aeg automa c exploit genera on
play

AEG: Automa+c Exploit Genera+on Thanassis Avgerinos, Sang - PowerPoint PPT Presentation

Jun 22, 2023 •186 likes •729 views

AEG: Automa+c Exploit Genera+on Thanassis Avgerinos, Sang Kil Cha, Brent Lim Tze Hao, David Brumley 2/8/11 Carnegie Mellon University 1

  1. AEG: ¡Automa+c ¡Exploit ¡Genera+on ¡ Thanassis ¡Avgerinos, ¡ ¡ Sang ¡Kil ¡Cha, ¡ ¡ Brent ¡Lim ¡Tze ¡Hao, ¡ ¡ David ¡Brumley ¡ 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 1 ¡

  2. The ¡iwconfig ¡vulnerability ¡ 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 2 ¡

  3. iwconfig: ¡setuid ¡wireless ¡config ¡ 1 int get_info(int skfd, char * ifname, …){ 2 ... Inputs triggering bug: 3 if(iw_get_ext(skfd, ifname, SIOCGIWNAME, &wrq) < 0) length(argv[1]) > sizeof(ifr_name) 4 { 5 struct ifreq ifr; struct ifreq { 6 strcpy(ifr.ifr_name, ifname); char ifr_name[32] 7 } … } 8 print_info(int skfd, char *ifname,…){ 9 ... 10 get_info(skfd, ifname, …); 11 } Can you spot 12 main(int argc, char *argv[]){ the bug? 13 ... 14 print_info(skfd, argv[1], NULL, 0); 15 } 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 3 ¡

  4. Is ¡it ¡exploitable? ¡ • (Fundamental ¡ques+on ¡in ¡our ¡work) ¡ 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 4 ¡

  5. get_info ¡stack ¡frame ¡ 1 int get_info(int skfd, char * ifname, …){ Return ¡address ¡ 2 ... 3 if(iw_get_ext(skfd, ifname, SIOCGIWNAME, &wrq) < 0) … ¡ 4 { 5 struct ifreq ifr; < ¡locals ¡> ¡ 6 strcpy(ifr.ifr_name, ifname); … ¡ 68 ¡ 7 } bytes ¡ ¡ 8 print_info(int skfd, char *ifname,…){ ¡ 9 ... ifr.ifr_name ¡ 10 get_info(skfd, ifname, …); 11 } 12 main(int argc, char *argv[]){ 13 ... Memory ¡Layout ¡ 14 print_info(skfd, argv[1], NULL, 0); 15 } 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 5 ¡

  6. get_info ¡stack ¡frame ¡ 1 int get_info(int skfd, char * ifname, …){ Return ¡address ¡ 2 ... 3 if(iw_get_ext(skfd, ifname, SIOCGIWNAME, &wrq) < 0) … ¡ 4 { 5 struct ifreq ifr; < ¡locals ¡> ¡ 6 strcpy(ifr.ifr_name, ifname); … ¡ 68 ¡ 7 } bytes ¡ ¡ 8 print_info(int skfd, char *ifname,…){ ¡ 9 ... ifr.ifr_name ¡ 10 get_info(skfd, ifname, …); 11 } 12 main(int argc, char *argv[]){ 13 ... Memory ¡Layout ¡ 14 print_info(skfd, argv[1], NULL, 0); 15 } 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 6 ¡

  7. get_info ¡stack ¡frame ¡ 1 int get_info(int skfd, char * ifname, …){ Return ¡address ¡ 2 ... 3 if(iw_get_ext(skfd, ifname, SIOCGIWNAME, &wrq) < 0) … ¡ 4 { 5 struct ifreq ifr; < ¡locals ¡> ¡ 6 strcpy(ifr.ifr_name, ifname); … ¡ 68 ¡ 7 } bytes ¡ User ¡ ¡ 8 print_info(int skfd, char *ifname,…){ ¡ Input ¡ 9 ... ¡ 10 get_info(skfd, ifname, …); ifr.ifr_name ¡ 11 } 12 main(int argc, char *argv[]){ 13 ... Memory ¡Layout ¡ 14 print_info(skfd, argv[1], NULL, 0); 15 } 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 7 ¡

