Exploiting実習　第2回

• 日時：2007-09-01
• 担当：Defolos

目次

• ペイロードの作成について
• ペイロード作成の流れ
• アセンブリの復習
• 要求の確定について
• 動作対象システムを調べる
• HelloWorldの作成と機械語への変換
• ペイロード化に伴うテクニック
• 作成したペイロードのテスト
• 次回の予定

ペイロードの作成について

• ペイロードとはアタック対象システム上で動かしたいプログラム本体のこと
• シェルを起動するシェルコードをペイロードとして利用するのが一般的
• シェルを起動する以外にも様々な動作を行うペイロードを作成できる
• ペイロードはサイズ、動作の指定を考慮してアセンブリ言語で制作する
• 通常のプログラムとは違い、ペイロードには独自のプログラミングスタイルがある

ペイロード作成の流れ

ペイロードは次の手順に従って作成する.

1. 行いたい動作の決定
2. 動作対象システムを調べる
3. アセンブリ言語でプログラムを記述
4. 16進数エディタなどで開きバイトコードを取得
5. 動作テスト

アセンブリの復習

• アセンブリ言語は低級言語のひとつできわめて機械語に近い細やかなプログラミングが可能
• 様々な種類のアセンブリ言語があるがGASを利用する
• GASはAT&T形式であるため「命令、〜に、〜を」の順番で記述する
• 基礎的なところはExploiting実習　第0回配布資料の「アセンブリについて」を参照

命令（instruction）

主に次のような命令がある(instruction, x, y). これらを組み合わせて行いたい処理を記述する.

• mov...xにyを移動（コピー）
• jmp...xのアドレスに制御を移す
• call...xのアドレスに制御を移す
• pop...xにespの値を格納
• push...espにxの値を格納
• int...x番の割り込みを発生させる
• xor...xとyのxorをとり、結果をxに格納する
• inc...xの値をひとつ加算する

下位互換命令と下位互換レジスタ

GASでは8ビットコンピュータおよび16ビットコンピュータとの互換性を保つため,レジスタおよびレジスタを操作する命令にはそれぞれ8ビット用命令,16ビット用命令,32ビット用命令の3種類が用意されている.
8ビット用命令なら32ビットコンピュータで動作しても下位8ビットのみを操作する.レジスタを参照する場合でも8ビット互換レジスタを指定すれば32ビットレジスタであっても下位8ビットしか参照しない．

互換命令

• movl...32ビット命令
• movw...16ビット命令
• movb...8ビット命令

mov %eax, %ebxのように互換命令部分を省略して記述することも可能.この場合は後ろのレジスタの種類によってl,w,bが補完される.

互換レジスタ

• eax...32ビットレジスタ
• ax...16ビットレジスタ
• al...axレジスタの下位8ビット
• ah...axレジスタの上位8ビット

図1:互換レジスタの参照部分

実際には次のように記述する.

movl $0x1, %eax        ;1をeaxに代入    eax: 0000 0001
incl %eax              ;eaxに1加算      eax: 0000 0002
movb %ah, %al          ;eaxをゼロクリア eax: 0000 0000
movl $0xFFFF0F0F, %eax ;eaxに値を代入   eax: FFFF 0F0F
movw $0xF0F0, %bx      ;ebxにF0F0を代入 ebx: 0000 F0F0
xorw %ax, %bx          ;axとbxのxor      ax: 0F0F→0000111100001111
                       ;                 bx: F0F0→1111000011110000
                       ;eaxはFFFFFFFFになる

要求の確定について

• ハッキングにもなんらかの目的＝要求が存在している
• その目的に合わせてペイロードの仕様を確定する
• 要求＝何を行いたいか
• 例
  • システムのコントロール権を得たい
  • ファイルを改竄して人に迷惑をかけたい
  • 特定のユーザグループに仲間入りをしたい
• システム開発でもなんでも、要求をはっきりさせることが大切

要求から仕様を導く

• 仕様＝要求を実現するための具体的方法
• 例
  • システムのコントロール権を得たい→execvシステムコールを利用してroot権限でシェルを起動する
  • ファイルを改竄して人に迷惑をかけたい→writeシステムコールを利用して/etc/passwdファイルをむちゃくちゃに上書きする
  • 特定のユーザグループに仲間入りをしたい→

動作対象システムを調べる

• OSによってシステムコールの仕様が違う
• Linux,BSD,Solalis,Windowsはシステムコールの呼び出し方やシステムコール番号が異なる
• ゆえにペイロードを作る際には対象システムがどのOSを使ってるのか見定める必要がある

対象システムの詮索方法

ハッキングは他者の管理するシステムへ行うが,通常システム情報が公開されていることはない.ゆえになんらかの方法で,どのOSを使っているのか詮索する必要がある.

• Telnetバナーの取得
• ポートスキャン
• ソーシャルエンジニアリング

HelloWorldの作成と機械語への変換

• 今回の要求はペイロードの作成テストであるため,ペイロードの仕様を「writeを使って標準出力にHelloWorldを出力する」とした
• アセンブリで記述した後コンパイルして実行ファイルを作る
• HelloWorldは第0回その2で作成している

メモをとっていない方,第0回その2に参加していない方は次のソースをご利用ください.

