite que el procesador int 0x80 transfiera el control a un código privilegiado previamente especificado por el mismo código. “...Cuando una syscall es invocada, la ejecución del programa que invoca es interrumpida y sus datos son guardados en el BCP para poder continuar ejecutandose luego. El procesador comienza a ejecutar codigo en alto nivel de privilegios, para realizar la tarea requerida. Cuando esta finaliza se retorna al proceso orignal...” Shelllcode → La llamada al sistema específica se carga en el registro EAX → Los argumentos de la llamada son puestos en otros registros → Se ejecuta la instrucción int 0x80 → CPU cambia a Kernel mode → Llamada al sistema ejecutada (devolviendo en este caso el string por pantalla) La tabla de syscalls se encuentra en: /arch/x86/kernel/entry_32.S Syscalls SEGMENT .text mov eax, 4 mov ebx, 1 mov ecx, message mov edx, 12 int 80h ;­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­ xor eax,eax inc eax mov ebx,eax int 0x80 message db 'Game Over?', 7, 10 $: nasm ­f elf scode.asm $: $: ld ­o scode scode.o $: $: objdump ­d scode $: Exploit Nuestro Exploit Escribiremos un exploit utilizando Python, una shellcode de 24 bytes para Linux x86 24 bytes que ejecutará la shell /bin/sh. /bin/sh → Definir Shellcode → Definir Magic Address → Definir NOP's → Definir Padding → Utilizaremos ASLR (protección) Protección Disassemble main Non-Executable Stack Consiste en no permitir la ejecución de código desde el Stack, el buffer overflow código desde el Stack aquí es “imposible” ya que no se puede escribir el RET. → Ret2libc → Ret2code → Ret2data → Ret2text → Ret2syscall → Ret2gets → Ret2plt → Ret2strcpy ASLR Address Space Layout Randomization El principio detrás de esto es simple , si las librerías, la aplicación, el stack y el heap son randomizados, el atacante no sabe donde saltar o apuntar punteros. Se puede especular con la diferencia de bytes entre ejecución o bruteforceando. AAAS ASCII Armored Address Space Se trata de cargar las librerias compartidas en espacios de memoria que comiencen con un NULL 0x00, como por ejemplo 0x00001000. 0x00001000 Shared Library 0x00001C00 Shared Library 0x00001F00 Shared Library W ^ X Memory Significa que la memoria puede ser escrita pero no ejecutada. O ejecutada pero no escrita. Esto haría imposible inyectar código pero pueden ser bypasseados con métodos como: → Ret2plt → Retsyscall → Ret2text → Ret2code Canarios Son valores de 32 bits entre los buffers y la 32 bits data sensible. Si estos canarios son modificados, el programa lo detecta y salta a una excepción. Existen diversas formas de bypassear los canarios de ProPolice y StackGuard, los mas ProPolice StackGuard dificiles de bypassear son los canarios randomizados!. Buffer Canario Canario 0x000AFF0D FP RET More information 0x41)BlackHack 0x41) → 0x42)CodigoUnix 0x42) → http://www.codigounix.com.ar/ 0x43)OpenBSDeros 0x43) → http://www.openbsderos.org/ 0x44)Milw0rm 0x44) → http://www.milw0rm.org/ 0x45)Packet Storn 0x45) → http://www.packetstorn.org/ 0x46)Phrack Magazine 0x46) → http://www.phrack.org/ 0x47)Safemode 0x47) → http://www.safe­mode.org/ 0x48)SecurityFocus 0x48) → http://www.securityfocus.com/ 0x49)Shell Storm 0x49) → http://shell­storm.com/ 0x50)w00w00 0x50) → http://www.w00w00.org/ http://www.blackhack.org/ Bibliografía Attacks and Defenses for the Vulnerability of the Decade Crispin Cowan, Perry Wagle, Calton Pu, Steve Beattie, Johathan Walpole http://www.cse.ogi.edu/DISC/projects/immunix Shellcode: the Assembly cocktail Samy Bahra ­ samy@kerneled.org Smashing the stack for fun and profit Aleph One – Phrack 49 ­ aleph1@underground.net http://www.phrack.org/issues.html?issue=49&id=14#article The Shellcoders Handbook ­ 2 nd Edition. Chris Anley, John Heasman, Felix “FX” Linder, Gerardo Richarte Wiley Publishing INC. ISBN 978­0­470­08023­8 Gustavo Duarte: http://www.duartes.org/ Shell St0rm http://www.shell­st0rm.org/ Wikipedia http://www.wikipedia.org/ Game Over "...Ahora este es nuestro mundo, el mundo del electrón y el interruptor, la belleza del baudio..." The Menthor 08/01/86