  8. get_info ¡stack ¡frame ¡ 1 int get_info(int skfd, char * ifname, …){ Return ¡address ¡ 2 ... 3 if(iw_get_ext(skfd, ifname, SIOCGIWNAME, &wrq) < 0) ¡ 4 { 5 struct ifreq ifr; ¡ 6 strcpy(ifr.ifr_name, ifname); User ¡ ¡ 68 ¡ 7 } Input ¡ bytes ¡ ¡ 8 print_info(int skfd, char *ifname,…){ ¡ 9 ... ¡ 10 get_info(skfd, ifname, …); ifr.ifr_name ¡ 11 } 12 main(int argc, char *argv[]){ 13 ... Memory ¡Layout ¡ 14 print_info(skfd, argv[1], NULL, 0); 15 } 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 8 ¡

  9. get_info ¡stack ¡frame ¡ 1 int get_info(int skfd, char * ifname, …){ 2 ... 3 if(iw_get_ext(skfd, ifname, SIOCGIWNAME, &wrq) < 0) ¡ 4 { User ¡ 5 struct ifreq ifr; ¡ 6 strcpy(ifr.ifr_name, ifname); ¡ Input ¡ 68 ¡ 7 } bytes ¡ ¡ 8 print_info(int skfd, char *ifname,…){ ¡ 9 ... ¡ 10 get_info(skfd, ifname, …); ifr.ifr_name ¡ 11 } 12 main(int argc, char *argv[]){ 13 ... Memory ¡Layout ¡ 14 print_info(skfd, argv[1], NULL, 0); 15 } 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 9 ¡

  10. Automa+c ¡Exploit ¡Genera+on ¡ Given ¡program, ¡find ¡bugs ¡and ¡demonstrate ¡exploitability ¡ 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 10 ¡

  11. DEMO ¡ 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 11 ¡

  12. Automa+c ¡Exploit ¡Genera+on ¡ Given ¡program, ¡find ¡bugs ¡and ¡demonstrate ¡exploitability ¡ Rest ¡of ¡the ¡talk ¡ ¡ • Our ¡problem ¡defini+on ¡and ¡scope ¡ • Techniques ¡and ¡challenges ¡ • Results ¡and ¡discussion ¡ 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 12 ¡

  13. Problem ¡Domain ¡ All ¡Inputs ¡ length(input) ¡> ¡sizeof(ifr_name) ¡ (Bugs) ¡ Control ¡ length(input) ¡> ¡sizeof(ifr_name) ¡ Hijack ¡ Λ ¡ “execute ¡shellcode” ¡ AEG ¡ 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 13 ¡

  14. The ¡goal ¡ AEG ¡ Exploits ¡ Prog ¡ Bug ¡ Exploit ¡ Compile ¡ Finder ¡ Generator ¡ 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 14 ¡

  15. Our ¡Approach ¡ Bugs ¡ Vulnerability ¡ Exploit ¡ Exploits ¡ Prog ¡ Genera+on ¡ Discovery ¡ Dynamic ¡ Symbolic ¡ Binary ¡ Execu+on ¡on ¡ Analysis ¡ source ¡code ¡ 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 15 ¡

  16. Vulnerability ¡ Discovery ¡ Technique: ¡ ¡ Symbolic ¡Execu+on ¡on ¡source ¡code ¡ Goal: ¡Discover ¡the ¡“buggy” ¡predicate ¡ 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 16 ¡

  17. Symbolic ¡Execu+on: ¡How ¡it ¡works ¡ x ¡is ¡input ¡ x ¡can ¡be ¡anything ¡ char ¡buf[42]; ¡ Buggy ¡Path ¡ Predicate ¡ (x ¡> ¡0) ¡ if ¡x ¡> ¡0 ¡ t ¡ f ¡ if ¡x*x ¡= ¡0x42424242 ¡ (x ¡> ¡0) ¡Λ ¡(x*x ¡= ¡0x42424242) ¡ t ¡ f ¡ buf[45] ¡= ¡x; ¡ Bug! ¡ 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 17 ¡

  18. Tradi+onal ¡symbolic ¡execu+on: ¡ ¡ cover ¡all ¡paths ¡ ¡ (Slow ¡to ¡find ¡exploitable ¡bugs) ¡ 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 18 ¡

  19. Tradi+onal ¡Symbolic ¡Execu+on ¡ strcpy(ifr_name, ¡ifname); ¡ If ¡ ¡(ifname[0] ¡!= ¡0) ¡ ¡ t ¡ f ¡ If ¡ ¡(ifname[1] ¡!= ¡0) ¡ ¡ for ¡(i ¡= ¡0 ¡; ¡ifname[i] ¡!= ¡0 ¡; ¡i++) ¡ t ¡ f ¡ ¡ ¡ ¡ ¡ifr_name[i] ¡= ¡ifname[i]; ¡ ifr_name[i] ¡= ¡0; ¡ … ¡ If ¡ ¡(ifname[n] ¡!= ¡0) ¡ ¡ t ¡ f ¡ 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 19 ¡