.code32
 
.data
msg: .ascii "Hello!"
 
.global main
main:

movl $4, %eax
movl $0, %ebx
movl $msg, %ecx
movl $6, %edx
int $0x80
ret

前回作ったプログラムはあまり行儀の良いプログラムとは言えない.プログラムがすべて終わったことを示し,OSに制御を移すべくexitシステムコールを呼ぶのが普通.

例題 2.1

前回作成したHelloWorldプログラムにexitシステムコールを追加し,まっとうなプログラムに更生せよ.

バイトコードへの変換

実行ファイルを2進数や16進数で表したものをバイトコードと呼ぶ.ペイロードとして実行するプログラムは最終的にバイトコードに変換して利用する必要がある.

バイトコード変換手順

1. 実行ファイルを16進数エディタで開く
2. 表示される16進数標記の部分をコピー

16進数エディタのobjdumpを使う.そのままでは不要な部分まで表示され見にくいため,次のようにタイプする.

defolos@glazheim:~$ objdump -d a.out|grep \<main\> -A 30

ペイロードとしての問題点

• NULLバイトの存在
• アドレッシング問題

NULLバイト問題

NULLバイト（0x00）はstrcpy()などでは文字列の終端を意味するため,ペイロードの途中にNULLが含まれると正常に動作しない.

NULLバイト問題の実例

int main(int argc, char *argv[]){
    char str1[] = "Hello\0World";
    char str2[12];

    strcpy();
    printf("%s\n", str2);

    return 0;
}

アドレッシング問題

• .dataディレクティブでスタックセグメント以外を参照する点が問題
• ペイロードはスタックセグメントに格納されるため,他セグメントを参照できない
• よって文字列もなんらかの方法でスタックセグメントに確保する必要がある

ペイロード化に伴うテクニック

前述の問題点を解決するために,ペイロードの作成スタイルには独自のテクニックを使用することが多い.

アドレッシング問題の解決

スタックセグメントのみを使用するようにする.特に問題になるのが文字列などのデータ.文字列を格納しているメモリの先頭アドレスを取得できれば良い.

jmp/callテクニック

• call命令はその次のアドレスをスタックポインタにプッシュする
• callの後ろに文字列を宣言し,call先でポップすれば文字列の先頭アドレスを取得できる

main:
    jmp    ONE

TWO:
    popl %ecx
    ;codes...

ONE:
    call   TWO
    .string "STRINGS"

pushテクニック

文字列を4バイトごとに区切ってスタックにプッシュすることで文字列を生成する.

• リトルエンディアンを意識する...Morning!ならMornとing!に分けて!gniをプッシュした後にnroMをプッシュする
• その後espを参照すれば文字列の先頭アドレスを取得できる
• ただし,文字列はNULLで終わっていなければいけないので最初にNULLを4バイトプッシュしておく

pushl   $0x0
pushl   $0x ;!gni
pushl   $0x ;nroM
movl    %esp,   %ecx

ただし,文字列が4の倍数でなければこのテクニックは利用できない.

NULLバイト問題

NULLバイトの原因はコード中に出現する「0」が影響している.つまり,0を使わずにコードを書けば良い.

xorの利用

• xorはAとBのビットが同じ時0に,それ以外の時1になる
  例）

       11010010
   xor)01110111
      ----------
       10100101
  

• AとAのxorは0になる
  例）

       11010010
   xor)11010010
      ----------
       00000000
  

• コード内に0自体を使っていないが,レジスタをゼロクリアできる

4バイト命令の埋め草問題

「movl $0x5, %eax」は4バイト(32ビット)の転送命令であるが,0x5は101であり8ビットでも表現可能.残の24ビットには埋め草として「0」が挿入され,コンパイル時にmovl $0x00000005, %eaxと解釈される.

• 8ビットで表現可能なので8ビットの互換命令を使う
• レジスタも8ビット互換レジスタを使用する

movb    $0x5,   $al

作成したペイロードのテスト

ペイロードのテストには,プログラム内で意図的にペイロードを実行する次のプログラムを利用する.

unsigned char payload[]="SHELLCODE";

int main(void){
    int *retadd;
    retadd = (int *)&retadd + 2;
    (*retadd) = (int)payload;
    return 0;
}

• 確保した変数のアドレスに2を足したものを,変数retaddに格納
• retaddに確保されたアドレス＝retadd自身に2が加算されたもの
• それをペイロードが格納されたアドレスに書き換える
• retadd+2のアドレス＝戻りアドレス
• よってreturnでプログラムが終了するとペイロードが呼ばれる

プログラムの流れを変えてスタックセグメント上のペイロードを実行する点で,バッファオーバフローなどのExpliotと動作は変わらない.

例題 2.2

これまで紹介したテクニックを参考にし,シェル(/bin/sh)を起動するペイロードを作成せよ

次回の予定

• ファイルに関するペイロードの作成
• ファイル処理の基本
• ファイル表示ペイロード
• ファイルへの上書きと追加書き込み
• ファイル改竄ペイロード