ecs 153 discussion section
play

ECS 153 Discussion Section April 6, 2015 1 What Well Cover Goal : - PowerPoint PPT Presentation

Mar 13, 2024 •235 likes •620 views

ECS 153 Discussion Section April 6, 2015 1 What Well Cover Goal : To discuss buffer overflows in detail Stack-based buffer overflows Smashing the stack: execution from the stack

  1. ECS ¡153 ¡Discussion ¡Section April ¡6, ¡2015 1

  2. What ¡We’ll ¡Cover Goal : – To ¡discuss ¡buffer ¡overflows ¡in ¡detail • Stack-­‑based ¡buffer ¡overflows – “Smashing ¡the ¡stack”: ¡execution ¡from ¡the ¡stack – ARC ¡(or ¡return-­‑to-­‑libc) ¡attacks; ¡ROP • Data-­‑based ¡buffer ¡overflows • Ways ¡to ¡avoid ¡and ¡detect ¡them 2

  3. What ¡They ¡Are • Traditionally ¡considered ¡as ¡a ¡technique ¡to ¡ have ¡your ¡code ¡executed ¡by ¡a ¡running ¡ program • Other, ¡less ¡examined ¡uses: – Overflow ¡data ¡area ¡to ¡alter ¡variable ¡values – Overflow ¡heap ¡to ¡alter ¡variable ¡values ¡or ¡return ¡ addresses – Execute ¡code ¡contained ¡in ¡environment ¡variables ¡ (not ¡fundamentally ¡different, ¡but ¡usually ¡stored ¡ on ¡stack) 3

  4. Process ¡Memory ¡Structure text data stack heap (instructions) 4

  5. Typical ¡Stack ¡Structure return ¡address processor ¡status ¡word stack ¡grows local ¡ local ¡ variable variable ¡ values values stack ¡shrinks 5

  6. Idea • Figure ¡out ¡what ¡buffers ¡are ¡stored ¡on ¡the ¡ stack • Write ¡a ¡small ¡machine-­‑language ¡program ¡to ¡ do ¡what ¡you ¡want ¡(exec ¡a ¡shell, ¡for ¡example) • Add ¡enough ¡bytes ¡to ¡pad ¡out ¡the ¡buffer ¡to ¡ reach ¡the ¡return ¡address • Alter ¡return ¡address ¡so ¡it ¡returns ¡to ¡the ¡ beginning ¡of ¡the ¡buffer – Thereby ¡executing ¡your ¡code ¡… 6

  7. In ¡Pictures gets local gets local variables variables other ¡return other ¡return state ¡info state ¡info after return ¡address address ¡of message of ¡ main input ¡buffer parameter ¡to program ¡to gets invoke ¡shell program ¡to input ¡buffer invoke ¡shell main local main local variables variables the ¡usual ¡stack the ¡stack ¡after ¡the ¡attack 7

  8. In ¡Words • Parameter ¡to ¡ gets (3) ¡is ¡a ¡pointer ¡to ¡a ¡buffer – Here, ¡buffer ¡is ¡256 ¡bytes ¡long • Buffer ¡is ¡local ¡to ¡caller, ¡hence ¡on ¡the ¡stack • Input ¡your ¡shell ¡executing ¡program – Must ¡be ¡in ¡machine ¡language ¡of ¡the ¡target ¡processor – 45 ¡bytes ¡on ¡a ¡Linux/i386 ¡PC ¡box – Pad ¡it ¡with ¡256 ¡– 45 ¡+ ¡4 ¡= ¡215 ¡bytes – Add ¡4 ¡bytes ¡containing ¡address ¡of ¡buffer • These ¡alter ¡the ¡return ¡address ¡on ¡the ¡stack 8

  9. Required • Change ¡return ¡address – Best: ¡you ¡know ¡how ¡many ¡bytes ¡the ¡return ¡ address ¡is ¡from ¡the ¡buffer – Approach: ¡pad ¡shell ¡code ¡routine ¡with ¡address ¡of ¡ beginning ¡of ¡buffer • If ¡not ¡sure, ¡put ¡NOPs ¡before ¡shell ¡code, ¡and ¡guess • Use ¡buffer ¡address ¡as ¡padding – Need ¡to ¡get ¡alignment ¡right, ¡though 9