  20. Tradi+onal ¡Symbolic ¡Execu+on ¡ If ¡ ¡(ifname[0] ¡!= ¡0) ¡ ¡ t ¡ f ¡ If ¡ ¡(ifname[1] ¡!= ¡0) ¡ ¡ t ¡ f ¡ 20 ¡min ¡ explora+on ¡ … ¡ 30 ¡min ¡ If ¡ ¡(ifname[n] ¡!= ¡0) ¡ ¡ explora+on ¡ t ¡ f ¡ KLEE ¡[Cadar’08] ¡does ¡ ¡ Exploitable ¡ x ¡min ¡ Bug ¡found ¡ this ¡ explora+on ¡ 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 20 ¡

  21. Tradi+onal ¡symbolic ¡execu+on: ¡ ¡ cover ¡all ¡paths ¡ ¡ (Slow ¡to ¡find ¡exploitable ¡bugs) ¡ Our ¡Intui+on ¡for ¡Exploit ¡ Genera+on: ¡ ¡ only ¡explore ¡buggy ¡paths ¡(Fast) ¡ 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 21 ¡

  22. Insight: ¡ Precondi)on ¡Symbolic ¡Execu)on ¡ to ¡only ¡(likely) ¡exploitable ¡paths ¡ All ¡Inputs ¡ Bugs ¡ Precondi+on ¡ length(input) ¡> ¡n ¡ ¡ Control ¡ where ¡n ¡is ¡the ¡size ¡of ¡ Hijack ¡ the ¡smallest ¡buffer ¡ 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 22 ¡

  23. AEG: ¡Precondi+oned ¡Symbolic ¡Execu+on ¡ Unsa+sfiable ¡ Precondi+on ¡Check: ¡ If ¡ ¡(ifname[0] ¡!= ¡0) ¡ ¡ ¡ t ¡ f ¡ length(input) ¡> ¡n ¡ ¡ Unsa+sfiable ¡ Λ ¡ If ¡ ¡(ifname[1] ¡!= ¡0) ¡ ¡ ifname[0] ¡== ¡0 ¡ t ¡ f ¡ Not ¡explored. ¡ Precondi+on ¡Check: ¡ Saved ¡20 ¡min ¡ … ¡ ¡ length(input) ¡> ¡n ¡ ¡ Not ¡explored. ¡ Λ ¡ If ¡ ¡(ifname[n] ¡!= ¡0) ¡ ¡ Saved ¡30min ¡ Ifname[1] ¡== ¡0 ¡ t ¡ f ¡ Not ¡ Exploitable ¡ explored. ¡ Bug ¡found ¡ Saved ¡x ¡min ¡ 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 23 ¡

  24. How ¡to ¡select ¡the ¡length? ¡ • Lightweight ¡sta+c ¡analysis: ¡use ¡the ¡size ¡of ¡the ¡ largest ¡sta+cally ¡allocated ¡buffer ¡ • Allowed ¡AEG ¡to ¡fully ¡automa+cally ¡detect ¡10 ¡ of ¡the ¡16 ¡exploits ¡ 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 24 ¡

  25. Second ¡Insight ¡ Not ¡all ¡paths ¡are ¡equally ¡likely ¡to ¡be ¡exploitable ¡ 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 25 ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Automa'c Genera'on Control Using Ar'ficial Neural Networks By-

Automa'c Genera'on Control Using Ar'ficial Neural Networks By-

Automa'c Genera'on Control Using Ar'ficial Neural Networks By- Harkirat Singh Choong Introduc'on What is Automa'c Genera'on Control (AGC)? There is

736 views • 47 slides
Automa;c Rules Genera;on for CEP G. Cugola E. Della

Automa;c Rules Genera;on for CEP G. Cugola E. Della

Stream and Complex Event Processing Learning From the Past Automa;c Rules Genera;on for CEP G. Cugola E. Della Valle A. Margara

281 views • 26 slides
Automa'c Genera'on Control using Intelligent Controllers Harkirat

Automa'c Genera'on Control using Intelligent Controllers Harkirat

Automa'c Genera'on Control using Intelligent Controllers Harkirat Singh Choong Fuzzy Logic Fuzzy Logic paper by Prof. LoCi Zadeh, faculty in

