Пример эксплуатации целочисленных переполнений
(Еще не оценили)
Загрузка ...Издано: апреля 23, 2009
На сегодняшний день все большую популярность приобретают целочисленные переполнения или integer overflows. Целочисленное
переполнение происходит когда мы пытаемся записать в переменную значение, большее максимального значения типа этой
переменной. В этой статье я расскажу вкратце про этот тип уязвимостей и приведу несколько примеров. Работать будем под
OpenBSD 3.6. Рассмотрим для начала небольшой пример:
int main(int argc, char ** argv)
{
u_int32_t i;
u_int16_t s;
s = 0x100000000; // 65536 in hex
i = (s % 0x100000000);
printf("%d\n", i);
return 0;
}
Программа выдаст нам 0, т.к. 0×100000000 % 0×100000000 = 0.
Что будет если мы в переменную s вместо 65536 подставим 65537? Программа выдаст 1.
Это основа, которая необходима для понимания целочисленного переполнения. Согласно стандарту C99, при целочисленном
переполнении компилятор может вести себя как угодно. Согласно стандарту, если переменная unsigned типа не может вместить
в себя какое то значение, то происходит следущее преобразование:
Мы будем работать с типом unsigned short, его максимальное значение 65535, соответсвенно если мы попробуем присвоить
переменной типа usigned short значение больше чем 65535, то значение переменной будет равно:
Пример:
int main(int argc, char ** argv)
{
usigned short s;
s = 65535; //ok
printf("s is %d\n", s);
s = 65536; // too big
printf("s is %d\n", s);
return 0;
}
Вот что мы получим:
s is 65535
s is 0
localhost:prog {174}
Все работает в соответствии со стандартом.
Уязвимость целочисленного переполнения не очень опасна, т.к. она не может самостоятельно повредить какие либо участки
памяти, но она может вызвать переполнение буфера, правда в большинстве случаев довольно сложно эксплуатируемое, что мы
сейчас и рассмотрим на примере:
#define BUF 25
int secure_cpy(u_char *, int);
int main(int argc, char ** argv)
{
if(argc < 3)
{
fprintf(stderr, "Usage: %s <value> <len>\n", argv[0]);
return -1;
}
secure_cpy(argv[1], atoi(argv[2]));
return 0;
}
int secure_cpy(u_char * buf, int len)
{
char secure_buf[BUF];
unsigned short secure_len = len;
if(secure_len > BUF)
{
printf(stderr, "Abuse!\n");
return -1;
}
memcpy(secure_buf, buf, len);
secure_buf[len] = '\0';
printf("%s\n", secure_buf);
return 0;
}
Казалось бы ничего опасного в програме нет и переполнение буфера невозможно, однако тут нам и приходит на помощь
целочисленное переполнение:
Abuse!
localhost:prog {207} ./int admin 65535
Abuse!
localhost:prog {208} ./int admin 65536
Segmentation fault (core dumped)
localhost:prog {209}
Что же происходит? Почему происходит переполнение буфера? А происходит вот что:
Переменной типа unsigned short присваеватся значение переменной int. Все хорошо до тех пор пока len <= 65535. Если же
len будет равно 65536 то secure_len будет равно 0, и проверка:
{
fprintf(stderr, "Abuse!\n");
return -1;
}
Будет пропущена, а после этого memcpy лихо скопирует 65536 байтов в 25 байтовый буфер secure_buf:
В результате чего и произойдет переполнение буфера.
На сегодняшний день целочисленные переполнения буфера приобретают все более масштабный характер и более разрушительные
последствия. Эффективной защиты от целочисленного переполнения при использовании стандартных типов данных на сегодняшний
день не существует.
Разместить у себя на ресурсе или в ЖЖ:
На любом форуме в своем сообщении:
Популярность: 80% [!]
Спонсор
ITDoc самый Последний
- День системного администратора
- Создание Skype - SIP гейта
- И так бывает!
- Сценарий атаки на Cisco через SNMP
- Настройка шифрованного туннеля во FreeBSD с использованием IPSEC
- Шифрование диска в (K)Ubuntu для домашнего и бизнес применения
- Защита сетевых сервисов с помощью stunnel
- SSH-туннелинг или замена VPN
- Пример эксплуатации целочисленных переполнений
- Host Fingerprinting с помощью hping
- Как работают эксплоиты на основе heap overflow
- Борьба с DDOS и DOS на уровне nginx
- ICMP-Shell - организация досутпа к хосту используя только ICMP
- Хранение открытых ключей SSH в DNS
- Шифрование дискового раздела во FreeBSD при помощи GEOM-ELI
- Восстановление спрятанных или потерянных данных
- Работа с несколькими сеансами SSH через общий интерфейс
- Методы получения информации об удаленной операционной системе
- Виртуализация в FreeBSD с помощью Jail
- Устанока SpamAssassin (Postfix, MySQL, SSL, WebUsePpref)
- Зашифрованная корневая файловая система в Linux
- SSL соединение при использовании LDAP-сервиса
- “time stamping” сервис на базе патча к openssl и модуля mod_tsa
- Аутентификация в apache через modXLdapAuth
- 10+ способов обрушить mysql-сервер
- Замедление bruteforce атак на SSH с помощью PF
- Краткое введение в SSH
- Фазы (этапы) IPSec
- Обзор антивирусных пакетов для Debian 4.0 r0 (UNIX)
- Установка модуля modsecurity-apache в Linux Slackware
- Зонная Защита Solaris 10
- Безопасность ядра ОС UNIX
- Борьба со спамом на почтовых серверах
- Организация Honeypot в VMware - основы
- Помещение SSH пользователей в изолированное окружение
- Борьба со спамом в картинках при помощи OCR
- OpenBSD + Postfix + Antispam
- Перенаправление портов в SSH
- Аутентификация на SSH сервере с использованием ключей
- Аутентификация на SSH сервере с использованием ssh-agent
- Создание межсетевого экрана с помощью PF OpenBSD
- PF. Часть 2. Расширенная конфигурация
- NetBSD: безопасность процессов и сервисов
- Особенности NetBSD CGD
- OpenBSD: IPSec с нуля за 4 минуты
- IPFW - пример правил фильтрации для ADSL
- Конфигурирование ipfilter в FreeBSD
- IPF Howto
- FreeBSD IPSEC: Racoon + сертификаты X.509
- Шифрование пользовательских данных с помощью EncFS