Коллектив авторов - Защита от хакеров корпоративных сетей

Явный переход. Если программе переполнения буфера известен адрес программного кода полезной нагрузки, то можно передать ему управление при помощи явного перехода (direct jump). Программный код полезной нагрузки может быть загружен в область стека. Несмотря на то что адрес стека определить нетрудно, при явном переходе возможны ошибки. Во-первых, адрес стека может оказаться нулевым, поэтому может потребоваться размещение в памяти программного кода полезной нагрузки до загрузчика, сокращая доступную коду память. Во-вторых, адрес размещения в памяти программного кода полезной нагрузки может меняться, поэтому нужно учитывать возможные изменения адреса перехода. Способ явного перехода прост для использования. К тому же существуют хитроумные способы, позволяющие упростить определение адреса (см. секцию «Последовательность команд NOP»). В большинстве случаев в операционной системе UNIX адрес стека ненулевой, поэтому для нее описываемый способ подходит. И наконец, если программный код полезной нагрузки размещен вне стека, то способ явного перехода вне конкуренции.

Неявный переход. Регистр ESP указывает на текущее положение в стеке. Способ неявного перехода(blind return) основан натом, что любая команда ret, выполнив так называемое выталкивание данных из стека, загрузит в регистр EIP значение из области, на которую указывает регистр ESP. Существенно то, что команда ret загрузит в регистр EIP значение с вершины стека, которое будет проинтерпретировано как адрес программного кода. Если атакующий сможет подменить сохраненное в стеке содержимое регистра EIP на адрес своей программы, то по команде ret ей будет передано управление.

В ряде способов передачи управления программному коду полезной нагрузки используются регистры процессора для указания на область данных в стеке. Регистр EIP программно недоступен, поэтому нельзя подмененный указатель текущей команды непосредственно загрузить в регистр EIP и воспользоваться им для передачи управления в программе, как это показано на рис. 8.20. Для загрузки указателя текущей команды в регистр EIP указатель текущей команды должен указывать на реальную команду, как это показано на рис. 8.21.

Рис. 8.20. В регистр нельзя загрузить указатель на команду

Рис. 8.21. Указатель команды должен указывать на реальную команду

Скрытый переход. Если хранимое на вершине стека значение не является адресом атакуемого буфера, то для передачи управления программному коду полезной нагрузки можно воспользоваться способом скрытого перехода (pop return). Способ скрытого перехода позволяет загрузить в регистр EIP нужный адрес при помощи последовательности команд pop, завершающейся командой ret, как это показано на рис. 8.22. Последовательность команд pop выталкивает из стека несколько значений до тех пор, пока не придет очередь нужного адреса, который и загружается командой ret в регистр EIP. Способ целесообразно использовать, если искомый адрес находится недалеко от вершины стека. Насколько известно, способ скрытого перехода использован в общедоступной программе переполнения буфера информационного сервера Интернет IIS.

Рис. 8.22. Использование команд pop и ret для получения адреса перехода

– pop EAX 58

– pop EBX 5B

– pop ECX 59

– pop EDX 5A

– pop EBP 5D

– pop ESI 5E

– pop EDI 5F

– ret C3

Переход по содержимому регистра. Способ перехода по содержимому регистра (call register) применяется, если в регистре содержится адрес необходимого программного кода полезной нагрузки. В этом случае в регистр EIP загружается указатель на команду при выполнении команды call EDX, call EDI или ee эквивалента (в зависимости от регистра, в который загружен указатель на программу).

– call EAX FF D0

– call EBX FF D3

– call ECX FF D1

– call EDX FF D2

– call ESI FF D6

– call EDI FF D7

– call ESP FF D4

При просмотре памяти процесса из библиотеки KERNEL32. DLL были найдены следующие подходящие пары шестнадцатеричных байтов:

77F1A2F7 FF D0 call EAX

77F76231 FF D0 call EAX

7FFD29A7 FF D0 call EAX ; a whole block of this pattern exists

7FFD2DE3 FF E6 jmp ESI ; a whole block of this pattern exists

7FFD2E27 FF E0 jmp EAX ; a whole block of this pattern exists

77F3D793 FF D1 call ECX

77F7CEA7 FF D1 call ECX

77F94510 FF D1 call ECX

77F1B424 FF D3 call EBX

77F1B443 FF D3 call EBX

77F1B497 FF D3 call EBX

77F3D8F3 FF D3 call EBX

77F63D01 FF D3 call EBX

77F9B14F FF D4 call ESP

77F020B0 FF D6 call ESI

77F020D5 FF D6 call ESI

77F02102 FF D6 call ESI

77F27CAD FF D6 call ESI

77F27CC2 FF D6 call ESI

77F27CDB FF D6 call ESI

77F01089 FF D7 call EDI

77F01129 FF D7 call EDI

77F01135 FF D7 call EDI

Эти пары шестнадцатеричных байтов могут быть использованы практически в любой программе. Но поскольку найденные пары шестнадцатеричных байтов – часть интерфейса ядра динамически подключаемой библиотеки DLL, то обычно они находятся по фиксированным адресам памяти, которые можно жестко запрограммировать. Имейте в виду, что в различных версиях Windows и, возможно, версиях служебных пакетов Service Pack они могут отличаться. Переход по только что записанному в стек адресу. Способ перехода по только что записанному в стек адресу (push return) слегка отличается от предыдущего, хотя и в нем используется значение, сохраненное в регистре. Различие состоит в использовании вместо команды ret команды call. Если известно, что адрес перехода загружен в регистр EAX, EBX, ECX, EDX, EBP, ESI или EDI, но команду call найти не удается, то попробуйте найти в двоичном коде пару команд push <регистр> и ret.