472 views • 18 slides
New England Electricity Restructuring Roundtable November 21,

New England Electricity Restructuring Roundtable November 21,

Next Genera*on Demand Response: Responsive Demand through Automa*on and Variable Pricing New England Electricity Restructuring Roundtable November 21, 2014

494 views • 7 slides
ATCA Automa*on Jamie Stevens | ATCA Senior Systems

ATCA Automa*on Jamie Stevens | ATCA Senior Systems

ATCA Automa*on Jamie Stevens | ATCA Senior Systems Scien1st / Lead Scien1st 2 June 2015 ASTRONOMY AND SPACE SCIENCE ATCA Automa*on

266 views • 7 slides
Zero Exploit Tolerance By Jamie Butler and Cody Pierce Confidential and Proprietary Who we are

Zero Exploit Tolerance By Jamie Butler and Cody Pierce Confidential and Proprietary Who we are

Zero Exploit Tolerance By Jamie Butler and Cody Pierce Confidential and Proprietary Who we are The exploit problem Modern software vulnerabilities Hardware-assisted exploit Agenda prevention Prior research

674 views • 45 slides
The Gender Equality Network in Physics in the European Research Area (GENERA) in Physics Day

The Gender Equality Network in Physics in the European Research Area (GENERA) in Physics Day

The Gender Equality Network in Physics in the European Research Area (GENERA) in Physics Day in Geneva Objectives of the day teresa.montaruli@unige.ch and tessa.carver@unige.ch 1 What is GENERA? GENERA is a project from physics

475 views • 22 slides
Li#ing Off: Our Ini-al Product and Our Next Genera-on

Li#ing Off: Our Ini-al Product and Our Next Genera-on

Li#ing Off: Our Ini-al Product and Our Next Genera-on Ideas Tom Deyo, CEO and Bonnie Norman and Bob Sahadi of Board of Directors What are we covering today?

297 views • 18 slides
Towards Automa-c Topical Classifica-on of LOD Datasets

Towards Automa-c Topical Classifica-on of LOD Datasets

Towards Automa-c Topical Classifica-on of LOD Datasets Robert Meusel 1 , Blerina Spahiu 2 , Chris7an Bizer 1 , Heiko Paulheim 1 1. University of

307 views • 13 slides
Automa'c design of digital synthe'c gene circuits Mario A. Marchisio and Joerg Stelling

Automa'c design of digital synthe'c gene circuits Mario A. Marchisio and Joerg Stelling

Automa'c design of digital synthe'c gene circuits Mario A. Marchisio and Joerg Stelling Department of Biosystems Science and Engineering ETH Zurich Anaheim, 15/06/10 Summary Automa'c gene circuit design: the problem. The Karnaugh map

534 views • 16 slides
aka Der Hacker und die 7 Geilein 27/03/2018 // Exploit Development for Dummies

aka Der Hacker und die 7 Geilein 27/03/2018 // Exploit Development for Dummies

Ein Blick in die Hexenkche der Exploit Entwickler aka Der Hacker und die 7 Geilein 27/03/2018 // Exploit Development for Dummies https://www.bee-itsecurity.at // Page 2 27/03/2018 // Exploit Development for Dummies

613 views • 48 slides
Automa'c Radiometric Calibra'on from Mo'on Images Ricardo R.

Automa'c Radiometric Calibra'on from Mo'on Images Ricardo R.

Automa'c Radiometric Calibra'on from Mo'on Images Ricardo R. Figueroa Assistant Professor, Mo'on Picture Science GCCIS Part-'me PhD Student Jinwei Gu,

232 views • 20 slides
Q: Exploit Hardening Made Easy Edward J. Schwartz, Thanassis Avgerinos, and David Brumley

Q: Exploit Hardening Made Easy Edward J. Schwartz, Thanassis Avgerinos, and David Brumley

Q: Exploit Hardening Made Easy Edward J. Schwartz, Thanassis Avgerinos, and David Brumley Carnegie Mellon University 8/15/2011 1 Downloading Exploits I found a Exploit control flow hijack exploit online! Evil Ed Windows 7 8/15/2011 2

837 views • 58 slides
The Impact of Automa/on on the Demand for Skills and

The Impact of Automa/on on the Demand for Skills and

The Impact of Automa/on on the Demand for Skills and Poten/al Educa/on Systems Responses David H. Autor, MIT and NBER Roundtable on Educa/on

461 views • 43 slides
Automa'c Methods for Coding Historical Occupa'on Descrip'ons to

