שלום,
אני מנסה לבצע Buffer overflow על תוכנה מסויים, וזה מזהיר שיש העמסה במחסנית.
אמור לעלות seg fault אבל זה לא קורה.

הסיבה היחידה שיש היא הStack smashing protection מופעל, והשאלה שלי היא איך להוריד אותו?

מה שקורה בפועל זה דבר כזה -
כתבתי תוכנית פגיעה:

קוד:

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

int main(int argc, char *argv[])
{
char str[20];
if(argc < 2) { printf("Usage: %s string", argv[0]); exit(1); }

strcpy(str, argv[1]);
printf("You entered: %s", str);

return 0;
}

עכשיו,
כשאני מריץ את זה אני מקבל:

קוד:

*** stack smashing detected ***: ./bof terminated
You entered : (כל הA שכתבתי)Aborted (core dumped)

כשאני מוסיף עוד מספר מסויים של A מופיע הדבר הבא:

קוד:

Segmentation fault (core dumped)

אח"כ כשאני מריץ עם run עם כל הA, בgdb, מה שקורה זה לפעמים זה:

קוד:

Program received signal SIGABRT, Aborted.
0xffffe410 in __kernel_vsyscall ()

ולפעמים זה:

קוד:

Program received signal SIGSEGV, Segmentation fault.
0xb7e49d5f in getenv () from /lib/tls/i686/cmov/libc.so.6

קוד:

(gdb) info reg eip
eip 		   0xb7dd3d5f 	  0xb7dd3d5f <getenv+159>
(gdb) info reg ebp
ebp 		   0xbfda7618 	  0xbfda7618

אין 0x414141, ההקס של A לא בeip ולא בebp.

שימו לב שהeip משתנה בהתאם לשגיאה, הכוונה לקטע של ה<159+getenv>- לפעמים כתוב getenv ולפעמים kernel ואני לא בטוח אם המספר קבוע.
כנראה זה מספר הA או משהו בסגנון :S

כעיקרון,
מה שאני מנסה זה לעשות overwrite, "כמו כל BOF ממוצע" ( :O), על הeip אבל הstack smashing protection חוסם אותי.
הייתי יכול להחליף את הקרנל של הלינוקס ולהוריד את האבטחה שם, אבל זה סיפור.
יש איזשהי פקודה מסויימת לבטל את זה?


תודה לכולם!

אהמ...
אני לא בטוח בתשובה שלי, אז קח אותה בעירבון מוגבל, התשובה שלי מתבססת על הקורס "ארגון ותכנות המחשב" שנלמד על הפלטפורמה של מחשב PDP-11, המחשבים היום הם x86 ככה שאולי זה כבר לא תופס:

עקרונית אי אפשר להוריד את ההגנה הזו - ההגנה הזו היא לא של מערכת ההפעלה, אלא של המעבד עצמו של המחשב.
עקרונית המעבד של המחשב יודע ליצור פסיקות מכונה עבור מספר מקרים:
א) חלוקה ב-0
ב) פקודה לא חוקית (הכוונה היא שניתן opcode שלא קיים באמת)
ג) פסיקת אזהרה כאשר המחסנית מתקרבת לטווח כתובות מסויים.
ד) פסיקת תקלה כאשר המחסנית מגיעה לטווח כתובות מסויים.
ה) עוד דברים שאני לא ממש זוכר


הפסיקות הללו מוקפצות ע"י המעבד עצמו, אני לא חושב שאפשר לעקוף אותן...

חתימתכם הוסרה כיוון שלא עמדה בחוקי האתר. לפרטים נוספים לחצו כאן. תוכלו לקבל עזרה להתאמת החתימה לחוקים בפורום חתימות וצלמיות.

עד כמה שאני מבין, ה Stack Smashing Protection זה בכלל פיצ'ר של הקומפיילר. אולי משהו שבכלל אפשר לכבות בזמן קומפילציה. אם אתה מקמפל עם GCC אתה יכול לבדוק את זה.

