Vuelvo a retomar este blog tras un parón motivado por causas ajenas (léase falta de tiempo).
Aunque sé que voy dejando alguna serie de entradas sin finalizar me ha animado a escribir este post una vulnerabilidad sobre la que leí algo y sobre la que me pareció instructivo profundizar: la vulnerabilidad de la cadena de formato (format string).
La forma más fácil de empezar a explicar lo que es la cadena de formato es recurrir a la función printf() que todo el que haya programado un poco ha conoce.
¿Quien no ha escrito alguna vez printf( "hola mundo"); ?.
Lo más llamativo de esta función es que no tiene un número fijo de parámetros. Gracias a esta flexibilidad podemos confeccionar textos que contengan tantas variables como necesitemos. Pero en esta bendición lleva grabada su maldición.
Lo primero que necesitamos es ver como el compilador resuelve el paso de un número variable de parámetros. Para necesitaremos un depurador y algo de conocimientos de arquitectura x86.
Cargamos el programa en Ollydbg.
Aunque sé que voy dejando alguna serie de entradas sin finalizar me ha animado a escribir este post una vulnerabilidad sobre la que leí algo y sobre la que me pareció instructivo profundizar: la vulnerabilidad de la cadena de formato (format string).
La forma más fácil de empezar a explicar lo que es la cadena de formato es recurrir a la función printf() que todo el que haya programado un poco ha conoce.
¿Quien no ha escrito alguna vez printf( "hola mundo"); ?.
Lo más llamativo de esta función es que no tiene un número fijo de parámetros. Gracias a esta flexibilidad podemos confeccionar textos que contengan tantas variables como necesitemos. Pero en esta bendición lleva grabada su maldición.
Lo primero que necesitamos es ver como el compilador resuelve el paso de un número variable de parámetros. Para necesitaremos un depurador y algo de conocimientos de arquitectura x86.
La Pila
La pila, también conocida por su nombre en ingles: stack, es una zona de memoria que es referenciada por dos registros y gestionada por unas instrucciones determinadas.
Tres conceptos básicos del manejo de pila:
Conceptualmente hay que ver la pila como sistema en que las piezas se colocan y extraen por debajo.
No necesitamos saber nada más para poder entender el resto del artículo.
Tres conceptos básicos del manejo de pila:
- Las instrucciones que manejan de forma explícita (1) la pila son: push y pop. La primera coloca en la pila y la segunda la extrae. La pila es una cola LIFO (last input - first output).
- La pila está referenciada por dos registros: el registro base de la pila (BSP) y el registro indicador del tope (ESP) de la pila.
- En la arquitectura x86 la pila va desde las posiciones altas a las bajas. Esto quiere decir que a cada push que hagamos el registro ESP disminuye en 4 porque cada entrada de la pila es una palabra (4 octetos).
Conceptualmente hay que ver la pila como sistema en que las piezas se colocan y extraen por debajo.
No necesitamos saber nada más para poder entender el resto del artículo.
Las Herramientas.
Necesitamos el depurador para ser capaces de sacar el estado de un programa en un momento determinado de su ejecución. Por estado del programa se entiende: la memoria, los registros, la pila y la instrucción siguiente a ejecutar.
Vamos a usar el conocido ollydbg.
Este programa puede ser descargado de su página web y no necesita instalación. Simplemente con descomprimir el fichero ya podemos trabajar con él.
Necesitaremos también un compilador C. Para este ejemplo he usado Tiny C Portable que no necesita instalación y que se puede descargar de esta página.
Podemos usar cualquier otro compilador pero en este caso no será posible seguir la práctica tal cual. Cada compilador resuelve de forma diferente las referencias a funciones, la estructura de los datos y otros procesos.
En este enlace podréis encontrar tanto los fuentes, aunque son mínimos, como las compilaciones para aquellos que tenga pereza por compilar programas.
En esta práctica voy a omitir bastantes pasos intermedios que he he debido realizar para centrarme en el concepto por lo que si no se tienen conocimientos de ensamblador ni se tiene habilidad con el manejo de ollydbg lo que aconsejo es usar el mismo compilador que he usado para la práctica.
Vamos a usar el conocido ollydbg.
Este programa puede ser descargado de su página web y no necesita instalación. Simplemente con descomprimir el fichero ya podemos trabajar con él.
