Exploiting実習　第7回

• 日時：2008-03-1
• 担当：Defolos

目次

• スタック構造
• 関数呼び出し
• スタックフレーム
• 戻りアドレスの書き換え
• 例題6.1
• 次回の予定

スタック構造

• データ構造のひとつで、情報科学では重要な位置付け
• 先入れ先だし（FIFO）の構造をもつ、後にいれたものから順番に取り出す方式
• 例えばスーパーのカートのような構造
• 取り出すときは一番上から取り出す（fig.7-1）
• データを入れるときは一番上に入れる（fig.7-2）

[設置場所] <<<<<●←

[設置場所] <<<<  →<●

fig.7-1:スタックからのデータのとりだし

[設置場所] <<< <●←

[設置場所] <<<<●←

fig.7-2:スタックへのデータの格納

• 取り出す作業のことをpopという
• 格納する作業のことをpushという

関数呼び出し

• 関数（Function）は仕事を分割するための概念
• 細かいところを下請けに任せる機能
• ほとんどの言語には関数呼び出しの機能がある（アセンブリにもcallとしてある）
• 関数呼び出しは、呼び出した後にもとの位置に戻ってこないといけない

int func(int var1, int var2);
int func2(int f2var);

int main(int argc, char * argv[]){

    int var1, var2;
    var1 = 3;
    func(var1, var2);
    var2 = 8;
    return 0;
}

int func(int var1, int var2){

    int fvar1, fvar2;
    fvar1 = 3;
    func2(var1);
    return 0;
}

int func2(int f2var){
    return 0;
}

• var1,2を宣言した後、var1に3を格納
• ここでfunc関数が呼ばれるが...
• funcでの処理が終わったらもとの位置に戻ってきてvar2へ8を格納する
• 戻ってこれる＝戻ってくるべき場所を覚えている

スタックフレーム

• 関数を呼び出すときはもとの場所に戻ってくるための情報やそのときの状態をどこかに覚えておく必要がある
• それがスタックフレーム
• 「引数、戻りアドレス、待避済みフレームポインタ、ローカル変数」の5つの要素からなる
• 引数...func(var1, var2)のvar1やvar2のような変数のこと.左側から順にpushされる
• 戻りアドレス...次に実行すべきアドレスのこと.前の例では「var2 = 8;」の部分が次に実行されるべきアドレス
• 待避済みフレームポインタ...SEPといわれる.
• ローカル変数...関数内で宣言されて使われる変数.宣言した順にpushされる
• 関数を呼び出すときは、呼び出す前にこれをスタックセグメントにpushしてから呼ぶ

呼ぶとき

呼び出した後はスタックは次のような感じになる

[メモリ低位アドレス]
|             |
+-------------+
|             |
+-------------+
|  fvar2      |　*
+-------------+　*←ローカル変数
|  fvar1      |　*
+-------------+
|  0x000fffe  |　←SEP
+-------------+
|  0x000113f  |　←戻りアドレス
+-------------+
|  var2       |　*
+-------------+　*←引数
|  var1       |　*
+-------------+
|  ????????   |　他の関数が使ってる領域
+-------------+
[メモリ高位アドレス]

fig.7-3:func()を呼び出した後のスタック

さらにfunc()の中でfunc2()を呼ぶと次の用になる

[メモリ低位アドレス]
|             |
+-------------+　--------------func2()の領域-------
|  0x000fffd  |　←SEP
+-------------+
|  0x000114e  |　←戻りアドレス
+-------------+
|  f2var      |　←引数
+-------------+　--------------func()の領域--------
|  fvar2      |　*
+-------------+　*←ローカル変数
|  fvar1      |　*
+-------------+
|  0x000fffe  |　←SEP
+-------------+
|  0x000113f  |　←戻りアドレス
+-------------+
|  var2       |　*
+-------------+　*←引数
|  var1       |　*
+-------------+　---------------------------------
|  ????????   |　他の関数が使ってる領域
+-------------+
[メモリ高位アドレス]

fig.7-4:func()を呼び出した後のスタック

呼んだ後

関数内での仕事がなくなったら、前にいた場所に戻るように頑張る

• ローカル変数があれば除去（func2にはない）
• SEPの値をEBPレジスタに格納
• 戻りアドレスを次に実行すべきアドレスを入れるレジスタに格納
• 引数までを除去
• func2()の領域と言うところがなくなる

