フォードを知らない、水に入ってはいけない。 パート2

今回は、printf関数についてお話します。 プログラムの脆弱性については誰もが耳にしましたが、printfのような機能は禁止されています。 ただし、これらの機能を使用しない方が良いことを知っておく必要があります。 そしてまったく別の-理由を理解する。 この記事では、printf関連プログラムの2つの古典的な脆弱性について説明します。 その後はハッカーになることはありませんが、コードを改めて確認してください。 突然、気づかないうちに同様の脆弱な機能を実装します。



やめて 読者を待って、通過しないでください。 私はあなたが単語printfを見たことを知っています。 そして、この記事の著者は、関数が渡された引数のタイプを制御しないことについて、今や平凡な話をすることになると確信しています。 いや！ 記事ではこれについてではなく、脆弱性について説明します。 読んでください。



前のメモはこちらです： パート1

はじめに

この行を見てください：

 printf（名前）; 

彼女はシンプルで無害なようです。 一方、プログラムを攻撃するために少なくとも2つの方法が隠されています。



この行があるデモから記事を始めましょう。 コードは奇妙に思えるかもしれません。 そうです。 後で攻撃するプログラムを書くのはそれほど簡単ではないことがわかりました。 ポイントは、コンパイラが生成する最適化です。 あまりにも単純なプログラムを作成すると、コンパイラーは、破壊するものがないようなコードを作成することがわかります。 データを保存するためにスタックではなくレジスタを使用し、関数などを埋め込みます。 コンパイラに十分な空きレジスタがなく、データをスタックにプッシュし始めるように、不必要なアクションとループを使用してコードを書くことができます。 残念ながら、この例は大きすぎてわかりにくいです。 これらすべてについて別の探偵小説を書くことはできますが、できません。



提示された例は、複雑さと、コンパイラが単純すぎて「何にも崩壊しない」ことを防ぐ必要性との妥協案です。 とにかく、私は少し助けました。 Visual Studio 2010で使用される最適化の種類の一部を無効にしました。最初に、/ GL（プログラム全体の最適化）スイッチが無効になりました。 次に、__ declspec（noinline）属性を使用しました。



このような長い紹介をおaびします。 プログラムコードの不器用さを明確にしたかったのです。 また、このコードをより適切に作成できるというトピックに関する議論をすぐに中止してください。 私はあなたができることを知っています。 ただし、同時にコードを短くすることはできないため、脆弱性を示すことができます。

デモ

Visual Studio 2010の完全なコードとプロジェクトはこちらから入手できます 。

  const size_t MAX_NAME_LEN = 60;
列挙型ErrorStatus {
   E_ToShortName、E_ToShortPass、E_BigName、E_OK
 };

 void PrintNormalizedName（const char * raw_name）
 {
  文字名[MAX_NAME_LEN + 1];
   strcpy（名前、raw_name）;

   for（size_t i = 0; name [i]！= '\ 0'; ++ i）
     name [i] = tolower（name [i]）;
   name [0] = toupper（name [0]）;

   printf（名前）;
 }

 ErrorStatus IsCorrectPassword（
   const char * universalPassword、
   BOOL＆retIsOkPass）
 {
  文字列名、パスワード。
   printf（ "Name："）;  cin >>名前;
   printf（ "パスワード："）;  cin >>パスワード;
   if（name.length（）<1）return E_ToShortName;
   if（name.length（）> MAX_NAME_LEN）return E_BigName;
   if（password.length（）<1）return E_ToShortPass;

   retIsOkPass = 
     universalPassword！= NULL &&
     strcmp（password.c_str（）、universalPassword）== 0;
   if（！retIsOkPass）
     retIsOkPass =名前[0] ==パスワード[0];

   printf（ "Hello、"）;
   PrintNormalizedName（name.c_str（））;

   return E_OK;
 }

 int _tmain（int、char * []）
 {
   _set_printf_count_output（1）;
   char universal [] = "_Universal_Pass_！";
   BOOL isOkPassword = FALSE;
   ErrorStatus status =
     IsCorrectPassword（ユニバーサル、isOkPassword）;
   if（status == E_OK && isOkPassword）
     printf（ "\ nPassword：OK \ n"）;
  他に
     printf（ "\ nPassword：ERROR \ n"）;
   0を返します。
 } 

_tmain（）関数は、IsCorrectPassword（）関数を呼び出します。 パスワードが正しい場合、またはマジックワード「_Universal_Pass_！」と一致する場合、プログラムは文字列「Password：OK」を表示します。 攻撃の目的は、プログラムがこの行を正確に表示するようにすることです。



IsCorrectPassword（）関数は、ユーザーにユーザー名とパスワードを要求します。 パスワードは、関数に渡されるマジックワードと一致する場合、正しいと見なされます。 パスワードの最初の文字が名前の最初の文字と一致する場合も正しいです。



