Бинарные уязвимости/Переполнение стека
Содержание
Адресное пространство процесса
Адресное пространство процесса на x86/amd64 - это совокупность виртуальных адресов, доступная программе. Размер адресного пространства на x86 без дополнительных способов расширения - 4 Гб, он разделённый на kernel-space (2/1 Гб) и user-space (2/3 Гб). На x86-64 размер адресного пространства 2**48 - старшие 16 бит адреса все равны или 0, или 1. Такие адреса называются каноничными, все другие - неканоничными. В случае попытки обращения к неканоничному адресу возникает general protection exception (#GP). В случае x86-64 каноничность адресов можно использовать при проведении анализа содержимого памяти (так адрес из адресного пространства ядра будет иметь префикс 0xFFF, а из пользовательского - 0x000).
В *nix в user-space части адресного пространства содержится:
- запускаемый исполняемый файл
- динамические *.so библиотеки
- mmap() области (анонимные аллокации и отмапленные файлы)
- стек
- куча
- отмапленные из ядра области (vsyscall/vvar/vdso)
- различные служебные структуры
В pwndbg/gef/peda содержимое адресного пространства можно посмотреть с помощью команды vmmap:
В gdb можно использовать команду info proc map, а без отладчика содержимое можно посмотреть через файловую систему /proc с помощью команды cat /proc/<self>/maps.
Stack buffer overflow
Переполнение буфера в стеке происходит, когда программа должным образом не проверяет размер буфера, выделенного на стеке, при записи в него. Например, так делают известные функции gets, strcpy. Рассмотрим пример кода, где есть уязвимая функция foo
// 3.c
#include <stdio.h>
#include <string.h>
#include <unistd.h>
void print_passwrd(void) {
system("cat /etc/passwd");
}
void root(){
system("/bin/sh");
}
void foo(char* c){
int is_admin = 0;
char buffer[256];
strcpy(buffer, c);
printf("Hello, %s\n", buffer);
if (is_admin == 0x1337) {
print_passwrd();
}
}
int main(int argc, char *argv[]) {
if (argc < 2) {
return -1;
}
foo(argv[1]);
return 0;
}
Устройство стека
В функции foo определяется локальная переменная is_admin и локальный массив buffer, размещающиеся на стеке. Функция strcpy копирует arg, переданный во втором аргументе, в buffer до тех пор пока не встретит в ней нулевой байт. При этом сам нулевой байт также будет скопирован. Чтобы понять, почему это может быть опасно, нужно рассмотреть содержимое стекового кадра функции foo. Предположим, что мы скомпилировали данный код в 64-битную программу без оптимизации и соглашение о вызовах функции - cdecl. Тогда стековый кадр будет выглядеть так:
На данной схеме стек растет вниз в сторону младших адресов. Далее последовательно в стеке располагаются:
- аргумент функции foo
- адрес возврата - адрес внутри main, на который перейдет управление после окончания исполнения функции foo
- значение регистра ebp, являющееся указателем стекового кадра вызывающей foo функции (в данном случае main)
- локальный массив buffer
Функция strcpy осуществляет копирование в сторону противоположную росту стека (в сторону старших адресов). Таким образом при достаточном размере копируемой строки она может перетереть данные, хранящиеся после buffer: ebp, адрес возврата, аргументы и стековый кадр другой функции.
Эксплуатация
Цель: пройти проверку внутри функции foo значения переменной is_admin и получить вызов функции print_passwrd
Заметим, что значение локальной переменной is_admin лежит до buffer. Значит при достаточно длинном размере копируемой строк значение is_admin может быть перетерто желаемым значением (0x1337). Чтобы правильно вычислить размер строки, обратимся к дисассемблированному коду функции foo.