[メモリ低位アドレス]
|             |
+-------------+　--------------func()の領域--------
|  fvar2      |　*
+-------------+　*←ローカル変数
|  fvar1      |　*
+-------------+
|  0x000fffe  |　←SEP
+-------------+
|  0x000113f  |　←戻りアドレス
+-------------+
|  var2       |　*
+-------------+　*←引数
|  var1       |　*
+-------------+　---------------------------------
|  ????????   |　他の関数が使ってる領域
+-------------+
[メモリ高位アドレス]

fig.7-5:func2()処理後のスタック

• func()も処理が終わったとすると
• ローカル変数のvar2,var1を除去
• SEPの値をEBPレジスタに格納
• 戻りアドレスを次に実行すべきアドレスを入れるレジスタに格納
• 引数までを除去
• func()の領域と言うところがなくなる
• main関数で使ってるやつがスタックの一番上に表れる

[メモリ低位アドレス]
|             |
+-------------+　--------------func()の領域--------
|  fvar2      |　*
+-------------+　*←ローカル変数
|  fvar1      |　*
+-------------+
|  0x000fffe  |　←SEP
+-------------+
|  0x000113f  |　←戻りアドレス
+-------------+
|  var2       |　*
+-------------+　*←引数
|  var1       |　*
+-------------+　---------------------------------
|  ????????   |　他の関数が使ってる領域
+-------------+
[メモリ高位アドレス]

fig.7-6:func()処理後のスタック

戻りアドレスの書き換え

• 戻りアドレスはプログラムの流れを制御する大切なデータ
• プログラムの流れを変えることで権限の奪取が可能になる
• ローカル変数より戻りアドレスの方が下にあるので、文字列関数によって値を書き換えられる可能性がある
• 第7回のサンプルコードに「aaaaaaa....」と入れまくると、ローカル変数を越えてSEPや戻りアドレスまでもを「aaaa」で上書きしてしまう
• 戻りアドレスが「0x41414141」となるが、「0x41414141」番地は実行が許可されていない番地なので「Segmentation Fault」が発生する
• 戻りアドレスをちゃんと実行できる場所に上書きしてやると、何事もなかったかのようにそのアドレスを実行してくれる
• つまり、ペイロードをどこかに格納しておき、その格納場所で戻りアドレスを上書きできれば権限が奪取できる

ペイロードの格納場所

• 今回は第一回の実例と体験で利用したターゲットプログラムを利用
• ターゲットプログラムは500バイトしかないバッファに引数として渡された文字列をコピーするプログラム
• 500バイト以上の文字列を渡せばBOFが発生する
• スタック領域は実行可能
• ペイロードをバッファに入れてやるのが効率良さそう（例えば前の例ではname配列）
• 戻りアドレスはバッファの先頭にしてやる

         buffer                 sfp    戻りアドレス
--------+----------------------+-----+--------------------+-------
        | shellcode            |     | address of buffer  |
--------+----------------------+-----+--------------------+-------
        ↑                              |
        +-------------------------------+

fig.7-7:飛ばす場所のイメージ

• 関数の終了時に戻りアドレスに格納されたアドレス、つまりbufferの先頭でありshellcodeの先頭に制御が移る
• シェルコードは第五回で作ったものを利用

★ターゲットプログラムの実行時のメモリ
Low 0x0000                          0x01f4   0x01f8   0x01fc   0x0200    High
----[buffer 500byte                ][SEP    ][ret add][argc   ][argv   ]---


★入力する文字列 508byte
    [shellcode 33byte][適当な値 471byte       ][0x0000 ]

• fig.7-8のようにshellcode33バイト、適当な値471バイト、shellcodeが格納される先頭アドレス（ここではshellcodeが0000番地に格納されるものとする）4バイトからなる文字列を押し込めば
• 戻りアドレスが0000に上書きされるので関数から戻る際にshellcodeに制御が移される
• めでたくペイロードが起動！

問題点

• ただし、bufferの先頭を正確に知る手段が無い
• なおかつ、戻りアドレスの場所を正確に知る手段も無い
• さらに、メモリ構造がぴったりfig.7-8のようになるとは限らない（使われない隙間などができたりする）
• ゆえに、厳密なハードコードは意味をなさず、柔軟性が必要

次回の予定

• NOPスレッド
• RETの連発
• 実際の挿入ベクター生成プログラム
• 実証