Техника сетевых атак
Шрифт:
·.data:0040604F align 4
·.data:00406050 aGuest db 'guest',0; DATA XREF: auth+38o
·.data:00406056 align 4
·.data:00406058 aBufferOverflow db 'Buffer Overflows Demo',0Ah,0; DATA XREF: main+3o
·.data:0040606F align 4
·.data:00406070 aPasswordOk db 'Password ok',0Ah,0; DATA XREF: main+19o
·.data:0040607D align 4
·.data:00406080 aInvalidPasswor db 'Invalid password',0Ah,0; DATA XREF: main+28o
·
Анализ кода позволил установить, что искомая функция располагается по адресу, равному 0x401000, а шестнадцатый символ имени пользователя затирает завершающим строку нулем младший байт адреса возврата.
Для передачи управления на функцию root необходимо подменить адрес возврата на ее адрес. Поскольку, адрес возврата, уже содержащийся в стеке, равен 0х401081, а адрес функции root равен 0x401000, для достижения поставленной цели достаточно всего лишь обнулить младший байт. Если ввести строку длиной 16 символов (не важно каких), завершающий ее нуль придется как раз на младший байт сохраненного в стеке регистра EIP и инструкция retn передаст управление на функцию root.
· - 0x0С user[0] 01 X
· - 0x0B user[1] 02 X
· - 0x0A user[2] 03 X
· - 0x09 user[3] 04 X
· - 0x08 user[4] 05 X
· - 0x07 user[5] 06 X
· - 0x06 user[6] 07 X
· - 0x05 user[7] 08 X
· - 0x04 user[8] 09 X
· - 0x03 user[9] 10 X
· - 0x02 дырка 11 X
· - 0x01 дырка 12 X
· 0x00 ebp[0] 13 X
· + 0x01 ebp[1] 14 X
· + 0x02 ebp[2] 15 X
· + 0x03 ebp[3] 16 X
· + 0x04 eip[0] 81 17 0
· + 0x05 eip[1] 10 18
· + 0x06 eip[2] 40 19
· + 0x07 eip[3] 00 20
Если на запрос имени пользователя ввести, например, такую строку, то на экран выдастся приветствие “Hello, Root!”, подтверждающие факт передачи управления функции root, что не было предусмотрено разработчиком.
Однако сразу же после завершения функции root, программа грохается, и операционная система выдает сообщение об исключительной ситуации, предлагая завершить работу приложения (смотри рисунок 073). (Реакция операционной системы зависти от самой операционной системы, данный скриршет иллюстрирует поведение Windows 2000)
Рисунок 073 Реакция операционной системы на подмену адреса возврата адресом функции Root
Исключение происходит из-за нарушения балансировки стека, - ведь перед передачей управления функции Root, в стек не был занесен адрес возврата! Но команда retn, в строке 0x401011, “не зная” этого, снимает со стека первое попавшееся ей «под руку» двойное слово и передает на него управление.
Если нажать клавишу «отмена», операционная система запустит отладчик (конечно, при условии, что он установлен в системе). Стек, просмотренный с его помощью, должен выглядеть следующим образом (область стека, принадлежащая функции start не показана, поскольку в данном случае не представляет никакого интереса):
· 0012FF74 7 8787878 ? буфер имени пользователя
· 0012FF78 78787878 ? было: регистр EBP, сохраненный функцией Auth; стало буфер имени пользователя
· 0012FF7C 00401000 ? было: адрес возврата из функции auth, стало: адрес функции root
· 0012FF80 0012FFC0 ? значение регистра EBP, сохраненное функцией main
· 0012FF84 00401262 ? адрес возврата из функции main
Ниже всех в стеке находится адрес возврата из процедуры “main” (0x401262), за ним следует значение регистра EBP (0x12FFC0), сохраненное в функции main командной PUSH EBP в строке 0х40106C, затем идет модифицированный адрес возврата их функции “Auth” (0x401000), а выше расположен буфер, содержащий имя пользователя.
При выходе из функции Auth команда retn снимает двойное слово из стека (равное теперь 0x401000) и передает на него управление. Но при выходе из функции root команда retn извлекает двойное слово, равное 0x12FFC0, и передает на него управление. По этому адресу находятся случайные данные, поэтому поведение программы становится непредсказуемым.
Однако это не уменьшает значимости того факта, что функция Root получила управление (чего не могло произойти при нормальном ходе вещей) и была успешно выполнена. Аварийное завершение приложения - побочный эффект такой операции. Он приводит к блокировке ресурса, демаскирует атакующего и позволяет администратору системы установить, что же с ней произошло, поэтому такой подход в некоторых случаях неприемлем.
Кроме того, вовсе не факт, что в атакуемом коде всегда будет присутствовать функция, удовлетворяющая потребности злоумышленника. Но существует возможность передать управление на свой код! Для этого достаточно скорректировать адрес возврата таким образом, чтобы он указывал на начало [310] буфера, содержащего введенную пользователем строку. Тогда эта строка станет интерпретироваться как машинный код и выполнится прямо в стеке (не все микропроцессоры и не все операционные допускают выполнение кода в стеке, но в подавляющем большинстве случаев такой трюк возможен).
Для того чтобы передать управление на начало буфера необходимо знать его адрес. Дизассемблирование в этом вряд ли поможет, поскольку не дает представления о значении регистра ESP в момент вызова программы, поэтому необходимо воспользоваться отладчиком. Для платформы Windows хорошо себя зарекомендовал Soft-Ice от NuMega, но для экспериментов, описываемых в книге, вполне подойдет и отладчик, интегрированный в Microsoft Visual Studio.
Установив точку останова в строке 0x0401028, необходимо запустить программу на выполнение и, дождавшись «всплытия» отладчика, и посмотреть на значение регистра EAX. Предыдущая команда только что занесла в него адрес буфера, предназначенного для ввода имени пользователя. Под Windows 2000 он равен 0x12FF6C, но под Windows 98 - 0x63FDE4. Это происходит по той причине, что нижняя граница стека в различных операционных системах разная. Поэтому, программные реализации атак подобного типа очень чувствительны к используемой платформе.