SBC 2012 - Software Exploitation (Nguyễn Chấn Việt)

SECURITY BOOTCAMP 2012 | Make yourself to be an expert!

Nguyễn Chấn Việt | vietwow@gmail.com

Software Exploitation

Who am ISenior Security Researcher

+4 years in Information Security. Focusing on Malware Analysis and Exploit Development

Twitter : https://twitter.com/vietwow

Why study this ?This is real security. NOT Security+, CEH, CISSP, …

Firewall, IDS/IPS, AV … cannot detect/prevent

HOT jobs :– Application Security/Pentest

– Exploit Development

Bug Hunting : Vupen wins 1 million dollars with Chrome exploit from Google offer

Vulnerablity Finding

Phases 1 :– Fuzzing / Reverse Engineer (Black-box)– Source code audit (White-box)

Phase 2 :– Exploit Development => We are here

Phase 3 :– $ell– To be Anonymous/Luzsec

Requirements

x86 Assembly

Understand OS Primer and how function works

Use debugger tools

Scripting Language (prefered Python)

IDA / IDA Pro

OllyDBG / Immunity Debugger

WinDBG

Metasploit

Stack Buffer Overflow in Action

Senior Security Researcher

Bộ nhớ Stack ban đầu Sau khi nhập chuỗi “Hello”

Bộ nhớ Stack sau khi bị tràn

Classical methodDirect EIP overwrite : Chỉ cần overwrite EIP thành địa chỉ của shellcode => khi function kết thúc, CPU sẽ nhảy đến địa chỉ shellcode và thực thi

=> Chỉ áp dụng được ở những năm 1990

Some problems

Bad character => encode shellcode

Limited-size buffer => egg-hunter shellcode

Shifting stack pointer : giúp exploit của ta trở nên “reliability” hơn vì đôi khi 1 số stack operation trong chương trình sẽ làm corrupt shellcode

– add esp, xxxx

Exploit Mitigation Techniques

/GSCơ chế bảo vệ của compiler

Chèn 1 giá trị random gọi là cookie vào trước buffer trong stack

Khi chương trình kết thúc sẽ kiểm tra, nếu giá trị này bị thay đổi thì chương trình sẽ bị kill ngay lập tức

Memory Layout

Parameters

Return Address

Frame Pointer

Locals

(1) Without Cookie

Memory Layout

Parameters

Return Address

Frame Pointer

Locals

Parameters

Return Address

Frame Pointer

Locals

Cookie

(2)(1) Without Cookie(2) MSVC++ 2003

Bypass /GSCơ chế bảo vệ của compiler

Chèn 1 giá trị random gọi là cookie vào giữa Saved EBP và RET

Khi chương trình kết thúc sẽ kiểm tra, nếu giá trị này bị thay đổi thì chương trình sẽ bị kill ngay lập tức

Bypass /GSSEH - “Structured Exception Handling” là cơ chế xử lý Exception của Windows

int test(void){ __try{ // Exception may occur here} __except( EXCEPTION_EXECUTE_HANDLER ){ // This handles the exception} return 0; }

Memory Layout

Bypass /GSVì SEH được trigger trước khi chương trình kết thúc => điều đó đồng nghĩa với việc exploit của ta sẽ được hiện trước chương trình kết thúc (và kiểm tra cookie)

Để khai thác, ta phải tạo ra 1 exception. Sau đó “ép” application jump đến shellcode của ta (thay vì default sẽ là jump để real exception handler function)

Bypass /GS

ASLRCơ chế bảo vệ của OS

Nguyên tắc là OS sẽ randomize các address trên memory như stack, heap, … (trừ text section) => khiến ta không thể search các address cần thiết như địa chỉ shellcode, địa chỉ hàm, ….

