Exploitace zranitelností. Obsah

Transkript

1 Obsah 1 Úvod Lockdown a hackerlab Vaše ochrana Exploit Typy exploitů Zranitelnost FTP serveru Cesar Fuzzer ftp-fuzzer.py Spuštění fuzzeru Immunity Debugger Otevření a připojení programu Kódový segment Registry Paměť programu Užitečné příkazy a zkratky Bod přerušení (Brakepoint) Analýza působení fuzzeru Skript pro debugování Reprezentace znaků v paměti (ASCII tabulka) Kostra exploitu (Skeleton exploit) Zásobník (Stack) Organizace zásobníku v paměti Zarovnání zásobníku Práce se zásobníkem Instrukce pop a push Instrukce call a návratová adresa Instrukce ret Prolog funkce a zásobníkový rámec Epilog funkce Přívěšek (Payload) Jak na shellcode Nástrahy a omezení přívěšků Kódování Špatné znaky Odhalujeme špatné znaky Zbylé místo pro přívěšek Skok na přívěšek...27 Petr Juhaňák, lockdown Všechna práva vyhrazena, určeno pouze pro osobní potřebu. 2

2 7 Generujeme shellcode Metasploit framework Nejmenší shellcode Integrace shellkódu do skriptu Zranitelná funkce (Buffer overflow) Program v jazyce C Překlad programu (Dev-C++) Spuštění programu Trasování v debugeru Závěr Příloha A rozložení paměti procesu...38 Petr Juhaňák, lockdown Všechna práva vyhrazena, určeno pouze pro osobní potřebu. 3

3 1 Úvod Vítejte v hackerlabu. Tento výukový materiál slouží studentům jako pracovní sešit, který využijete během kurzu jako referenční příručku. 1.1 Lockdown a hackerlab Na trhu působíme od roku 2013 se zaměřením na penetrační testování a bezpečnost dat. Dále provozujeme školící a konzultační činnost. Více informací naleznete na našem webu Pro školící aktivity máme projekt hackerlab. Přehled aktuálních hacking kurzů naleznete na stránkách Vaše ochrana Získané znalosti z kurzu etického hackingu můžete aplikovat jen na systémech, které přímo vlastníte (případně s písemným souhlasem jejich vlastníka). V opačném případě Vás i dobrý úmysl může přivést do nepříjemné situace. Úmyslné překonání i velmi triviální obrany může být posuzováno za trestný čin. Každá interakce na síti také zanechává v systému nějakou stopu. Petr Juhaňák, lockdown Všechna práva vyhrazena, určeno pouze pro osobní potřebu. 4

4 2 Exploit Exploit je krátký program, který využívá specifickou zranitelnost jiného programu, aby získal kontrolu nad programem nebo práva uživatele, pod kterým byl program spuštěn. Zranitelnosti se objevují analýzou zdrojového kódu (zdrojový kód je k dispozici) reverzujeme binární kód a analyzujeme instrukce testování vstupů aplikace (fuzzing) 2.1 Typy exploitů Exploity dělíme z hlediska použití na vzdálené (remote) exploitujeme vzdáleně po síti (nebo přes lokální IP adresu), lokální (local) exploitujeme přímo na stroji (vyžaduje OS účet), zpravidla se jedná o exploity, které eskalují práva na systémového administrátora. 3 Zranitelnost FTP serveru Cesar Pokusíme se exploitovat zranitelnost CVE FTP serveru Cesar ve verzi Zranitelnost přetečení zásobníku (buffer overflow) se nachází ve FTP příkazu MKD Fuzzer ftp-fuzzer.py Fuzzer je nástroj pro fuzzy testování, kdy posíláme na vstupu programu záměrně špatná nebo částečně správná data. Napíšeme si svůj první fuzzer v jazyce Python a otestujeme, zda je skutečně FTP server zranitelný. Petr Juhaňák, lockdown Všechna práva vyhrazena, určeno pouze pro osobní potřebu. 5

5 8.1.3 Trasování v debugeru Prohlédneme si stav zásobníku v Immunity Debugeru. Otevřeme program buff.exe a v poli arguments zadáme parametr AAAA. Podle informačních tisků v našem programu nalezneme funkci main() a naší zranitelnou funkci tiskni_zpravu(). Nyní vytvoříme bod přerušení klávesou (F2) ve funkci tiskni_zpravu a to na adrese, kde se nachází volání funkce strcpy(). V našem případě je to adresa 0x004012F9. Petr Juhaňák, lockdown Všechna práva vyhrazena, určeno pouze pro osobní potřebu. 36

6 Spustíme program klávesou (F9), který se znovu zastaví na bodu přerušení, poznamenáme si stav zásobníku před voláním funkce strcpy (obrázek vlevo), provedeme volání funkce klávesou (F8) a srovnáme znovu zásobník (obrázek vpravo). Vidíme, že část paměti zásobníku byla přepsána znaky 'A' (41 hex) a to od adresy 0x0022FF54 až do adresy 0x0022FF8C. Podíváme se nyní na stav registrů, registr EBP ukazuje na adresu 0x0022FF58, která je také přepsána znaky 'A'. Z předešlého výkladu o struktuře zásobníku víme, že na adrese EBP+4 (0x0022FF5C) bude program očekávat návratovou adresu, kterou nahraje do registru EIP po ukončení volání funkce pomocí instrukce RET. K čemuž také dojde, pokud budeme pokračovat v programu stiskem klávesy F9. Petr Juhaňák, lockdown Všechna práva vyhrazena, určeno pouze pro osobní potřebu. 37

7 9 Závěr Seznámili jsme se s Immunity Debugerem a se základy exploitace zranitelnosti typu přetečení zásobníku na platformě Windows (bez překonání pokročilých ochran). Pokud jste objevili další otázky nebo souvislosti, nezapomeňte se o ně podělit a navštivte naše diskusní fórum Věříme, že se vám kurz líbil, a budeme se těšit na další setkání. 10 Příloha A rozložení paměti procesu Petr Juhaňák, lockdown Všechna práva vyhrazena, určeno pouze pro osobní potřebu. 38