Bezpieczne systemy operacyjne - SELinux

Michał Wieczorek

Przepełnienie bufora

Atak wykorzystuje tablice, przy zapisie do których nie jest sprawdzany zakres. Pisząc poza ich zakresem można zamazać inne zmienne lub rekord aktywacji procedury. Aby zrozumieć jak dokładnie działa atak, trzeba się przyjrzeć organizacji pamięci podczas wywoływania procedur.

Organizacja stosu

Stos służy do przechowywania argumentów, zmiennych lokalnych oraz rekordu aktywacji procedury.

W architekturze intela stos rośnie w dół (gdy odkładamy nań jakiś element wartość rejestru SP zmniejsza się). Adresy kolejnych komórek tablic rosną w przeciwną stronę.
Wywołanie procedury zazwyczaj polega na:

Odłożeniu argumentów procedury na stos
Odłożeniu adresu powrotu na stos
Odłożeniu starych informacji stosu na stos<./li>
Wykonaniu skoku do kodu procedury
Zarezerwowaniu miejsca na zmienne lokalne (na stosie, a gdzieżby indziej)
Wykonaniu procedury (tu następuje przepełnianie bufora)
Odczytaniu wcześniej zapisanego adresu powrotu i skoku do niego

Atak

Sam atak polega na podaniu ciągu danych, na tyle długiego, aby nadpisał adres powrotu, oraz na ustaleniu wartości jaka powinna się w nim znaleźć.

Jako, że stosy procesów mają zwykle ten sam adres wirtualny przy każdym wywołaniu programu (no prawie patrz PaX) atakujący można podać we wprowadzonym buforze kawałek skompilowanego kodu, i podmienić adres powrotu na wskaźnik do niego. Przy tworzeniu kodu będzie pamiętał o kilku rzeczach:

Łatwo jest policzyć ile potrzeba znaków, aby nadpisać adres powrotu, trudniej określić adres wprowadzonego kodu. Przeprowadzane jest to zwykle za pomocą prób i błędów. Atakujący może jednak zwiększyć prawdopodobieństwo trafienia we wprowadzony kod dodając do niego odpowiednio wiele pustych instrukcji (nop).
Podobnie trudno jest ustalić położenie własnych zmiennych i poleceń we wprowadzanym kodzie (atakujący prawdopodobnie będzie chciał gdzieś w pamięci umieścić napis "/bin/bash"). Łatwo jednak umieścić wartości na stosie, dodać rozmiary zmiennych do SP bądź korzystać ze skoków pośrednich (instrukcji przesuwających IP o ileś pozycji w przód lub w tył).
Programista w jakiś sposób próbuje wykryć koniec wprowadzanych danych (i nie jest tym sposobem mierzenie ich długości) prawdopodobnie program czyta wszystko aż do znaku '\n' albo '\0'. Atakujący nie będzie umieszczał więc tych znaków w środku własnego kodu.

Może też podmienić go na adres jakiejś zewnętrznej funkcji (np.: execve) i umieścić na stosie argumenty dla niej

Przykład

Katalog z przykładem

get_sp.c program wypisujący koniec swojego stosu (cały czas ten sam).
leaky.c program z niezabezpieczonym buforem (czyta ze standardowego wejscia, do napotkania znaku '\n')
naughty.c program wypisujący skompilowany kod do uruchomienia powłoki, przyjmuje 2 argumenty (długość danych do przepełnienia bufora oraz adres którym podmieni adres powrotu)
eexcp.c zawiera kod assemblerowy kod do otworzenia powłoki

Programy korzystają ze standardowego wejścia, żeby działał jeden z drugim można stworzyć łącze fifo i przekierować do niego odpowiednie ich deskryptory. Długość danych do przepełnienia bufora można sprawdzić wpisując coraz dłuższy tekst na wejście leaky (wystarczająca długość zaprezentyje sie przy pomocy Segmentation fault). Adres skoku trudniej zgadnąć, proponuje zabaczyć gdzie kończy się stos dla funkcji main (prgram get_sp) i podawać powrotu coraz mniejszy (stos jak pamiętamy rośnie "w dół").

Niebezpieczne konstrukcje

Najprostszym sposobem, na znalezienie miejsc podatnych na atak jest grepowanie kodu. Atakujący poszukują wywołań funkcji:

strcat(), strcpy(), sprintf(), vsprintf()

Nie sprawdzają one zakresów tablic do których piszą.

gets()

Czyta całą linię ze standardowego wejścia.

scanf(), fscanf()

Formatowanie %s oznacza wczytanie ciągu nie pustych znaków.

getc(), fgetc(), getchar()