Bypass ASLRBruteforce : chỉ khả thi với hệ thống 32-bit

Non ASLR : Return-to-esp, Return-to-eax

Heap Spray

Bypass ASLRReturn-to-esp :

– overwrite địa chỉ RET thành địa chỉ của lệnh “JMP ESP” (FF E4) hoặc “CALL ESP”

– Đặt shellcode ngay sau RET

=> Khi hàm kết thúc, lệnh “JMP ESP” / “CALL ESP” sẽ được thực thi, do đó phần shellcode ngay sau đó sẽ được thực thi

Bypass ASLRReturn-to-eax :

– Phương pháp này được sử dụng trong các trường hợp thanh ghi EAX được dùng để store return value, khi đó thanh ghi EAX sẽ trỏ về buffer, ta chỉ cần chèn shellcode vào buffer, sau đó tìm instruction “jmp eax” và overwrite vào RET

Bypass ASLRHeapspray :

– Thay vì return về Stack, với cơ chế của các browser ngày nay, ta có thể return về Heap

– Ta sẽ “spray” shellcode ở nhiều nơi trên Heap– Với kỹ thuật này, ta không cần quan tâm đến việc

encode shellcode vì tất cả character đã được “allow” bởi Javascript

DEP / NXCơ chế bảo vệ của OS

Nguyên tắc là OS sẽ mark các page memory là Non-Execution => Shellcode đặt trên Stack hay Heap đều không thể Execute

DEP / NXCơ chế bảo vệ của OS

Nguyên tắc là OS sẽ mark các page memory là Non-Execution => Shellcode đặt trên Stack hay Heap đều không thể Execute

Bypass DEP / NXReturn-to-glibc

– Section .text/.code luôn luôn được thực thi => thay vì trỏ về shellcode, ta có thể trỏ về các hàm trong glibc hay các instruction trong chính chương trình

– Có thể thực hiện chained return-to-glibc bằng cách kết hợp sử dụng POP-POP-RET

– Trên Windows, Cơ chế DEP cũ có thể dễ dạng bị disable bởi các Windows API “NtSetInformationProcess” thông qua kỹ thuật return-to-glibc

Permanent DEPPhiên bản improve của DEP

DEP không thể bị change (disable) sau khi thiết lập

Bypass Permanent DEPReturn Oriented Programing (ROP)

– Là kỹ thuật mở rộng của return-to-glibc– Dựa trên kỹ thuật return-to-glibc và “borrowed

code chunks” => Return về các instruction trong section text/code

– ESP sẽ là key (thay vì EIP)

Payload Already Inside:Data re-use for ROP Exploits – Long Le Dinh

Other Vulnerbility ?Format String (lỗi định dạng)

Integer Overflow (tràn số nguyên)– Bypass checking– Possible memory corruption

Race Condition

User-after-free

Format StringXuất phát từ việc sử dụng format string không đúng cách

print(“%d”,number);

print(number);

Khác nhau như thế nào ?

Format StringCho phép attack có thể “view” stack memory sử dụng %x

Cho phép attack có thể write value vào 1 arbitrary memory sử dụng %n

Format StringKhông có RET => Làm sao để chiếm control ?

– Overwrite section .dtors– Overwrite GOT table

Use-after-freeModern race condition for browser

Objects in memory– - Replacing objects in memory on the fly– - Replacing them with user-controlled strings

Use-after-freeExample : 1 class bao gồm 3 member và 3 method

Class vuln()

{– int number1, number2, number3;

– void func1() {…};

Use-after-freeTrên memory :

VTABLE ----> FPTR1 ----------> code

NUMBER1 FPTR2 ----------> code

NUMBER3

Use-after-freeNếu ta khởi tạo 2 instance của class đó :

b VTABLE ----> FPTR1 ----------> code

NUMBER3

a VTABLE ----> FPTR1 ----------> code

NUMBER3

Vtable overwriteKhi ta thực hiện :

– strcpy(b.number3, argv[1]);

– a.method2();

=> Nếu ta input dữ liệu lớn hơn size của number3 thì ta có thể overwrite lên các data khác

Use-after-freeBack to use-after-free :

– x = new ABC()

– y = clone(x)

– destroy(x)

– y.method2()

Use-after-freex = new ABC() :

– x VTABLE

– MEMBER1

– MEMBER2

– MEMBER3

– MEMBER4

Use-after-freey = clone(x) :

– y pointer -----> x VTABLE

– MEMBER1

– MEMBER2

– MEMBER3

– MEMBER4

Use-after-freedestroy(x)

y.method2() :– y VTABLE

– MEMBER1

– MEMBER2

– MEMBER3

– MEMBER4

Use-after-freeIdea : nếu ngay sau lúc destroy x, ta có thể input data vào (đủ nhanh) với đúng memory size của object x thì sẽ overwrite vtable object x thành công