  10. Also ¡Required • Machine ¡language ¡program ¡to ¡spawn ¡subshell (or ¡ whatever) ¡that ¡does ¡not ¡contain ¡either ¡a ¡newline ¡ or ¡a ¡NUL ¡(string ¡terminator) – If ¡string ¡loaded ¡by ¡standard ¡I/O ¡function ¡(like ¡ gets (3)), ¡ no ¡NULs ¡or ¡newlines ¡allowed – If ¡string ¡loaded ¡by ¡string ¡function ¡(like ¡ strcpy (3)), ¡no ¡ NULs allowed • strncpy terminates ¡on ¡NUL ¡as ¡well ¡as ¡length ¡… – Many ¡other ¡problems ¡(e.g., ¡buffer ¡may ¡be ¡massaged ¡ by ¡ tolower (), ¡so ¡can’t ¡contain ¡upper ¡case) 10

  11. Quick ¡Test • If ¡you ¡overflow ¡the ¡return ¡address ¡with ¡some ¡ fixed ¡character, ¡you ¡are ¡likely ¡to ¡load ¡that ¡ location ¡with ¡an ¡illegal ¡address • So, ¡enter ¡fixed ¡data ¡as ¡input ¡(or ¡as ¡arguments) – Usual ¡value ¡is ¡sequence ¡of ¡‘A’ ¡(0x41) • If ¡the ¡program ¡crashes, ¡you ¡probably ¡have ¡a ¡ stack ¡overflow – Go ¡look ¡at ¡the ¡stored ¡address ¡in ¡the ¡program ¡ counter; ¡if ¡it’s ¡0x41414141, ¡you ¡have ¡an ¡overflow 11

  12. Where ¡to ¡Put ¡Shell ¡Code • In ¡the ¡buffer – Get ¡address ¡by ¡running ¡ gdb , ¡ trace ¡ or ¡their ¡ilk • Need ¡access ¡to ¡system ¡of ¡same ¡type ¡as ¡attacked ¡system • Somewhere ¡else: ¡environment ¡list – Stored ¡in ¡standard ¡place ¡for ¡all ¡processes – Put ¡shell ¡code ¡in ¡last ¡environment ¡variable • Create ¡new ¡one – Calculate ¡and ¡supply ¡this ¡address 12

  13. Variations ¡on ¡a ¡Theme • Return-­‑to-­‑libc (arc ¡injection) ¡attack – Change ¡the ¡return ¡address ¡to ¡point ¡to ¡a ¡library, ¡or ¡ other ¡function • On ¡return ¡you ¡will ¡jump ¡to ¡that ¡routine – Set ¡up ¡the ¡stack ¡so ¡when ¡you ¡jump ¡to ¡that ¡ function, ¡it ¡looks ¡like ¡a ¡proper ¡function ¡call • Then ¡the ¡function ¡executes ¡… ¡under ¡ your control 13

  14. Return-­‑Oriented ¡Programmng (ROP) • Like ¡return-­‑to-­‑libc, ¡but ¡jump ¡to ¡code ¡ sequences ¡rather ¡than ¡function ¡entry ¡points – Sequence ¡terminates ¡with ¡a ¡return – Enough ¡of ¡these ¡sequences ¡in ¡standard ¡C ¡library ¡ to ¡form ¡a ¡simple ¡programming ¡language • Attack: ¡chain ¡these ¡together ¡using ¡the ¡stack ¡to ¡ handle ¡their ¡invocation – Sounds ¡complex, ¡but ¡can ¡be ¡made ¡simple 14