– push EAX 50

– push EBX 53

– push ECX 51

– push EDX 52

– push EBP 55

– push ESI 56

– push EDI 57

– ret C3

В динамически подключаемой библиотеке Kernel32.DLL содержатся следующие подходящие пары шестнадцатеричных байтов:

77F3FD18 push EDI

77F3FD19 ret

(?)

77F8E3A8 push ESP

77F8E3A9 ret

Программа поиска точек перехода Findjmp. На рисунке 8.23 представлена небольшая программа, которая сканирует двоичный код динамически подключаемой библиотеки. Входными параметрами программы являются имя динамически подключаемой библиотеки и название регистра из командной строки. Программа ищет характерные для поддерживаемых способов комбинации шестнадцатеричных цифр в размещенном в памяти двоичном коде заданной динамически подключаемой библиотеки. Она поддерживает способы передачи управления по только что записанному в стек адресу (push return), по содержимому регистра (call register) и явный переход по содержимому регистра (jump register).

Рис. 8.23. Исходный текст программы Findjmp.c

Программа ищет в динамически подключаемой библиотеке команды перехода, которые можно использовать в своих целях. Вполне вероятно, что для экспериментов с переполнением буфера потребуется подходящее место для передачи управления специальному коду, адрес которого загружен в какой-либо регистр. Программа подскажет потенциальное место загрузки в регистр EIP адреса нужной программы.

Программа легко адаптируется для поиска других способов перехода или образцов программного кода в динамически подключаемой библиотеке DLL. В настоящее время программа поддерживает поиск следующих команд:

1) jmp reg;

2) call reg;

3) push reg / ret.

Всех их объединяет общий результат: в регистр EIP загружается содержимое регистра reg. Программа также распознает следующие регистры:

• EAX;

• EBX;

• ECX;

• EDX;

• ESI;

• EDI;

• ESP;

• EBP.

Программа компилируется как консольное приложение на любой платформе, поддерживающей интерфейс 32-разрядных Windows-приложений. Приложение может быть найдено в разделе сайта издательства www.syngress.com/solutions, посвященном книге.

Подпрограмма usage() выводит в стандартное устройство вывода (консоль или принтер) краткую инструкцию по использованию программы.

void usage()

{

printf(“FindJmp usagenfindjmp DLL regnEx: findjmp

KERNEL32.DLL ESPn”);

exit (0);

}

/*The findjmp function is the workhorse. It loads the

requested dll, and searches for specific patterns for jmp

reg, push reg ret, and call reg.*/

void findjmp(char *dll,char *reg)

{

/* patterns for jmp ops */

BYTE jmppat[8][2]= {{0xFF,0xE0},{0xFF,0xE3},{0xFF,0xE1},

{0xFF,0xE2},{0xFF,0xE6},{0xFF,0xE7},

{0xFF,0xE4},{0xFF,0xE5}};

/* patterns for call ops */

BYTE callpat[8][2]= {{0xFF,0xD0},{0xFF,0xD3},{0xFF,0xD1},

{0xFF,0xD2},{0xFF,0xD6},{0xFF,0xD7},

{0xFF,0xD4},{0xFF,0xD5}};

/* patterns for pushret ops */

BYTE pushretpat[8][2]= {{0x50,0xC3},{0x53,0xC3},{0x51,0xC3},

{0x52,0xC3},{0x56,0xC3},{0x57,0xC3},

{0x54,0xC3},{0x55,0xC3}};

/*base pointer for the loaded DLL*/

HMODULE loadedDLL;

/*current position within the DLL */

BYTE *curpos;

/* decimal representation of passed register */

DWORD regnum=GetRegNum(reg);

/*accumulator for addresses*/

DWORD numaddr=0;

/*check if register is useable*/

if(regnum == -1)

{

/*it didn’t load, time to bail*/

printf(“There was a problem understanding the

register.n”

“Please check that it is a correct IA32 register

namen”

“Currently supported are:n ”

“EAX, EBX, ECX, EDX, ESI, EDI, ESP, EBPn”

);

exit(-1);

}

loadedDLL=LoadLibraryA(dll);

/* check if DLL loaded correctly*/

if(loadedDLL == NULL)

{

/*it didn’t load, time to bail*/

printf(“There was a problem Loading the requested

DLL.n”

“Please check that it is in your path and readablen” );

exit(-1);

}

else

{

/*we loaded the dll correctly, time to scan it*/

printf(“Scanning %s for code useable with the %s

registern”,

dll,reg);

/*set curpos at start of DLL*/

curpos=(BYTE*)loadedDLL;