Necesitaremos también un compilador C. Para este ejemplo he usado Tiny C Portable que no necesita instalación y que se puede descargar de esta página.
Podemos usar cualquier otro compilador pero en este caso no será posible seguir la práctica tal cual. Cada compilador resuelve de forma diferente las referencias a funciones, la estructura de los datos y otros procesos.
En este enlace podréis encontrar tanto los fuentes, aunque son mínimos, como las compilaciones para aquellos que tenga pereza por compilar programas.
En esta práctica voy a omitir bastantes pasos intermedios que he he debido realizar para centrarme en el concepto por lo que si no se tienen conocimientos de ensamblador ni se tiene habilidad con el manejo de ollydbg lo que aconsejo es usar el mismo compilador que he usado para la práctica.
Empezando
Tenemos este simple programa:
main()
{
char string1[] = "123456789abcdef";
int i, j, k;
char _userin[80];
i = 100;
j = i + 1;
k = 4194382; //j + 1;
//printf("%s - i = %d - J = %d - k = %d\n", string1, i, j, k);
return 0;
}
Arrancamos Ollydbg y lo cargamos
Podemos ver la ventana dividida en 4 secciones en sentido de las agujas de reloj:
main()
{
char string1[] = "123456789abcdef";
int i, j, k;
char _userin[80];
i = 100;
j = i + 1;
k = 4194382; //j + 1;
//printf("%s - i = %d - J = %d - k = %d\n", string1, i, j, k);
return 0;
}
Arrancamos Ollydbg y lo cargamos
Podemos ver la ventana dividida en 4 secciones en sentido de las agujas de reloj:
- Área de programa
- Registros
- la Pila
- La memoria
Compilamos y ejecutamos:
Cargamos el programa en Ollydbg.
En la ventana del programa podemos observar que está marcada la siguiente instrucción a ejecutar, que es en este caso el inicio de programa (Module Entry). Nos vamos un poquito más arriba hasta la dirección
004010B6.
Nos posicionamos con cursor sobre ella y hacemos click para seleccionarla.
Creamos un breakpoint en esta instrucción pulsando F2. Veremos que la línea queda en rojo.
Analicemos la línea que hemos seleccionado.
Creamos un breakpoint en esta instrucción pulsando F2. Veremos que la línea queda en rojo.
Analicemos la línea que hemos seleccionado.
Se trata de una llamada a la función printf (ollydbg siempre que puede resuelve las direcciones con nombres)
Ejecutamos pulsando la tecla F9 (O bien en el menú superior Debug -> Run) y el programa se ejecutará hasta llegar al breakpoint marcado. Observamos la ventana 3 que es la ventana de la pila.
Ahí tenemos los parámetros que se van a pasar a la función: La cadena de formato, el primer parámetro con la cadena de caracteres, y los siguientes parámetros con los valores 64, 65 y 66 que se corresponde con la representación hexadecimal de 100, 101 y 102.
Con esta información podremos entender un poco mejor como se realiza el análisis de parámetros de la función printf.
Extrae el primer elemento de la pila que es la cadena de formato. La analiza carácter a carácter. Si encuentra el caracter "%" analiza la siguiente letra.
Análogos procesos realiza para las otras posibilidades: %x, %n, etc.
Como se puede ver en algunos parámetros se pasa el valor y en otros la dirección de memoria donde esta el valor. Esto es lo que se conoce como paso de parámetros por valores o por referencia. Las variables de tipo string (%s) siempre se pasan por referencia y las de tipo numérico (%d, %x) siempre se pasan por valor. Para el resto de los otros tipos de variables es necesario consultar la documentación.
Antes de continuar con la ejecución de programa nos más abajo, hasta encontrar la llamada a la función exit que en este caso estará en la dirección 00401159. Ponemos aquí otro breakpoint para detener el programa justo antes de salir y poder ver el resultado. Damos nuevamente run (F9) y cuando se detenga en la llamada a la función exit nos vamos a la salida del programa que en este caso es la ventana de DOS que se ha abierto al cargar el programa en Ollydbg. Y vemos, una vez más la salida esperada.
Una vez tenemos clara tanto la lógica básica de la función como el paso de parámetros empezamos a pensar de forma agresiva. ¿Y si cargo menos variables y mantengo el número de caracteres %?