  15. Data ¡Segment ¡Buffer ¡Overflows • Can’t ¡change ¡return ¡address – Systems ¡prevent ¡crossing ¡data, ¡stack ¡boundary • Even ¡if ¡they ¡didn’t, ¡you ¡would ¡need ¡to ¡enter ¡a ¡pretty ¡long ¡ string ¡to ¡cross ¡from ¡data ¡to ¡stack ¡segment! • Change ¡values ¡of ¡other ¡critical ¡parameters – Variables ¡stored ¡in ¡data ¡area ¡control ¡execution, ¡file ¡ access • Can ¡change ¡binary ¡or ¡string ¡data ¡using ¡technique ¡ similar ¡to ¡that ¡of ¡stack ¡buffer ¡overflowing 15

  16. Example: ¡ login ¡ Problem • Program ¡stored ¡user-­‑typed ¡password, ¡hash ¡from ¡ password ¡file ¡in ¡two ¡adjacent ¡arrays • Algorithm – Obtain ¡user ¡name, ¡load ¡corresponding ¡hash ¡into ¡array – Read ¡user ¡password ¡into ¡array, ¡hash, ¡compare ¡to ¡ contents ¡of ¡hash ¡array • Attack – Generate ¡any ¡8 ¡character ¡password, ¡corresponding ¡ hash – When ¡asked ¡for ¡password, ¡enter ¡it, ¡type ¡72 ¡ characters, ¡then ¡type ¡corresponding ¡hash 16

  17. In ¡Pictures buffer ¡for buffer ¡for ¡cleartext password ¡(80 ¡bytes) hash ¡(13 ¡bytes) 0 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡79 ¡80 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ 92 store ¡hash ¡from load ¡password ¡buffer ¡from ¡0 ¡on /etc/passwd when given ¡login ¡name 17

  18. Requires • Knowing ¡what ¡data ¡structures ¡are, ¡and ¡where – Need ¡positions ¡with ¡respect ¡to ¡one ¡another – If ¡symbol ¡table ¡present, ¡use ¡ nm (1) • Knowing ¡what ¡data ¡structures ¡are ¡used ¡for – Use ¡the ¡source – Guess – Disassemble ¡the ¡code • Knowing ¡what ¡a ¡“good” ¡value ¡is – Good ¡for ¡the ¡attacker ¡and ¡bad ¡for ¡the ¡system 18

  19. Example: ¡The ¡ syslogd Bug • On ¡one ¡system, ¡ syslogd read ¡message ¡from ¡a ¡ socket – Does ¡not ¡use ¡ gets (), ¡so ¡no ¡overflow ¡at ¡the ¡read • Message ¡formatted ¡with ¡PID, ¡date, ¡ etc . – Used ¡ sprintf (3) ¡to ¡write ¡into ¡an ¡array ¡called ¡ line2 allocated ¡with ¡2048 ¡characters • This ¡array ¡for ¡ sprintf can ¡overflow 19

  20. The ¡Problem • In ¡the ¡3 ¡cases ¡we’ve ¡seen, ¡string ¡put ¡into ¡array ¡ without ¡being ¡checked ¡for ¡overflow – fingerd • If ¡ buf not ¡overflowed, ¡stack ¡uncorrupted ¡and ¡return ¡made ¡to ¡ main – login • If ¡ passwd not ¡overflowed, ¡hash ¡not ¡altered ¡and ¡correct ¡hash ¡used ¡ to ¡validate ¡password – syslogd • If ¡ line2 not ¡overflowed, ¡stack ¡uncorrupted ¡and ¡return ¡made ¡to ¡ caller 20

  21. Selective ¡Buffer ¡Overflow • Sets ¡particular ¡locations ¡rather ¡than ¡just ¡ overwriting ¡everything • Principles ¡are ¡the ¡same, ¡but ¡you ¡have ¡to ¡ determine ¡the ¡specific ¡locations ¡involved • Cannot ¡approximate, ¡as ¡you ¡could ¡for ¡general ¡ stack ¡overflow; ¡need ¡exact ¡address – Advantage: ¡it’s ¡fixed ¡across ¡all ¡invocations ¡of ¡the ¡ program, ¡whereas ¡a ¡stack ¡address ¡can ¡change ¡ depending ¡on ¡memory ¡layout, ¡input, ¡or ¡other ¡actions 21

