Поместив в исходный текст программы потенциально уязвимую форматирующую строку, продемонстрируем способы ее использования злоумышленником при помощи входных данных программы и изучим реакцию сервера на них.

В большинстве случаев можно создать такие условия работы программы, когда о наличии в программе уязвимости форматирующей строки можно будет судить по ее поведению. Если уязвимая программа выводит отформатированную строку, то наличие в ней уязвимости форматирующей строки очевидно. При отсутствии вывода о присутствии в программе уязвимости форматирующей строки можно судить по реакции программы на различные спецификации форматов.

Если при вводе входных данных со спецификациями преобразования %п%п процесс аварийно завершается, то, вероятнее всего, это происходит из-за нарушения доступа к памяти при попытке записи по неверным адресам памяти, прочитанным из стека. Передав программе, в которой не предусмотрен вывод отформатированной строки, через ее входные данные спецификации форматов %п%п, можно определить, уязвима она или нет. Если процесс аварийно завершается, не возвращает управления или неожиданно завершается, то вполне вероятно, что причиной этого является уязвимость форматирующей строки.

В рассматриваемом примере сервер возвращает клиенту сообщение об ошибке в виде отформатированной строки. Это облегчает действия злоумышленника, который ищет способ проникнуть на хост. В следующем примере приведен образец вызова программы rwhoisd, которая демонстрирует ошибку в форматирующей строке:

[dma@victim server]$ nc localhost 4321 %rwhois V-1.5:003fff:00 victim (by Network Solutions, Inc.
V-l.5.7.1)
-soa am_%i_vulnerable
%error 340 Invalid Authority Area: am_-1073743563_vulnerable

В этом примере причиной вывода сервером отрицательного целого числа -1073743563 является то, что в передаваемой сервису строке содержится спецификация формата %i, на место которой в отформатированную строку записывается содержимое области памяти из стека в формате целого числа со знаком. Функция printfQ выводит отрицательное число после обработки содержимого области стека длиной 4 байта, в котором, как она предполагает, хранится целое число со знаком. Тем самым подтверждается наличие уязвимости форматирующей строки в программе rwhoisd. Уязвимость форматирующей строки можно определить, анализируя исходный текст программы и ее поведение. После этого можно решить, как употребить найденную уязвимость. Уязвимостью форматирующей строки может воспользоваться удаленный сетевой клиент. Для этого аутентификация клиента не нужна, и вполне возможно, что этим сможет воспользоваться злоумышленник, чтобы получить доступ к главному хосту.

В аналогичных случаях, когда программа выводит отформатированную строку, злоумышленник может прочитать содержимое стека памяти и успешно воспользоваться его содержимым. Слова памяти могут быть прочитаны следующим способом:

[dma@victim server]$ nc localhost 4321 %rwhois V-1.5:003fff:00 victim (by Network Solutions, Inc.
V-l.5.7.1)
-soa %010p
%error 340 Invalid Authority Area: 0xbffff935 -soa %010p%010p
%error 340 Invalid Authority Area: 0xbffff9350x0807fa80 -soa %010p%010p%010p %error 340 Invalid Authority Area:
0xbffff9350x0807fa800x00000001 -soa %010p%010p%010p%010p %error 340 Invalid Authority Area:
0xbffff9350x0807fa800x000000010x08081 cd8

В этом примере клиент восстановил одно, два, три и четыре слова из стека. Программа отформатировала слова таким образом, чтобы их можно было использовать для дальнейшей автоматической обработки. Хорошо написанная программа атаки может воспользоваться приведенной в примере отформатированной строкой для восстановления структуры стека процесса, выполняющегося на сервере. Программа атаки может читать данные из стека до тех пор, пока не найдет в стеке место хранения форматирующей строки, а затем автоматически вычислить в ней нужную программе позицию спецификации преобразования %п. Посмотрите на следующий пример:

%rwhois V-1.5:003fff:00 victim (by Network Solutions, Inc. V-l.5.7.1)
-soa %010p%010p%010p%010p%010p%010p%010p%010p%010p%010p%010p %010p%010p%010p%010p%010p%010p%010p%010p%010p%010p%010p%010p%
OlOp