אם הייתי במקומך הייתי אולי עושה את כל המשחקים האלה של דריסת כתובת החזרה על פונקציה שנקראת מתוך ה MAIN.

ככה אתה תהיה מבודד מעט יותר מ"שטויות" של הלינוקס.

בכל מקרה, אם הבאפר שלך הוא של 20 בתים, הבית ה 21 כבר צריך לדרוס את ה RET ADDR

אם אתה צריך עוד עזרה, רק תשאל. משחקים כאלה הם תמיד נחמדים....


אגב - יכול להיות שהסיבה שאתה לא רואה את מה שאתה מצפה ב EIP זה בגלל שהמנגנון של SSP מוסיף עוד מידע על הסטאק של התחשבת בו לצורך העניין.
אם תבטל אותו, אולי יהיה קל יותר לדרוס....

ועוד דבר אחרון,
הייתי בכלל מוותר על שימוש ב LIBC.
אתה לא יודע איך זה ממומשומן הסתם גם שם יש הגנות....
אם תעתיק עם לולאה את הבאפר שאתה מקבל לדבאפר שאמור לדרוס זה בטוח יעבוד.

תשפר את זה אחרי זה איך שאתה רוצה.

השאלה שלי היא בעצם איך אני מבטל את האזהרה על הstack smashing?
אני רוצה שפשוט מאד, יעלה על הEIP שאני אוכל לערוך אותו.

זה מאוד תלוי באיזה גירסא של gcc אתה מריץ.

אם אתה רוצה buffer overflow כמו שAleph1 הקלאסי בלי שום הגנה מסוימת (garbage, shellcode, return ) אתה צריך לדעת איזה הגנות לבטל, כי יש המון (non executable stack, randomization, stckHost, stackGuard, stack smashing using XOR ועוד ), איזה קרנל,libc וgcc יש לך ?

אממ,
יש לי אובונטו 7.10, וכשאני מריץ את gdb בטרמינל אני מקבל:

קוד:

GNU gdb 6.6-debian
Copyright (C) 2006 Free Software Foundation, Inc.
GDB is free software, covered by the GNU General Public License, and you are
welcome to change it and/or distribute copies of it under certain conditions.
Type "show copying" to see the conditions.
There is absolutely no warranty for GDB.  Type "show warranty" for details.
This GDB was configured as "i486-linux-gnu".

זו הכוונה?

קוד:

gcc --version

אם יש לך 4.* (הגירסא של gcc)הם הוסיפו פאצ' חדש שאפשר לעקוף אותו אבל אני ממליץ לך להוריד gcc אחר ולהתקין אותו בdir נפרד (כן, זה אומר לקמפל הכל P: ) תבדוק גם ש

קוד:

cat  /proc/sys/kernel/va_randomization

שווה ל0, (משנים עם רוט)
אני המון זמן לא עבדתי עם ubuntu (אחת הגירסאות הראשונות ומאז חזרתי לג'נטו), אבל אם אין לך שם PaX או פאצ'/משהו אחר דומה לזה, הכל אמור להיות בסדר.

קוד:

gcc (GCC) 4.1.3 20070929 (prerelease) (Ubuntu 4.1.2-16ubuntu2)
Copyright (C) 2006 Free Software Foundation, Inc.
This is free software; see the source for copying conditions.  There is NO
warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.

תוכל להסביר איך להוריד אחד אחר ללא ההגנה, איך למקפל והכל? אני אודה לך מאד!

אתה יכול לקרוא פה
זה הרבה, אני יודע
אבל זה ישתלם לך.
רק תזכור להתקין את זה בdir אחר (לדוג', /usr/share/oldgcc/ כדי שזה לא סתם ישכתב לך את הגירסא שיש לך)

--
עריכה, שכחתי -
תוריד gcc 3.x כלשהו, לא משנה איזה

תודה רבה! תותח,
הורדתי gcc-3.3, פועל מצויין!