  22. Sendmail Configuration ¡File • sendmail takes ¡debugging ¡flags ¡of ¡form ¡ flag.value – sendmail -­‑d7,102 ¡sets ¡debugging ¡flag ¡7 ¡to ¡value ¡102 • Flags ¡stored ¡in ¡array ¡in ¡data ¡segment • Name ¡of ¡default ¡configuration ¡file ¡also ¡stored ¡in ¡ array ¡in ¡data ¡segment – It’s ¡called ¡ sendmail.cf • Config file ¡contains ¡name ¡of ¡local ¡delivery ¡agent – Mlocal line; ¡usually ¡/bin/mail ¡… 22

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Discussion Researchers use the discussion to examine their work in the larger context of

Discussion Researchers use the discussion to examine their work in the larger context of

Providence University Discussion College of Management Discussion is usually the last major section of the report, followed by the list of references. In the discussion you step back and take a broad look at your findings and your

397 views • 4 slides
1 Interested in Memory Mgmt Only Some basic concepts Registers, Code segment, Program counter

1 Interested in Memory Mgmt Only Some basic concepts Registers, Code segment, Program counter

CS 242 Revised class schedule Scope, Function Calls and Storage Management Wed Oct 27 No lecture; discussion section during class time Midterm Exam 7-9PM Friday Oct 29 John Mitchell No discussion section Topics

224 views • 8 slides
Scope, Function Calls and Storage Management Friday Oct 17 No lecture; discussion section

Scope, Function Calls and Storage Management Friday Oct 17 No lecture; discussion section

CS 242 Revised class schedule Scope, Function Calls and Storage Management Friday Oct 17 No lecture; discussion section as usual Friday Oct 24 No section John Mitchell Monday Oct 27 Review section during class meeting

529 views • 8 slides
Download Worksheet 10 Please mute yourself when not asking questions CS 152: Discussion Section

Download Worksheet 10 Please mute yourself when not asking questions CS 152: Discussion Section

Download Worksheet 10 Please mute yourself when not asking questions CS 152: Discussion Section 11 Cache Coherence Albert Ou, Yue Dai 04/17/2020 Administrivia Lab 5 release postponed until Mon, April 20 Will be due on Mon, May 4 instead

426 views • 14 slides
CS 152: Discussion Section 7 Branch Predictor and VLIW Albert Ou, Yue Dai 03/013/2020

CS 152: Discussion Section 7 Branch Predictor and VLIW Albert Ou, Yue Dai 03/013/2020

CS 152: Discussion Section 7 Branch Predictor and VLIW Albert Ou, Yue Dai 03/013/2020 Administrivia Problem Set 3 due 10:30am on Mon, March 16 Lab 3 released today, due 10:30am on Mon, April 6 Midterm 1 scores are available on

379 views • 18 slides
PH296, Section 36 February 25, 2002 Discussion of: K. Kerr, M. Martin, and G. Churchill. (2000).

PH296, Section 36 February 25, 2002 Discussion of: K. Kerr, M. Martin, and G. Churchill. (2000).

PH296, Section 36 February 25, 2002 Discussion of: K. Kerr, M. Martin, and G. Churchill. (2000). Analysis of variance for gene expression microarray data. Journal of Computational Biology 7 (6): 819-837. S. Dudoit, Y.H. Yang, M. Callow, and T.

200 views • 18 slides
CS152: Discussion Section 1 Introduction / Microprogramming / Lab 1 Overview Albert Ou, Yue Dai

CS152: Discussion Section 1 Introduction / Microprogramming / Lab 1 Overview Albert Ou, Yue Dai

Welcome Arch vs arch Microcode Lab 1 Overview CS152: Discussion Section 1 Introduction / Microprogramming / Lab 1 Overview Albert Ou, Yue Dai Department of Electrical Engineering and Computer Sciences University of California, Berkeley

830 views • 32 slides
CPC Annual Meeting Discussion of Section 20.10.280, Infill Development 20.10.280 Infill

