Jak się w końcu zabrać za tego assemblera? Czyli MIPS w kontekście bezpieczeństwa – lekcja 4.

Ostatnie zadanie było trochę inne niż wszystkie – więcej działania oprócz samej analizy. Musiałeś pogonić aplikację, aby ta uruchomiła pewną funkcję, chociaż nie miała tego w planach. Dałeś radę?

Mam szczerą nadzieję, że nie szukałeś rozwiązania w Internecie, a w swojej głowie, oczywiście z pomocą gdb. Jeśli nie dałeś rady, ale bardzo chcesz się jeszcze pomęczyć, to – goto #3 lekcja i atakuj. Jeśli jednak doszedłeś do rozwiązania, to będę bardzo wdzięczny za komentarz, jak sobie z tym poradziłeś ;>

Kawa, terminal i jedziemy.

Rozpoznanie

Uruchom program z parametrem: „/usr/bin/qemu-mipsel-static hw $(printf „A%.0s” {1..200})”. Przy uruchomieniu podaliśmy jako parametr programu 200 znaków „A”. Program zadziałał prawidłowo, lecz nie o to nam chodziło.

Spróbujmy jeszcze raz. Uruchom program zwiększając teraz wartość parametru o 4 znaki: „/usr/bin/qemu-mipsel-static hw $(printf „A%.0s” {1..204})”.

Mamy coś. Powyższy błąd mówi nam o tym, że program chciał dobić się do pamięci nieprzeznaczonej konkretnie dla niego. Ciekawe…

Zaraz zbadamy to za pomocą gdb, tymczasem zobacz jeszcze raz na kod Twojego programu: 

char buf[200] ="\0";
strcpy(buf, argv[1]);

Program ma zadeklarowaną 200-elementową tablicę znaków, do której przy uruchomieniu kopiowana jest wartość naszego parametru. Wszystko przebiega prawidłowo, kiedy tego limitu nie przekraczamy.

Funkcja „strcpy(to, from)” kopiuje znaki z jednej tablicy (from) do drugiej (to). W momencie kiedy tablica „from” (w naszym przypadku jest to parametr programu) zawiera więcej znaków niż tablica „to”, dochodzi do tzw. przepełnienia bufora („buffer overflow”), co umożliwia atakującemu przejęcie kontroli nad działaniem programu.

Dzieje się tak za sprawą funkcji „strcpy()”, która nie ma wbudowanej kontroli limitu kopiowanych znaków, chociaż funkcja sama w sobie nie jest winna – implementacja w projektowanym sofcie takich czy innych funkcji, bibliotek itp., a także walidacja danych zawsze leży po stronie programisty. W każdym razie trzeba to zbadać gdb i zaraz zobaczymy, co będziemy mogli z tego wystrugać. 

Zanim rozpoczniemy naszą analizę, musisz wiedzieć, że oprócz funkcji „strcpy()” istnieje także funkcja „strncpy()”, której trzecim parametrem jest liczba – limit kopiowanych znaków z tablicy „from” do tablicy „to”. Trzeba jednak uważać tutaj na pewną rzecz: jeśli liczba ta będzie większa od liczby znaków w tablicy „to”, to i w takim przypadku może dojść do przepełnienia bufora. PS. Pamiętaj też, że rozmiar tablic liczy się od indeksu 0 ;)

Jedziemy:

Twój program powinien w tym momencie dostać strzała:

I tak ma być. Przeanalizujmy razem sobie tę sytuację. Na samym początku zwróć uwagę na początek funkcji „main” („disassemble main”):

Powinieneś już rozpoznać (po przerobieniu poprzedniej lekcji oczywiście ;)) prolog programu, w którym program zaalokował sobie na stosie miejsce na wartości poprzednich rejestrów oraz zmienne lokalne, w tym również na naszą 200-elementową tablicę. 

Ogólnie wygląda to tak:

Stos funkcji „main”

Dobra. Wróć do drugiego terminala (z gdb) i zobacz, co się stało z wartościami na stosie:

Nadpisany stos

Ciąg znaków parametru programu był na tyle długi, że nie zmieścił się w przydzielonej mu pamięci i skutkiem tego wartości rejestrów odłożone na stos także zostały nadpisane.

W tym również wartość rejestru $ra ;> 

Rejestr adresu powrotu $ra wskazuje na adres 0x44444444 (ciąg „DDDD” w naszym parametrze) – program zgłupiał, bo nie ma dostępu do pamięci pod tym adresem. Zanim przejdziesz dalej, zastanów się przez moment, jaką możliwość daje Ci nadpisanie rejestru $ra ;)

Atak

Chwila chwila… a gdzie jest nasza funkcja „flag()”, którą masz finalnie uruchomić? Jako że zbliżamy się do końca tej lekcji, warto byłoby się nią w końcu zainteresować ;>

Jak masz jeszcze odpalony terminal z gdb, to zobaczmy sobie funkcję „flag()”:

Żyje. W tym momencie mamy już wszystkie informacje, które są potrzebne do skonstruowania odpowiedniego parametru uruchamiającego funkcję „flag()”. Jak pamiętasz z powyższego rozdziału, rejestr $ra został nadpisany wartością 0x44444444, która po zamianie na string będzie miała postać „DDDD”; są to też cztery ostatnie znaki parametru, jaki przekazaliśmy podczas testowania programu.

Cały trik polega na tym, aby rejestr $ra został nadpisany adresem funkcji „flag()” po to, aby program miał tam skoczyć po wykonaniu funkcji „main()” (epilog).

Mam nadzieję, że dotarłeś do końca i zrobiłeś ;> 

Mam nadzieję, że zadanie nie sprawiło Ci wielu problemów ;>

Czeka nas jeszcze ostatnia lekcja z MIPSa: nowe środowisko, no i więcej security.

Kombinuj i nie poddawaj się ;>

–Mateusz Wójcik, grupa Squadron31