книги хакеры / Защита_от_взлома_сокеты,_эксплойты,_shell_код_Фостер_Дж_

Для успешного написания эксплойта, направленного против переполнения буфера, нужно хорошо разбираться в методах отладки, архитектуре системы и организации памяти. Структура shell-кода в сочетании с ограничениями, накладываемыми конкретной уязвимостью, могут как затруднить, так и поспособствовать результативной работе эксплойта. Если другие данные в стеке или в куче уменьшают объем памяти, доступной shell-коду, то требуется оптимизировать shell-код в соответствии с задачей, стоящей перед атакующим. Знание того, как прочитать и модифицировать существующий shell-код или написать свой собственный, совершенно необходимо для практического создания эксплойтов.

Переполнение стека и затирание кучи когда-то были самыми серьезными проблемами при разработке программного обеспечения с точки зрения потенциального риска компрометации. Но теперь их место занимают более новые и трудные для обнаружения ошибки при работе с целыми числами. К этому классу относятся широкий спектр ошибок, в том числе несоответствие типов и ошибки умножения.

Обзор изложенного материала

Программирование сокетов и привязки

êпорту в эксплойтах

Параметр domain определяет метод коммуникации и для сокетов, использующих протоколы TCP/IP, чаще всего равен AF_INET.

Параметр sockfd – это дескриптор инициализированного сокета, возвращаемый функцией socket. Она обязательно должна вызываться перед попыткой установить соединение. Структура serv_addr содержит IP-адрес и порт получателя.

При написании эксплойтов иногда бывает необходимо установить обратное соединение и создать некое подобие сервера. Для реализации функций сервера нужны четыре функции: socket, bind, listen è accept.

Эксплойты для переполнения стека

Переполнение буфера, расположенного в стеке, на сегодня считается самой распространенной из ошибок, допускающих атаку с помощью эксплойта. В этом случае данные пишутся за пределами буфера, затирая стек, что приводит к непредсказуемому поведению и часто становится

причиной компрометации.

Эксплойты для затирания кучи

Куча – это область, из которой приложение выделяет память динами- чески, во время выполнения. Часто переполняются буферы, память для которых выделена из кучи, и эксплойты для таких ошибок пишутся иначе, чем для переполнений буфера в стеке.

В отличие от переполнения стека такие ошибки плохо воспроизводимы, и для их эксплуатации применяются различные приемы.

Приложение выделяет память из кучи по мере необходимости. Для этого применяется функция malloc(). Ей передается число требуемых байтов, а возвращает она указатель на выделенную область памяти.

Эксплойты для ошибок при работе с целыми числами

Переполнение целого числа возникает, когда в результате увеличения целое число достигает максимально допустимого значения и при переходе через него становится равным нулю, а затем принимает небольшие значения.

Переход через ноль происходит также в результате уменьшения небольшого целого числа, в результате чего оно начинает принимать большие значения.

Часто ошибки переполнения целого обнаруживаются в связи с функцией malloc, но проблема не связана ни с управлением памятью, ни конкретно с этой или вообще какой-то функцией из библиотеки LIBC.

Ссылки на сайты

www.applicationdefense.com. На сайте Application Defense имеется большая подборка бесплатных инструментов по обеспечению безопасности в дополнение к программам, представленным в этой книге.

www.immunitysec.com. Сайт Дейва Эйтеля (Dave Aitel), посвященный бесплатной библиотеке SPIKE для генерации случайных входных данных. Ее исходные тексты можно загрузить из раздела «Free Tools».

www.corest.com. Компания Core Security Technologies реализовала немало касающихся безопасности проектов с открытыми исходными тек-

стами, которые бесплатно предоставила в распоряжении сообщества

www.eeye.com. Прекрасный сайт, на котором детально описываются уязвимости на платформе Microsoft Windows и даются рекомендации по написанию эксплойтов.

www.idefense.com. Компания iDefense за прошедшие два года опубликовала свыше 50 отчетов о найденных уязвимостях. Отличный источник информации по этой теме.

Часто задаваемые вопросы

Следующие часто задаваемые вопросы, на которые отвечают авторы книги, призваны помочь вам оценить, насколько хорошо вы поняли идеи, изложенные в данной главе, и возможные их применения на практике. Если вы хотите задать авторам вопрос, зайдите на страницу www.syngress.com/solutions и заполните форму Ask the Author. Заодно вы получите доступ к тысячам других FAQов на сайте ITFAQnet.com.

Â: Если я пользуюсь системой защиты от вторжений (intrusion protection system – IPS) или такими утилитами, как stackguard, или заплатой, запрещающей исполнение команд, находящихся в стеке, могу ли я считать, что защищен от эксплойтов, атакующих уязвимости в моей системе?