CPC Annual Meeting Discussion of Section 20.10.280, Infill Development 20.10.280 Infill

CPC Annual Meeting Discussion of Section 20.10.280, Infill Development 20.10.280 Infill development. apply to any property designated with an overlay designation to encourage redevelopment and infill development , the specific purposes of

417 views • 13 slides
What are the right abstractions for capturing programming and intent Discussion section Thursday

What are the right abstractions for capturing programming and intent Discussion section Thursday

What are the right abstractions for capturing programming and intent Discussion section Thursday Feb 12, 11:25-12:15 Capturing Intent Aaron Gember: Infer intent. Can you simply look at configurations or dataplane to extract intent. What

310 views • 8 slides
CSE 140 Discussion Section - Apr 09 14 Topics Consensus Theorem Shannons

CSE 140 Discussion Section - Apr 09 14 Topics Consensus Theorem Shannons

CSE 140 Discussion Section - Apr 09 14 Topics Consensus Theorem Shannons Expansion Truth Tables and Circuits Consensus Theorem In SOP form AB+BC+AC = AB+BC In POS form (A+B)(B+C)(A+C) = (A+B)(B+C) Proof of

460 views • 16 slides
Fermilab NORTH 0 20 20 40 1"=20'-0" 2/8/2019 6:57:50 PM 4850 LEVEL SCALE SC LE

Fermilab NORTH 0 20 20 40 1"=20'-0" 2/8/2019 6:57:50 PM 4850 LEVEL SCALE SC LE

SECTION 3 SECTION 4 SECTION 4 SECTION 6 SECTION 3 SECTION 6 SECTION 5 SECTION 2 SECTION 1 SECTION 2 SEE NOTE 6 10' - 9" (3.30m) 9' - 6" (2.90m) 9' - 6" (2.90m) 27' - 4" (8.35m) 198' - 4" (60.45m) 40' -

825 views • 28 slides
CS 152: Discussion Section 2 Pipelining Review Yue Dai, Albert Ou 02/07/2020 Administrivia PS1

CS 152: Discussion Section 2 Pipelining Review Yue Dai, Albert Ou 02/07/2020 Administrivia PS1

CS 152: Discussion Section 2 Pipelining Review Yue Dai, Albert Ou 02/07/2020 Administrivia PS1 due on Monday 10:30am ; solutions will be released next Friday PS2 will be released next Wednesday Lab 1 due on Wednesday, Feb 19th

470 views • 20 slides
Backpropagation TA: Yi Wen April 17, 2020 CS231n Discussion Section Slides credits: Barak

Backpropagation TA: Yi Wen April 17, 2020 CS231n Discussion Section Slides credits: Barak

Backpropagation TA: Yi Wen April 17, 2020 CS231n Discussion Section Slides credits: Barak Oshri, Vincent Chen, Nish Khandwala, Yi Wen Agenda Motivation Backprop Tips & Tricks Matrix calculus primer Agenda Motivation

1.38k views • 39 slides
CS 152: Discussion Section 6 Out-of-Order Execution Albert Ou, Yue Dai 03/06/2020 Administrivia

CS 152: Discussion Section 6 Out-of-Order Execution Albert Ou, Yue Dai 03/06/2020 Administrivia

CS 152: Discussion Section 6 Out-of-Order Execution Albert Ou, Yue Dai 03/06/2020 Administrivia Lab 2 due 10:30am on Mon, March 9 Problem Set 3 due 10:30am on Mon, March 16 Midterm 1 scores will be available on Gradescope on Wed,

622 views • 20 slides
4Q2009 Earnings Presentation Discussion of Forward-Looking Statements The information in this

4Q2009 Earnings Presentation Discussion of Forward-Looking Statements The information in this

4Q2009 Earnings Presentation Discussion of Forward-Looking Statements The information in this document contains forward-looking statements within the meaning of Section 27A of the Securities Act of 1933, as amended, and Section 21E of the

633 views • 31 slides
4Q2008 Earnings Presentation Discussion of Forward-Looking Statements The information in this

