Exploiting実習　第8回

• 日時：2008-06-28
• 担当：Defolos

目次

• 前回までのハッキング方法における問題点
• NOPスレッド
• RETの連発
• 柔軟性
• 実際の挿入ベクター生成プログラム
• 例題
• 次回の予定

前回までのハッキング方法における問題点

• 前回まではSEIPの位置や戻りアドレスとして書き換えるべきバッファの先頭アドレスなどをプログラムに表示していた
• それを基にBOFを使ってSEIFを書き換えた
• しかし、通常のプログラムはそんな情報を表示してくれない！
• 厳密な場所を指定するのは現実的ではない
  • →柔軟性を持った攻撃手法が現実には必要
  • バッファ先頭アドレスの指定に柔軟性を持たせる＝NOPスレッド
  • SEIPの場所予測に柔軟性を持たせる＝RETの連発

NOPスレッド

• NOP...No Operation　何もしない命令　16進数で0x90
• スレッド...ソリ
• NOPスレッド...NOP命令を立て続けに書き付けた領域のこと

+-------------------+0001
| NOP                 |
+-------------------+0002
| NOP                 |
+-------------------+0003
| NOP                 |
+-------------------+0004
| NOP                 |
+-------------------+0005
| NOP                 |
+-------------------+0006

• NOPは何もせずにプログラムカウンタの値を１増やす＝次にかかれた命令を実行
• NOPの後ろに実行可能な機械語を置けば、NOPスレッドのどこから実行を始めても機械語が実行される

+-------------------+0001
| NOP                 |
+-------------------+0002
| NOP                 |
+-------------------+0003
| NOP                 |
+-------------------+0004
| NOP                 |
+-------------------+0005
| NOP                 |
+-------------------+0006
| mov a 10          |
+-------------------+000a
| mov b 7            |
+-------------------+000e

• 0006からが実行可能機械語命令
• ふつうはプログラムカウンタに0006を正確に入れないと実行できない
• しかし、NOPは次の命令を実行するだけの命令なので。。。
• プログラムカウンタに0002が入っていても、0006まで何もせずにプログラムカウンタを加算する
• ソリのように実行可能機械語まで処理がすべっていく

RETの連発

• 前回はSEIPの場所を正確に割り出して、そこを書き換えるようにBOFを発生させた
• SEIPの場所が正確には分からない時どうするか
• →RETをかなり多めにとっておいて、SEIPの場所を上書きするようにする

+-------------------+0001     +-------------------+
|                   |         |                   |
+-------------------+0002     +-------------------+
|                   |         |                   |
+-------------------+0003     +-------------------+←-+
| var2              |         |  payload          |   |
+-------------------+0004     +-------------------+   |
| var1              |         |  RET              |---+
+-------------------+0005 →  +-------------------+   |
| SEIP              |         |  RET              |---+
+-------------------+0006     +-------------------+   |
| argc              |         |  RET              |---+
+-------------------+000a     +-------------------+   |
| argv              |         |  RET              |---+
+-------------------+000e     +-------------------+   |
| ????              |         |  RET              |---+
+-------------------+000f     +-------------------+

• 上図の例ではRETはすべて0003
• 0003にはペイロードが入ってる
• SEIPは0005にあるが、この例では000eまでRETで上書きしてる
• SEIPの場所が000eでもRETで上書きできる
• SEIPよりも下のメモリ番地を書き換えると、argcとかargvは変な値になる
• しかし、普通はペイロードを呼び出す時は元のプログラムを続行させる必要はない

柔軟性

上記二つのテクニックを合わせると、かなりの柔軟性が生まれる

fig.8-1:柔軟性を持たせた例

実際の挿入ベクター生成プログラム

第一回で紹介した挿入ベクター生成プログラムは、NOPスレッドとRETの連発テクニックを駆使している

• 600バイトの領域を確保
• 先頭の200バイトをNOPスレッドにする
• 200バイト目からペイロードを配置
• 残り部分はNOPスレッドのどこかのアドレスで埋める

0           200         300
+-----------+-----------+-----------------------+
| NOP       |  payload  | RET RET RET ....      |
+-----------+-----------+-----------------------+

例題

例題 8.1

/home/SAS_Workspace/ex8_bof.exeプログラムのBOF脆弱性を利用して権限奪取してください。ソースコードは公開されていないプログラムですが、BOFに関する脆弱性が存在することがわかっているものとします。挿入ベクター生成プログラムには次のものを改変して使用することをオススメします。

挿入ベクター生成プログラム

#include <stdlib.h>

char shellcode[]=
"ペイロード";

unsigned long sp (void){
        __asm__("movl %esp, %eax");
}

int main (int argc, char *argv[]){
        int i, offset;
        long esp, ret, *addr_ptr;
        char *buffer, *ptr;

        offset = 0;
        esp = sp();
        ret = esp - offset;

        buffer = malloc(600);

        ptr = buffer;
        addr_ptr = (long *)ptr;
        for (i=0; i<600; i += 4)
                *(addr_ptr++) = ret;

        for (i=0; i<200; i++)
                buffer[i] = '\x90';

        ptr = buffer + 200;
        for (i=0; i<strlen(shellcode); i++)
                *(ptr++) = shellcode[i];

        buffer[600 - 1] = 0;

        execl("./bo-test.exe", "bo-test.exe", buffer, 0);

        free(buffer);
        return 0;
}

次回の予定

• 小さなバッファへの攻撃
• 環境変数へのデータの格納
• アドレスの計算
• 実証