Î: Нет. Эти системы действительно затрудняют написание эксплойтов, но не делают эту задачу неразрешимой. Кроме того, большая часть подобного рода бесплатных утилит мешают лишь эксплуатации уязвимостей, связанных с переполнением стека, но никак не препятствуют атакам на ошибки, связанные с затиранием кучи, и прочие.

Â: Какая операционная система самая безопасная?

Î: Не доказано, что какая-то из общедоступных операционных систем более безопасна, чем прочие. Некоторые производители заявляют, что их системы безопасны, но уязвимости в них все равно находят и закрывают (хотя не всегда сообщают об этом публично). Для других систем заплаты выходят почти каждую неделю, но зато они и подвергаются более пристальному вниманию хакеров.

Â: Если ошибки, связанные с переполнением буфера, и другие уязвимости известны уже так давно, то почему они все еще встречаются в приложениях?

Î: Хотя классические переполнения стека теперь уже не так часто встретишь в широко используемых программах, но не все разработчики знают об опасности, а те, кто знает, иногда все же допускают ошибки.

В 2003году насудобщественности был представлен новый инструментпод названием Metasploit Framework (MSF). Это первый бесплатный каркас для разработки эксплойтов, распространяемый с исходными текстами. В следующем после выпуска году MSF быстро стал одним из самых популярных продуктов в сфере информационной безопасности. Солидную репутацию MSF заслужил благодаря усилиям как основной группы разработчиков, так и сторонних авторов. Результатом их напряженного труда стало более 45 надежных эксплойтов для многих популярных операционных систем и приложений. Каркас Metasploit распространяется на условиях лизенций GNU GPL и «artistic». С каждой новой версией он пополняется новыми эксплойтами и передовыми функциями.

Мы начнем эту главу с обсуждения того, как Metasploit Framework можно использовать в качестве платформы для создания эксплойтов. Основное внимание будет уделено программе msfconsole – самому мощному и гибкому из трех имеющихся интерфейсов. Затем мы рассмотрим один из самых полезных аспектов Metasploit, о котором многие пользователи не знают, хотя он способен заметно сократить время разработки полнофункциональных эксплойтов, не требуя обширных предварительных знаний. Проследив за созданием эксплойта, направленного против реальной уязвимости в одном популярном Web-сервере с недоступными исходными текстами, читатель научится применять MSF для организации атаки на переполнение буфера. В этой главе мы объясним также, как интегрировать эксплойт непосредственно в каркас Metasploit на примере детального анализа уже проделанной работы. Не будут оставлены без внимания и детали функционирования ядра Metasploit. По ходу изложения у читателя будет возможность оценить преимущества каркасов для разработки эксплойтов.

Эта глава не рассчитана ни на новичков, ни на экспертов. Ее цель – продемонстрировать полезность инструментария, входящего в состав Metasploit, и навести мосты между теорией и практикой. Чтобы извлечь максимальную пользу из ее прочтения, желательно понимать теоретические основы атак на переполнение буфера и иметь хотя бы базовые навыки программирования.

Использование каркаса Metasploit Framework

Каркас Metasploit Framework написан на языке Perl и работает почти на любой UNIX-платформе, включая и эмулятор Cygwin для Windows. Каркас предоставляет на выбор три интерфейса пользователя: msfcli, msfweb è msfconsole.

эксплойта задаются в командной строке. Доступ к интерфейсу msfweb можно получить из Web-браузера, он может служить отличной средой для демонстрации уязвимостей. Консоль msfconsole – это интерактивная графическая оболочка, наиболее удобная для разработки эксплойтов.

Примечание

Все интерфейсы к Metasploit построены на базе единого API, экспор тируемого ядром. API легко расширяется на любое средство комму никации, например, IRC чаты, в этом случае интерфейс мог бы стать идеальной средой для коллективной работы и обучения. Такой ин терфейс уже разработан, хотя официально еще не выпущен. Ходят слухи, что в разработке находится также интерфейс для Интернет пейджеров.

Интерактивный командный интерфейс msfconsole предоставляет набор команд, с помощью которых пользователь может задать параметры как самого каркаса, так и эксплойта, и в конечном итоге запустить эксплойт. Нераспознанные команды передаются операционной системе, так что можно, не покидая оболочки, выполнять различные вспомогательные утилиты. Мы продемонстрируем работу с msfconsole на примере разработки эксплойта для Web-сервера IIS 4.0 на платформе Windows NT с установленным пакетом обновлений Service Pack 5.

На рис. 12.1 показано справочное меню, которое можно вызвать в любой момент нажав клавишу ? или набрав команду help.

Рис. 12.1. Справочное меню msfconsole