– y pointer -----> 41414141

– AAAA

0day vs 1day VulnernablityReverse Engineering Patch for finding Vulnerability

Learning More ?Ebooks :

– The Art of Exploitation– The Shellcoder's Handbook: Discovering and

Exploiting Security Holes– Grey Hat Hacking - Ethical Hackers Handbook

– Nghệ thuật tận dụng lỗi phần mềm - NamNT

Sites :– https://www.corelan.be

– http://resources.infosecinstitute.com/

Learning More ?Training Courses

Wargames :– Online : http://www.overthewire.org/wargames/– Offline : exploit-exercises

Capture The Flag :– CSAW– HITB– Defcon– …

Exploit Listing SitesExploit-DB

Injector

CVE Details

Packetstorm

National Vulnerability Database

Common Weakness Enumberation

Any Questions ?

54Thank you very much !

SBC 2012 - Software Exploitation (Nguyễn Chấn Việt)

Documents

Transcript of SBC 2012 - Software Exploitation (Nguyễn Chấn Việt)

Nguyễn Trang - draft1(1).doc

Nhựa Việt Pháp Gỗ nhựa Nhựa Việt Pháp

SBC 2012 - Penetration Testting với Backtrack 5 (Nguyễn Phương Trường Anh + Nguyễn Hải Long)

Nguyễn Thị Việt Hà English Lecturer Tôn Đức Thắng University.

Company LOGO Geospatial Database Security Nguyễn Minh Nhật Nguyễn Ngọc Hương Thảo Lê Trần Hoài Thu Nguyễn Minh Nhật Nguyễn Ngọc Hương Thảo Lê Trần Hoài.

[Vietnam Mobile Day 2014] Touch the future of the web - Nguyễn Việt Anh – Country Manager - Opera Software ASA Norway

VIỆT NAM Régions des Centre et Sud Central and Southern regions French words by Jacques Nguyễn Hiếu Liêm (France) English words by Phan Văn Tú (Vietnam)

THIỀN - HỌC VIỆT - NAM An... · NGUYỄN-ĐĂNG-THỤC 3 " Am đạt thanh vân mạc, Môn khai vân thượng sàng, Dĩ can Long-Động nhật, Do xích Hổ khô bằng

Đại Nguyễn Tấn

Tech Talk #4 : Lessons from building backend for mobile app UBus - Nguyễn Việt Hà

Concussion (Minor Head Injury).Vi · Chấn động não (chấn thương đầu nhẹ) ở trẻ em- phần tiếp theo Concussion (Minor Head Injury) in Children - continued Page

Unit 12: The Asian Games Created by: Nguyễn Thị Thanh Mai Nguyễn Thị Quỳnh Trâm.

[Vietnam Mobile Day 2014] Gamification and Mobile Learning - Nguyễn Hữu Ân - Đồng Sáng Lập Tổ chức opensoure Việt Nam

Ấn phẩm quảng cáo của công ty - sejong-21c.com · Trụsởchính: Số158(Lầu 5) Nguyễn Xí, Phường 26, Quận Bình Thạnh, Thành PhốHồ Chí Minh, Việt

Formal Model for Simulations Instructor: DR. Lê Anh Ngọc Presented by – Group 6: 1. Nguyễn Sơn Hùng 2. Lê Văn Hùng 3. Nguyễn Xuân Hậu 4. Nguyễn Xuân Tùng.

Nguyễn Vũ Hưng: WorldBank Data Visualization

[Vietnam Mobile Day 2014] Touch the future of the web - Nguyễn Việt Anh - Country Manager - Opera Software ASA Norway

MEDIA CLIPPING · MEDIA CLIPPING 1 Event: ... medicine and blood service delivery: ... 12/07: Oriflame Việt Nam – 100-102 Nguyễn Văn Trỗi, ...

Hanoi - Calendar of events - Goethe-Institut · khoa học tại Việt Nam từ những năm 90 của thế kỉ trước, được hỗ trợ Hà Nội 56-58 Nguyễn Thái Học

OUR LADY OF LA VANG CATHOLIC CHURCH · 2018. 9. 15. · Sr. Tin Nguyễn, LHC Giáo Lý Thiếu Nhi &Thêm Sức, Giáo Lý Người Lớn RCIA-Việt, Ext. 207 Paola Flores Confirmation-