Groupe 7: Remote Buffer Overflow. Attaque sur lpd, démon de l’imprimante. Berteletti Elia, ELEC23 Bodart Jerome, INFO 23 Depoterre Jean-Charles, INFO23.

Slides:



Advertisements
Présentations similaires
Chap. 4 Recherche en Table
Advertisements

SSTIC 2004 Gaël Delalleau Zencom Secure Solutions Mesure locale des temps d'exécution : application.
simulateur de réseau de machines UML connectées par WiFi mode ad-hoc
Vérification d ’une compensation astigmate avec les cylindres croisés par retournement (CCR) CCR Paul JEAN.
Systèmes d'exploitations Les redirections d'entrées/sorties GRARI Mounir ESTO Année 2011.
Révision Avant lintra – Architecture de lordinateur, les composants, le fonctionnement, codage – Système dexploitation: organisation des données (fichier),
Common Gateway Interface
Power Point 2e étape District 3 Octobre 2007 Brigitte Long
Programmation orientée objet
Techniques Internet de Base Licence 2 (Info, Maths, PC/PA) Université Jean Monnet Ruggero G. PENSA
Scanning.
Architecture Réseau Modèle OSI et TCP.
par Bernard Maudhuit Anne-Marie Droit
Logiciels.
Parcours d ’accommodation Paul JEAN
Course Critique Race Condition
Le protocole FTP.
Gestion de Fichiers Arbres B.
Comment former le… Le Passé composé.
Mais en mathématiques, qu'est ce qu'une ligne de niveau?
Test et débogage Tests unitaires. Gestion d’erreurs. Notion d’état, de pré-condition et de post-condition. Assertion. Traces de programme. Débogueur et.
La DEL Fonctionnement de la DEL
Test dun Réseau sur puce générique (generic Network on Chip) Présenté par: David Bafumba-Lokilo & Silvio Fornera.
Formation Movie-Maker C.A.H.M Présentation Movie-Maker permet de faire un montage vidéo. Il est possible de lire dans la section "Conseils.
RE161 IDS : Intrusion Detection System Le trafic habituel qui entre dans votre réseau sert à : Résoudre des requêtes DNS Accéder à des pages web La messagerie.
IDS / IPS Réalisée par : Aissa Marwa Allouche Awatef Filali Sameh
Test d ’un système de détection d ’intrusions réseaux (NIDS)
Snort Présentation : Franck OLLIVE.
La flottabilité Niveau 1.
Audit de réseau. Audit réseau Responsable : Jean-François RODRIGUEZ Objectif : tester les failles d’une machine ou d’un réseau Outil : nessus Audit réseau.
Analyse d’une attaque contre le systeme LPRng (groupe 7) - La vulnerabilite des format strings - Qu’est ce qu’une attaque de format strings? - Comment.
L’attaque DNS Spoofing
Denial of Service and Distributed Denial of Service
User Datagram Protocol
Exemples complexes Impression à partir d’autres applications (non-windows) On doit imprimer des étiquettes avec des contenus variables automatiquement.
 Avant de mettre en œuvre le logiciel il faut préparer les images nécessaires et les fichiers son. Pour les images, utiliser Picasa pour créer un album.
Séminaire INGI 2591 Attaques Web Accardo Nicolas Blerot Olivier Couvreur Pascal Depry Fabian.
Buffer Overflow When Data Become Instructions Vendredi, 1er mars 2002 : Sart-Tilman.
Généralités sur les réseaux de transmission de données numériques
REPRESENTATION DE L’INFORMATION
420-B63 Programmation Web Avancée Auteur : Frédéric Thériault 1.
Back Orifice Scénario en 3 étapes - Préparation & envoi - Infection & Installation - Prise de contrôle - Détections Possibles - Net-Based - Host-Based.
Auvray Vincent Blanchy François Bonmariage Nicolas Mélon Laurent
Configuration de l’imprimante.  Pour appeler la configuration de l’imprimante, son icône doit avoir été rendu actif à partir de "Outils - Profils utilisateurs.
Bureautique M1 Publipostage.
INGI 2591 : Détection d’intrusion David Dal Zot (INFO23) Benjamin Gigot (INFO23) Xavier Lerot (INFO23) Benjamin Tillier (INFO23) RACE CONDITION.
1 Système d’exploitation Les scripts csh 1 ère Année Année Tienté HSU.
Séminaire INGI 2591 Attaques Web Accardo Nicolas INFO 22 Blerot Olivier INFO 22 Couvreur Pascal INFO 22 Depry Fabian INFO 23.
Les variables fichiers. Le type fichier On manipule les fichiers par l’intermédiaire de structures FILE décrites dans stdio.h FILE *monFichier; –Nom physique.
IFT313 – Introduction aux langages formels Eric Beaudry Département d’informatique Université de Sherbrooke Laboratoire sur JFLEX Été 2010.
SNMP Simple Network Management Protocol
Master 1 SIGLIS Java Lecteur Stéphane Tallard Chapitre 2 – Java Premiers pas Master 1 SIGLIS1 Java Lecteur - Chapitre 2 - Java Premiers Pas.
Test.
Référant : Osman SALEM GAOUA Lilia 15/12/2011.
Master 1ère année Sécurité des Systèmes d’Information 1 Programmation en shell.
- 5  3 = ? - 5  ( - 9) = ? 6  (- 9) = ? (– 35)  (– 2) = ?
Table Ronde Bulletins de Sécurité MS Bulletin de sécurité hors cycle.
Présentation Notre intention est créer un système qui compense en temps réel les délais et l’atténuation du son, correspondant à la distance entre la.
Mise en forme avancée et Publication. Le CSS Avertissement : vous ne devez pas maitriser le CSS juste savoir qu’il existe et à quoi il sert ! CSS signifie.
A. Lebrun. La base 2 Un nombre peut se représenter en base deux par une suite de 0 ou de 1. Chaque bit a un poids qui dépend de son rang Le format n impose.
LES VLANS Présenté par : ATCHOM SANDJI DANIEL.
Chapitre 1: Ordinateur & système d’exploitation
Commerce électronique Automne  Introduction  Configuration et envoie de courriel  Confirmation d’un compte avec Identity  Conclusion.
ListView et Adapter O.Legrand G. Seront. ListView & GridView
Test.
Test.
test
TEST.
Test test.
Transcription de la présentation:

Groupe 7: Remote Buffer Overflow. Attaque sur lpd, démon de l’imprimante. Berteletti Elia, ELEC23 Bodart Jerome, INFO 23 Depoterre Jean-Charles, INFO23 Janssens David, INFO 22

Techniques de détection zBut: essayer de détecter le shellcode dans un paquet circulant sur le réseau destiné au port 515 (lpd). zMais: le shellcode peut être facilement modifiable yrisques de False Negatives si on désire détecter un pattern « trop long ». zDonc: trouver un pattern « court » mais commun à tout shellcode.

Techniques de détection (2) zProblème: risque d’envoi de fichiers à imprimer contenant des suites binaires générant des False Positives. zPlus le pattern est court, plus ce risque augmente. zPlus le pattern est long, plus le risque d ’avoir des False Negatives augmente. – Besoin de compromis

Signatures SNORT zSignatures existantes: zalert tcp any any -> / z(msg:"EXPLOIT LPRng overflow"; flags: A+; z content: "/ B 08 8D 4B C B0 0B CD C0 FE C0 CD 80 E8 94 FF FF FF 2F E 2F A/";  reference:bugtraq,1712;) zalert tcp any any -> / z(msg:"EXPLOIT redhat 7.0 lprd overflow"; flags: A+; z content:"| E E|";) zalert tcp any any -> /24 any z(msg:"EXPLOIT linux shellcode"; flags: A+; zcontent: "| e8 c0 ff ff ff|/bin/sh"; z reference:arachnids,342;)

Critique zAucune de ces signatures ne détecte notre attaque. yPourquoi? Les patterns que ces signatures essayent de détecter sur les paquets circulant sur le réseau correspondent à un exploit très proche de SEClpd mais dont le shellcode est légèrement différent. –Réécriture des signatures

Signatures maison zalert tcp any any -> / z(msg:"EXPLOIT SEClpd bin/sh"; flags: A+; zcontent: "|ff ff ff|/bin/sh";) zFalse Positives ypar ex: envoi d’un fichier à l’impression contenant exactement ce string zFalse Negatives yil suffit de changer /bin/sh par /bin/csh ou /bin/bash dans le shellcode de SEClpd

Signatures maison (2) zalert tcp any any -> / z(msg:"TEST, shellcode de SEClpd sur port 515" ;  content: "| DB 31 C9 31 C0 B0 46 CD E5 31 D2|";) zFalse Positives ypar ex: envoi d’un fichier à l’impression contenant exactement ce string ytrès peu probable étant donné la longueur du pattern zFalse Negatives yil suffit de changer le shellcode dans SEClpd, en ajoutant par ex. des NOP: le shellcode s’exécute de la même façon mais le pattern ne correspond plus.

Signatures maison (3) zalert tcp any any -> / z(msg:"TEST, shellcode de SEClpd sur port 515" ;  content: "|CD 80|";) zFalse Positives ypar ex: envoi d’un fichier à l’impression contenant exactement ce string yplus probable étant donné la longueur du pattern ? zFalse Negatives yl’instruction CD 80 (appel système sur x86) est indissociable et indispensable dans ce genre d ’attaque. Le risque de false negatives devient quasi-inexistant.

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.