Einführung in die Programmiersprache C

Transkript

1 Einführung in die Programmiersprache C 10 Sicheres Programmieren Alexander Sczyrba Robert Homann Georg Sauthoff Universität Bielefeld, Technische Fakultät

2 Literatur Klein, Buffer Overflows und Format-String-Schwachstellen. dpunkt.verlag, Aleph1, Smashing The Stack For Fun And Profit. Phrack Magazine, Issue 49, ( scut/team teso, Exploiting Format String Vulnerabilities. Version 1.2, ( formatstring-1.2.pdf)

3 Motivation Typische Konsequenzen von unsicherem Code: Programmabsturz (Denial of service DOS) Umgehung von Zugriffsbeschränkungen Ausführung von fremden Code

4 Buffer Overflows Eine Zeile ist bestimmt niemals länger als 1024 Zeichen!!elf! Definition (Buffer Overflow) Schreiben über die Grenzen eines allokierten Speicherblocks hinaus in einen benachbarten Speicherbereich. Verschiedene Arten von Buffer Overflows: Stack-basiert Heap-, BSS-basiert

5 Beispiel Beispiel 1 FILE o p e n _ f i l e ( char d i r, char base ) 2 { 3 char b u f f e r [ ] ; 4 s t r c p y ( b u f f e r, d i r ) ; 5 s t r c a t ( b u f f e r, " / " ) ; 6 s t r c a t ( b u f f e r, base ) ; 7 s t r c a t ( b u f f e r, ". mp3" ) ; 8 FILE f = fopen ( b u f f e r, " r " ) ; 9 // F e h l e r b e h a n d l u n g return f ; 11 } Rücksprungsprungadresse kann beliebig manipuliert werden

6 Häufige Fehler Falsche Verwendung von APIs Falsche oder fehlende Index-/Größenberechnung Nicht-Lesen von man-pages

7 Übung Übung Lade die Datei pl_main.c von der Übungsseite und suche nach dem dort versteckten Buffer Overflow!

8 Weniger offensichtliche Stack Overflows off-by-one auch ausnutzbar um fremden Code einzuschleusen Beispiel 1 char b u f f e r [ 2 3 ] ; 2 s c a n f (%23 s ", b u f f e r ) ; Beispiel 1 void e x t r a c t _ t o k e n ( char s r c ) { 2 char b u f f e r [MS ] ; 3 char base = s t r c h r ( src, $ ) + 1 ; 4 i n t i ; 5 f o r ( i =0; i <= MS && base [ i ]! = $ ; i ++) 6 b u f f e r [ i ] = base [ i ] ; 7 }

9 Übung Übung Lade die Datei common.c von der Übungsseite. Fang mit der Funktion child_service() an und suche von dort nach einem off-by-n Buffer Overflow! 1 Wie groß ist n? 2 Welche zusätzlichen Probleme hat der Code?

10 Shellcode Linux/i386: Wie sieht eingeschleuster Code überhaupt aus? char shellcode[] = "\xeb\x19\x5e\x31\xc0\x31\xdb\x31\xd2\x89" "\xf1\x80\xc3\x01\xb0\x04\xb2\x0b\xcd\x80" "\x31\xc0\x31\xdb\x40\xcd\x80\xe8\xe2\xff" "\xff\xff\x49\x27\x6d\x20\x48\x65\x72\x65" "\x21\x21\x21"; Demo 0x jmp 0x804957b 0x pop esi ; Pointer auf String 0x xor eax,eax 0x xor ebx,ebx 0x xor edx,edx 0x mov ecx,esi 0x b add bl,0x1 0x e mov al,0x4 0x mov dl,0xb 0x int 0x80 ; System call: write() 0x xor eax,eax 0x xor ebx,ebx 0x inc eax 0x int 0x80 ; System call: exit(0) 0x b call 0x In einem fertigen Exploit ist sowas Teil der Benutzereingabe und wird z.b. durch die Manipulation von Rücksprungadressen angesprungen.

11 Format-String-Probleme Format-Strings wie bei printf(), sprintf(), snprintf(), syslog() usw. klassische Overflows mit sprintf() möglich, da die Berechnung der Länge eines expandierten Format-Strings schwierig ist andere Problemklasse: Format-Strings werden vom Benutzer untergeschoben

12 sprintf() Prototyp 1 i n t s p r i n t f ( char s t r, 2 const char format,... ) ; Beispiel 1 char d e s t [ 2 2 ] ; 2 s p r i n t f ( dest, "%d %d", x, y ) ; Nichts Neues! Bessere API z.b. snprintf().

13 %n zur Erinnerung: Format-String wird dynamisch zur Laufzeit ge parse t printf(buffer); ist legal, aber gefährlich, wenn buffer vom Benutzer kommt jedes % Spezifikationssymbol wird interpretiert und durch ein Argument ersetzt %n schreibt die Anzahl der bisher geschriebenen Bytes in das dazugehörige Argument Achtung Wenn der Format-String vom Benutzer gesetzt werden kann, können im Prinzip beliebige Speicherbereiche manipuliert werden (beispielsweise Sprungadressen auf dem Stack).

14 Input Validation niemals Benutzereingaben vertrauen! auch wenn alle Eingaben im Buffer landen, können Programmierfehler ausgenutzt werden keine C-spezifische Problematik! Beispiele SQL-Injection Solaris 10 Telnet Bug...

15 SQL-Injection Anti-Pattern: Ungeprüfte Benutzereingaben sind Teil von SQL-Statements Manipulation, Ausspähung von Datenbankinhalten Ausführung von Programmen Beispiel 1 "SELECT id, t i t l e FROM foo " 2 + "WHERE kat=" + input + " ; " 3 4 B e n u t z e r e i n g a b e n : 5 input = " kat1 " 6 input = " kat1 ; UPDATE... ; " 7 input = " kat1 UNION SELECT nam, pw FROM... "

16 Solaris 10 Telnet Bug Telnet Trivia telnet(1) hat eine -l remote-username Option telnetd(1) läuft als root, fork t, und execve t login(1) per Verbindung login(1) hat eine -f Option... Der Bug telnetd: keine Überprüfung des Username-Inhalt Injection von -fuser möglich Solaris Besonderheit: -fbin statt -froot, da per default root login nur lokal möglich... Gleiches Problem auch schon 1994 in AIX aufgetreten.

17 Gegenmaßnahmen andere Programmiersprache verwenden?!? je nach Anwendungsfall, aber... viele Script-Sprachen-Interpreter in C geschrieben (z.b. auch JVM) oft existieren Bindings zu C-Code bzw. C-Libs Performance... sicher Programmieren Code-Review technische Maßnahmen Tools

18 Techniken Kanarienvögel auf dem Stack (siehe auch StackProtector beim gcc): Canaries nichtausführbare Stacks randomisierte Offsets... Aber: keine silver bullet Heap/BSS-basierte Exploit-Techniken existieren manche Programme benötigen ausführbare Stacks Library-Code kann immer noch angesprungen werden...

19 Tools Kein Ersatz für verantwortungsvolles Programmieren, aber hilfreich: gcc (StackProtector, -fstack-protector, häufig ein default, -fmudflap,... ) valgrind splint (unmaintained) lint grep...

20 Links Google Codesearch Beispieleingaben: memset\([^),]*,[^,]*,\ *0\ *\); sprintf\ *\([^,)]*,\ *"%s"\ *,[^)]\)