% 010 p % с % с % с % с % с

%error 340 Invalid Authority Area: 0xbffff9350x0807fa800x000 000010x0807fc300xbffff8f40x0804f21 e0xbffff93 5 0xbffff93 5 Oxbff ff9 0 cO x0804a6 a3 0 x b ffff93 5 (n i 1) 0 x b ffff93 00x b ffffb640x b ffff9 2 0 0x0804ecal0xbffff9300xbffff9300x000000040xbffffb300x0804ef4e 0xbffff9300x000000050x616f732d0x31302500 010%p

В рассмотренном примере клиент использует функцию printfQ для поиска нужных ему переменных в той части стека, где хранится форматирующая строка. С символов 010%р (они выделены жирным шрифтом) начинается строка клиента, которая содержит обрабатываемые спецификации преобразования. Если бы злоумышленник вставил в начало найденной форматирующей строки клиента адрес и воспользовался спецификацией преобразования %п вместо %с, то адрес в форматирующей строке был переписан.

Инструментарий и ловушки

Больше стека меньшей форматирующей строкой

Способ чтения большего количества данных из стека при помощи меньшей форматирующей строки приметается тогда, когда при чтении переменных с помощью функции printfQ не удается отыскать форматирующую строку. Это может произойти по многим причинам, одна из которых состоит в отбрасывании части форматирующей строки. Если во время выполнения программы часть форматирующей строки отбрасывается так, чтобы длина оставшейся части не превышала максимально допустимой длины перед передачей ее функции printfQ, то число обрабатываемых спецификаторов формата будет ограничено. Есть несколько способов преодолеть это ограничение при написании программы атаки.

Идея заключается в том, чтобы с помощью функции printfQ по указанным адресам прочитать больше данных, передав функции сравнительно небольшую форматирующую строку. Для этого существует несколько способов.

• Использование типов данных, требующих для своего размещения области памяти большего размера. Первое, что приходит на ум, - это использовать спецификации формата, которые для представления обрабатываемых данных используют поля большего размера. Другими словами, эти спецификации соответствуют более длинным данным. Одной из них является спецификация формата %lli, которая соответствует сверхдлинному целому числу (типу данных long long integer). В случае ее использования на 32-разрядной архитектуре Intel функция printfQ будет читать из стека очередные 8 байт при обработке каждой спецификации формата %lli форматирующей строки. Точно так же можно использовать спецификацию вывода длинного числа с плавающей точкой (long float) или длинных чисел с плавающей точкой двойной точности (double long float). Но следует иметь в виду, что при использовании этих спецификаций преобразования неверные данные стека могут привести к аварийному завершению программы из-за ошибок операций с плавающей точкой.

• Использование длины выводимого аргумента. Некоторые версии библиотеки libc поддерживают в спецификации формата символ *. Символ * сообщает функции printfQ, что ширина поля вывода, соответствующего этой спецификации формата, задается параметром функции printf(), который при вызове функции был записан в стек. Использование символов

* приводит к тому, что для каждого из них в стеке будет дополнительно выделено 4 байта. Ширина поля вывода, записанная в стек, может быть отменена, если за символами * указать число. Например, использование спецификации преобразования %*******lOi приведет к тому, что для представления целого числа будет использовано 10 символов. Но при обработке спецификации преобразования %*******lOi функцияprintfQ все равно прочтет из стека 32 байта. Считается, что первым этот способ применил автор, известный под псевдонимом lorian.

• Непосредственный доступ к параметрам. В ряде случаев возможен непосредственный доступ к параметрам функции printfQ. Для этого применяется спецификация преобразования вида %$хп, где х - порядковый номер параметра при вызове функции printfQ.

Этот способ применим только в библиотеках языка С, которые поддерживают непосредственный доступ к параметрам.

Если перечисленные уловки не помогли злоумышленнику добраться до нужного ему адреса, то он может попытаться найти любую другую доступную область стека, куда могли быть помещены нужные адреса памяти. Помните, что совсем необязательно нужные адреса связаны с форматирующей строкой. Иногда бывает удобным разместить их в соседнюю со стеком область данных. Для злоумышленника могут оказаться полезными входные данные программы, не связанные с форматирующей строкой. Уязвимость утилиты Screen проявилась в том, что в большинстве случаев злоумышленник мог получить доступ к данным, определенным переменной окружения НОМЕ. Эти данные располагались ближе других к стеку, поэтому их легче было найти и воспользоваться ими.

Примеры важных уязвимостей форматирующей строки | Защита от хакеров корпоративных сетей | Программа атаки с использованием форматирующей строки


Защита от хакеров корпоративных сетей



Новости за месяц

  • Июнь
    2019
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс