miércoles, 22 de enero de 2014

Buffer overflow a fondo (I)

La wikipedia define el desbordamiento de buffer (buffer overflow) como:

...un error de software que se produce cuando un programa no controla adecuadamente la cantidad de datos que se copian sobre un área de memoria reservada a tal efecto (buffer): Si dicha cantidad es superior a la capacidad preasignada, los bytes sobrantes se almacenan en zonas de memoria adyacentes, sobrescribiendo su contenido original. Esto constituye un fallo de programación.
Ejemplo:

















0
0
0
0
0
0
0
0
0
3




Buffer ABuffer B





A continuación, el programa intenta almacenar la cadena de caracteres "demasiado" en el buffer A, seguido de bytes nulos para marcar el fin de string. Al no validarse la longitud de la cadena, se sobrescribe el valor de B:








'd'
'e'
'm'
'a'
's'
'i'
'a'
'd'
'o'
0




Buffer A
Buffer B






El buffer overflow tiene como como consecuencias más previsibles una 
salida de datos incorrecta o bien una terminación anormal del programa.



Un ataque básico a un servicio que tuviera esta debilidad podría llevar a una denegación de servicio. Pero en determinadas circunstancias esta vulnerabilidad puede llegar a permitir que el atacante tome control de la máquina.





El registro EIP

Es uno de los registros apuntadores y contiene la dirección de la siguiente instrucción a ejecutar, es decir la la dirección de esta instrucción.  



Este registro según se van ejecutando las instrucciones va a aumentando en un múmero igual a la longitud de la instrucción ejecutada.



A diferencia de los registros generales el EIP no se puede modificar de forma directa aunque es posible modificar su valor de forma indirecta  mediante las instruciones JMP (y todas sus variantes: JE, JNZ, .....) y la instrucción RET.



A continuación veremos como a partir de un desbordamiento de buffer es posible llegar a controlar el EIP para dirigirlo hacia donde queramos





Creando el entorno necesario. 

Vamos a trabajar desde un entorno muy minimalista de forma que se pueda realizar sin necesidad de tener que recurrir a una distribución especializadas en pentesting como Backtrack o Kali y sin ni siquiera tener que instalar programas en nuestro equipo Windows.



Los programas que voy a enumerar a continuación son todos ejecutados desde un pendrive sin necesidad de instalación.




    

  • El depurador Ollydbg
    • 

  • Un editor de texto avanzado como notepad++ del que existe una edición portable
    • 

  • Un interprete de Python portable. Aunque puede ser válido cualquier otro intérprete aunque no se podrá aprovechar los scripts que acompañan a este post
    • 




Ahora necesitaremos un programa tenga esta vulnerabilidad. Vamos a usar la vunerabilidad CVE-2004-2271 que evidentemente no es una 0 Zero Day pero tiene la ventaja de que el programa afectado por esta vulnerabilidad tampoco necesita instalarse y es utilizado en muchas webs para explicar el buffer overflow.



Podéis descargar el programa de desde este enlace. Este programa es un servidor web mínimo, en su configuración por defecto usa el puerto 80. Si no podemos usar ese puerto podemos cambiarlo en el cuadro de diálogo del programa al que se accede haciendo click con el botón derecho del ratón cuando tenemos el cursor situado dentro de la ventana del programa. 



Además necesitaremos dos scripts escritos en python.




    

  • exployt2.py Nos servirá para ir avanzando en la creación del exploit.
    • 

  • creapatern.py que nos creara la plantilla que usaremos para localizar el offset dentro del buffer. 
    • 


  





Manos a la obra.



Arrancamos Ollydbg, abrimos el fichero de minishare y damos a run. El programa abrirá  una ventana y podremos observar en una ventana de DOS que tenemos el puerto 80 abierto (o el que hayamos definido).

Editamos el script exployt2.py y descomentamos la sentencia que carga el buffer de GET con una petición normal.

































Todo va OK, ahora dejamos descomentada la  carga de buffer con la cadena que va a generar el desbordamiento (tiene una longitud 2220 octetos y todos con la letra  "A"

Nuestro programa finalizará anormalmente y si nos fijamos en el EIP veremos que tiene 0x41414141 que corresponde a cuatro carácteres A. (A veces hemos de repetir el intento varias veces hasta que ocurra el error)

Tambien podremos ver que la pila continua con la cadena que hemos mandado al servidor.











Lo que no tenemos, todavía es posibilidad, saber el desplazamiento dentro del buffer de los caracteres que se cargan en el EIP.

Si mandamos un string secuenciado podremos disitinguir que caracteres van al EIP.

Descomentamos la tercera parte de la construcción del buffer y volvemos a ejecutar el script contra el programa minishare que previamente hemos vuelto a rearrancar y ejecutar bajo Ollydbg.











El programa se vuelve a parar y vemos como el ESP apunta a la cadena Ch7Ch8..... y el EIP tiene el valor  0x36685335 que se corresponde en ASCII a 6hC5 (no olvidar que el procesador usa Little Endian).



Sólo nos queda localizar el desplazamiento de esos caracteres en el buffer. Usamos el editor avanzado notepad++ que nos dice el desplazamiento del caracter en el que se tiene el cursor

No sale 1791 (columna 1792 que es un desplazamiento 1791) y EIP 1787 













Solo nos queda verificarlo.

Usamos nuevamente el script exploit2.py  y descomentamos la construcción del último buffer. Rearracamos minishare y volvemos a ejecutar.

Como no nos hemos confundido los valores cuadran.











Solo tenemos que hacer ahora dos cosas:




    

  • Localizar un valor que colocar para que se cargue en el EIP
    • 

  • Sustituir la parte posterior de buffer por el código ejecutable de la shell.
    • 








Eso lo veremos en las siguientes entrega





















Publicado por























Etiquetas:
,
,
,
,


















No hay comentarios:















Publicar un comentario


















        

      









Suscribirse a:
Enviar comentarios (Atom)