正しいパスワードが入力されたかどうかに関係なく、プログラムはユーザーを歓迎します。 これを行うには、PrintNormalizedName（）関数が呼び出されます。



PrintNormalizedName（）関数には、すべての楽しみがあります。 その中に、説明されている「printf（name）;」があります。 この行を使用してプログラムをだます方法について考えてください。 方法がわかれば、さらに読むことはできません。



PrintNormalizedName（）関数は何をしますか？ 彼女は名前を印刷し、最初の文字を大文字にし、残りを小さくしています。 たとえば、「andREy2008」という名前を入力すると、「Andrey2008」と出力されます。

最初の攻撃

正しいパスワードがわからないとします。 しかし、どこか特定の魔法のパスワードがあることを知っています。 printf（）を使用して検索してみましょう。 このパスワードのアドレスがスタック上のどこかにある場合、成功する可能性があります。 このパスワードを画面に表示する方法はありますか？



ヒントをあげます。 printf（）関数は、可変数の引数を持つ関数ファミリーを参照します。 このような機能はこのように機能します。 任意の量のデータがスタックに書き込まれます。 printf（）関数は、スタックに書き込まれるデータの量とそのタイプを知りません。 書式文字列によってのみガイドされます。 「％d％s」が書き込まれている場合は、int型の1つの値と1つのポインターをスタックから抽出する必要があることを意味します。 printf（）関数は、渡された引数の数を知らないため、スタックをより深く覗き込み、それとは関係のないデータを出力できます。 原則として、これはアクセス違反またはゴミの印刷につながります 。 ただし、このゴミは使用できます。



printf（）関数を呼び出すと、スタックがどのように見えるかを考えてください。



図1.スタック上のデータの概略レイアウト。



関数呼び出し「printf（name）;」には、引数が1つだけあります。これはフォーマット文字列です。 これは、名前の代わりに「％d」を入力すると、スタックにあるデータをPrintNormalizedName（）関数の戻りアドレスに出力することを意味します。 試してみましょう：



名前：％d

パスワード：1

こんにちは37

パスワード：エラー



このアクションは無意味ですが。 少なくとも、最初に戻りアドレスと、スタックにもある文字名バッファ[MAX_NAME_LEN + 1];の内容全体を出力する必要があります。 そしてその後、おそらく、私たちは何か面白いものに到達します。



攻撃者がプログラムを逆アセンブルまたはデバッグする能力を持っていない場合、スタック上で何かを見つけるかどうかを理解することは困難です。 ただし、次のように動作します。



最初に「％s」と入力します。 次に、「％x％s」と入力します。 次に「％x％x％s」などを入力します。 このハッカーは、スタック上で順番にデータを反復処理し、それらを文字列として出力しようとします。 ここでは、スタック内のすべてのデータが、少なくとも4バイトの境界で整列されていることが役立ちます。



正直に言うと、このように振る舞うと、成功しません。 有用なものを何も印刷せずに、60文字の制限を超えます。 二重の値を印刷するための「％F」は、私たちの助けになります。 したがって、その助けを借りて、すぐに8バイトずつスタックに沿って移動できます。



そして、ここに彼女はいます-待望のライン：



％f％f％f％f％f％f％f％f％f％f％f％f％f％f％f％f％f％f％f％f％f％f％x（％s）



結果：



図2.パスワードの印刷。 画像をクリックして拡大します。



この行を魔法のパスワードとして試してみましょう。



名前：Aaa

パスワード：_Universal_Pass_！

こんにちは、Aaa

パスワード：OK



やった！ 私たちは個人データを見つけて表示することができましたが、プログラムはアクセスを許可しませんでした。 さらに、このためには、バイナリプログラムコード自体にアクセスする必要がないことに注意してください。 十分な熱意と忍耐。

最初の攻撃に関する結論

プライベートデータを取得する同様の方法をより広く検討する必要があります。 可変数の引数を持つ関数を含むプログラムを開発するときは、データがそれらを介して外部に漏れる可能性がある状況があるかどうかを考慮してください。 これには、ログファイル、ネットワーク経由で送信されたパケットなどがあります。



考慮されたケースでは、printf（）関数の入力が制御コマンドを含む可能性のある文字列を受け取るという事実により、攻撃が可能になりました。 これを回避するには、次のように記述するだけで十分です。

  printf（ "％s"、名前）; 

二度目の攻撃

printf（）がメモリを変更できることを知っていますか？ おそらく、あなたはそれについて読みましたが、忘れていました。 これは修飾子「％n」です。 これにより、指定したアドレスにprintf（）関数がすでに印刷した文字数を書き込むことができます。