Automa'c Methods for Coding Historical Occupa'on Descrip'ons to

Automa'c Methods for Coding Historical Occupa'on Descrip'ons to Standard Classifica'ons Graham Kirby, Jamie Carson, Fraser Dunlop, Chris Dibben, Alan Dearle, Lee

819 views • 52 slides
------------ GOOD LUCK ON THE EXAM ----------------- 1) In Buffer Overflow exploit, which of the

------------ GOOD LUCK ON THE EXAM ----------------- 1) In Buffer Overflow exploit, which of the

------------ GOOD LUCK ON THE EXAM ----------------- 1) In Buffer Overflow exploit, which of the following registers gets overwritten with return address of the exploit code? A. EIP B. ESP C. EAP D. EEP Ans: A 2)Which type of scan does not

431 views • 18 slides
Runtime Considerations Were moving towards actually producing target code. This means we need

Runtime Considerations Were moving towards actually producing target code. This means we need

10/29/2012 Runtime Considerations Were moving towards actually producing target code. This means we need to consider the runtime actions of the program. CS 1622: Runtime support: Functions and local variable storage Activation

160 views • 4 slides
Virtual machines COMP 520 Fall 2012 Virtual machines (2) Compilation and execution modes of

Virtual machines COMP 520 Fall 2012 Virtual machines (2) Compilation and execution modes of

COMP 520 Fall 2012 Virtual machines (1) Virtual machines COMP 520 Fall 2012 Virtual machines (2) Compilation and execution modes of Virtual machines: Abstract syntax trees AOT-compile Interpreter Virtual machine code

662 views • 40 slides
Runtime - Variables Storage and Access of Variables Three types of data memory (variables)

Runtime - Variables Storage and Access of Variables Three types of data memory (variables)

Todays Topic Runtime - Variables Storage and Access of Variables Three types of data memory (variables) Globals , locals , and dynamic/heap (new) Focus on first two for now How does compiler manage allocation of, reading of, and

565 views • 10 slides
ROP, heap attacks, CFI, integer overflows Nadia Heninger and Deian Stefan Some slides adopted

ROP, heap attacks, CFI, integer overflows Nadia Heninger and Deian Stefan Some slides adopted

CSE 127: Computer Security ROP, heap attacks, CFI, integer overflows Nadia Heninger and Deian Stefan Some slides adopted from Kirill Levchenko, Stefan Savage, Stephen Checkoway, Hovav Shacham, Raluca Popal, and David Wagner Review: calling and

1.43k views • 121 slides
From exit to set-does&gt; A Story of Gforth Re-Implementation M. Anton Ertl, TU Wien Bernd

From exit to set-does&gt; A Story of Gforth Re-Implementation M. Anton Ertl, TU Wien Bernd

From exit to set-does&gt; A Story of Gforth Re-Implementation M. Anton Ertl, TU Wien Bernd Paysan, net2o [] exit execute Exit not tickable in Gforth 0.7 Standard-conforming, but Several complaints over the years Traditionally

594 views • 14 slides
61A Lecture 14 Please RSVP on Piazza! Friday, October 4 Guest lecture on Wednesday 10/9,

61A Lecture 14 Please RSVP on Piazza! Friday, October 4 Guest lecture on Wednesday 10/9,

Announcements Homework 4 due Tuesday 10/8 @ 11:59pm. Project 2 due Thursday 10/10 @ 11:59pm. Guerrilla Section 2 this Saturday 10/5 &amp; Sunday 10/6 10am-1pm in Soda. Topics: Data abstraction, sequences, and non-local assignment.

174 views • 3 slides
Local definitions and lexical scope Readings: HtDP , Intermezzo 3 (Section 18). Language level:

Local definitions and lexical scope Readings: HtDP , Intermezzo 3 (Section 18). Language level:

Local definitions and lexical scope Readings: HtDP , Intermezzo 3 (Section 18). Language level: Intermediate Student Topics: Motivating local definitions Semantics of local Reasons to use local Terminology Motivation Semantics Reasons

302 views • 14 slides
Evaluating State and Local Business Incentives Cailin Slattery, Columbia GSB Owen Zidar,

Evaluating State and Local Business Incentives Cailin Slattery, Columbia GSB Owen Zidar,

Evaluating State and Local Business Incentives Cailin Slattery, Columbia GSB Owen Zidar, Princeton &amp; NBER Brookings Municipal Finance Conference July 14, 2020 Motivation State and local governments spend billions of dollars each year on

558 views • 38 slides

More recommend