4Q2008 Earnings Presentation Discussion of Forward-Looking Statements The information in this

4Q2008 Earnings Presentation Discussion of Forward-Looking Statements The information in this release contains forward-looking statements within the meaning of Section 27A of the Securities Act of 1933, as amended, and Section 21E of the

912 views • 16 slides
Info formation Leaks Kyriakos Kyriakou kkyria16@cs.ucy.ac.cy University of Cyprus EPL 682:

Info formation Leaks Kyriakos Kyriakou kkyria16@cs.ucy.ac.cy University of Cyprus EPL 682:

Info formation Leaks Kyriakos Kyriakou kkyria16@cs.ucy.ac.cy University of Cyprus EPL 682: Advanced Security Topics 1 Ju Just st-in in-tim time Code Reuse On the effectiveness of Fine-Grained Address Space Layout Randomization Kevin Z.

1.82k views • 180 slides
15-213 Recitation: Attack Lab Jenna MacCarley 28 Sep 2015 Carnegie Mellon Reminder Bomb lab

15-213 Recitation: Attack Lab Jenna MacCarley 28 Sep 2015 Carnegie Mellon Reminder Bomb lab

Carnegie Mellon 15-213 Recitation: Attack Lab Jenna MacCarley 28 Sep 2015 Carnegie Mellon Reminder Bomb lab is due tomorrow! Attack lab is released tomorrow!! Carnegie Mellon Agenda Stack review Attack lab overview Phases

882 views • 19 slides
1 Changelog Corrections made in this version not in fjrst posting: 1 April 2017: slide 13: a few

1 Changelog Corrections made in this version not in fjrst posting: 1 April 2017: slide 13: a few

1 Changelog Corrections made in this version not in fjrst posting: 1 April 2017: slide 13: a few more %cs would be needed to skip format string part 1 OVER questions? 2 last time memory management problems two objects end up at same

965 views • 63 slides
CSC 2400: Computer Systems Stack Buffer Overflow Attacks Summary Invoking a function ! CALL

CSC 2400: Computer Systems Stack Buffer Overflow Attacks Summary Invoking a function ! CALL

CSC 2400: Computer Systems Stack Buffer Overflow Attacks Summary Invoking a function ! CALL : call the function ! RET : return from the instruction Stack Frame for a function call includes ! Function arguments ! Return address ! Local

576 views • 15 slides
Smart Card Attacks: Enter the Matrix Tiana Razafindralambo Guillaume Bouffard Julien

Smart Card Attacks: Enter the Matrix Tiana Razafindralambo Guillaume Bouffard Julien

Introduction Logical attacks Combined attacks Conclusion Smart Card Attacks: Enter the Matrix Tiana Razafindralambo Guillaume Bouffard Julien Iguchi-Cartigny Jean-Louis Lanet Smart Secure Devices (SSD) Team Xlim Labs Universit e

902 views • 53 slides
Introduction Buffer Overflows Buffer overflows were the most common form of security

Introduction Buffer Overflows Buffer overflows were the most common form of security

Introduction Buffer Overflows Buffer overflows were the most common form of security vulnerability in the 90s. Buffer overflows dominate in the area of remote network penetration vulnerabilities. CS 465 They represent one of the

651 views • 4 slides
History of Format String Attacks Format String Attacks

History of Format String Attacks Format String Attacks

History of Format String Attacks Format String Attacks First noted in 1990 as a result of fuzz testing on csh First used as an attack

488 views • 28 slides
Jump Over ASLR: Attacking Branch Predictors to Bypass ASLR Presentation by Eric Newberry and

Jump Over ASLR: Attacking Branch Predictors to Bypass ASLR Presentation by Eric Newberry and

Jump Over ASLR: Attacking Branch Predictors to Bypass ASLR Presentation by Eric Newberry and Youssef Tobah Paper by Dmitry Evtyushkin, Dmitry Ponomarev, and Nael Abu-Ghazaleh 1 Motivation Buffer overflow attacks modify the control flow of a

1.6k views • 17 slides

More recommend