正直なところ、％n指定子に基づく攻撃は純粋に歴史的なものです。 Visual Studio 2005以降では、「％n」を使用するオプションはデフォルトで無効になっています。 この攻撃を行うには、この修飾子を明示的に有効にする必要がありました。 魔法のアクションは次のとおりです。

  _set_printf_count_output（1）; 

より明確にするために、「％n」の使用例を示します。

  int i;
 printf（ "12345％n6789 \ n"、＆i）;
 printf（ "i =％d \ n"、i）; 

プログラム出力：



123456789

i = 5



スタック上の目的のポインターに到達する方法は既に学びました。 そして今、このポインタによってメモリを変更できるツールを手にしています。



もちろん、これを使用するのは不便です。 まず、一度に書き込むことができるのは4バイトのみです（int型のサイズ）。 大きな数字が必要な場合は、まずprintf（）関数で多くの文字を印刷する必要があります。 これを回避するには、％00u指定子が役立ちます。 指定子は、出力される現在のバイト数の値に影響します。 詳細は説明しません。



私たちの場合、すべてがよりシンプルです。 isOkPassword変数に0以外の値を書き込むだけで十分です。この変数のアドレスはIsCorrectPassword（）関数に渡されます。つまり、スタック上のどこかにあるということです。 変数が参照として渡されると混同しないでください。 低レベルでは、リンクは通常のポインターです。



IsCorrectPassword変数を変更できるようにする行は次のとおりです。



％f％f％f％f％f％f％f％f％f％f％f％f％f％f％f％f％f％f％f％f％f％f％f％n



修飾子 "％n"は、 "％f"などの修飾子を使用して出力される文字数を考慮しません。 したがって、「％n」の前にスペースを1つ入れて、値1をisOkPasswordに書き込みます。



私達は試みます：



図3.メモリへの書き込み。 画像をクリックして拡大します。



印象的？ しかし、それはすべてとは程遠い。 ほとんど任意のアドレスで録音できます。 出力行がスタック上にある場合、目的の文字に移動してアドレスとして使用できます。



たとえば、「xF8」、「x32」、「x01」、「x7F」のコードで連続した文字を含む行を書くことができます。 文字列にハードコードされた数値があり、これは値0x7F0132F8と同等であることがわかります。 最後に、修飾子 "％n"を配置します。 「％x」または他の修飾子を使用して、エンコードされた数値0x7F0132F8に到達し、このアドレスに印刷された文字数を書き込むことができます。 この方法には制限がありますが、それでも非常に興味があります。

2番目の攻撃に関する結論

第二種の攻撃は今ではほとんど不可能だと言えます。 ご覧のとおり、最新のライブラリでの「％n」指定子のサポートはデフォルトでオフになっています。 ただし、このタイプの脆弱性の素因となる独自の自家製メカニズムを作成できます。 外部から入力されたデータがメモリに何をどこに書き込むかを制御する場合は注意してください。



具体的には、この場合、次のように記述すれば、問題は再び発生しません。

  printf（ "％s"、名前）; 

一般的な結論

ここでは、脆弱性の2つの単純な例を検討します。 もちろん、もっとたくさんあります。 ここでは、それらを説明したり、少なくともリストしたりする試みは行いません。 この記事は、printf（名前）のような単純な構造でさえ危険な場合があることを示すことを計画していました。



これから重要な結論が得られます。 セキュリティの専門家でない場合は、彼らが書いているすべての推奨事項に従うことが最善です。 推奨事項の本質は、すべての脅威を単独で評価するには薄すぎます。 結局のところ、おそらくprintf（）は危険な関数だということを読んでいるでしょう。 しかし、私はこの記事を読んだ多くの人が最初にウサギの穴の深さについて学んだと確信しています。



潜在的に攻撃の標的となる可能性のあるアプリケーションを作成している場合は、非常に注意してください。 完全に無害なコードだと思うものには、脆弱性が含まれている可能性があります。 コードにキャッチが表示されない場合でも、キャッチされているわけではありません。



文字列関数の更新バージョンを使用するためのすべてのコンパイラガイドラインに従ってください。 これは、sprintfなどの代わりにsprintf_sを使用することを意味します。



さらに良いこと-一般に、文字列での低レベルの作業を拒否します。 これらの関数はC言語の遺産です。 現在、std :: stringがあります。 boost :: formatやstd :: stringstreamなど、文字列を形成する安全な方法があります。



PS結論を読んだ誰かが言った-「それはすでに明らかだった。」 しかし、正直に言ってください。 この記事を読む前に、printf（）がメモリに書き込むことができることを知っていましたか？ しかし、これは大きな脆弱性です。 少なくとも以前はそうでした。 今、他の人もいますが、それは劣らずsidなものです。