Vamos a sustituir la sentencia:
printf("%s - i = %d - J = %d - k = %d\n", string1, i, j, k);
por
printf("%s - i = %d - J = %d - k = %d\n", string1, i, j); //hemos quitado el último parámetros. La variable k
Lo compilamos, lo ejecutamos y obtenemos lo siguiente:
Antes de analizar el resultado, podemos pensar que el compilador debería haber detectado que se pasan menos variables de las que se pueden deducir analizando la cadena de formato. Bueno, eso es cierto en este caso en el que la cadena de formato es un texto fijo y predeterminado. En otras situaciones la cadena de formato es una variable cuyo valor solo es conocido en el momento de ejecución. El compilador poco tiene que hacer en esta situación.
Aclarado este punto vemos que donde debería estar el valor 102 sale 1244928.
Para entender lo que ha ocurrido arrancamos este nuevo programa en ollydbg y marcamos los dos breakpoint, uno en la llamada a printf que está por arribe del Punto de Entrada y otro en la salida que está por debajo. Recordemos que arrancamos otro programa y es necesario volver a definir estos puntos. Run (F9) nuevamente y una vez detenido el programa nos vamos a ver la pila
Vemos que el siguiente elemento en la pila pasa a formar parte de los parámetros. El valor en hexadecimal de ese elemento es 12FF00 que en decimal es 1244928 que coincide con el valor que nos ha salido en la ejecución.
Nuevamente Run (F9) comprobamos el resultado en la pantalla de ejecución y nuevamente Run F9 para finalizar el programa.
Antes de seguir avanzando en las posibilidades exploración de elementos en la pila vamos a ver el impacto que puede tener en esta vulnerabilidad el tipo de datos.
Cambiemos la sentencia printf por esta:
printf("%s - i = %d - J = %d - k = %s\n", string1, i, j);
Hemos cambiado el último tipo de variabla de númerico decima (%d) a string(%s).
Compilamos y ejecutamos.
Y nos saldrá la interpretación en carácteres de lo que haya en la dirección de memoria 12FF00. El paso de parámetros es igual en este caso como en el anterior, pero la función al ver %s en vez de usar ese valor lo usa como referencia para encontrar el valor que debe colocar en el buffer de impresión.
Más adelante veremos como también podemos usar esto para ir a otras direcciones. Por el momento paramos aquí y en la próxima entrega expandiremos la posibilidad de explorar la pila.
Por hoy es todo, sólo queda practicar un poco y familiarizarse con ollydbg.
(1) Otras instrucciones como CALL y RETURN también introducen y extraen datos de la pila
Ejecutamos pulsando la tecla F9 (O bien en el menú superior Debug -> Run) y el programa se ejecutará hasta llegar al breakpoint marcado. Observamos la ventana 3 que es la ventana de la pila.
Ahí tenemos los parámetros que se van a pasar a la función: La cadena de formato, el primer parámetro con la cadena de caracteres, y los siguientes parámetros con los valores 64, 65 y 66 que se corresponde con la representación hexadecimal de 100, 101 y 102.
Con esta información podremos entender un poco mejor como se realiza el análisis de parámetros de la función printf.
Extrae el primer elemento de la pila que es la cadena de formato. La analiza carácter a carácter. Si encuentra el caracter "%" analiza la siguiente letra.
- Si la siguiente letra es una s extrae el siguiente elemento de la pila. Y coloca la cadena de caracteres apuntada por esa dirección en el lugar de %s.
- Si la siguiente cadena de caracteres es d, extrae el siguiente elemento de la pila y coloca su valor en decimal.
Análogos procesos realiza para las otras posibilidades: %x, %n, etc.
Como se puede ver en algunos parámetros se pasa el valor y en otros la dirección de memoria donde esta el valor. Esto es lo que se conoce como paso de parámetros por valores o por referencia. Las variables de tipo string (%s) siempre se pasan por referencia y las de tipo numérico (%d, %x) siempre se pasan por valor. Para el resto de los otros tipos de variables es necesario consultar la documentación.
Antes de continuar con la ejecución de programa nos más abajo, hasta encontrar la llamada a la función exit que en este caso estará en la dirección 00401159. Ponemos aquí otro breakpoint para detener el programa justo antes de salir y poder ver el resultado. Damos nuevamente run (F9) y cuando se detenga en la llamada a la función exit nos vamos a la salida del programa que en este caso es la ventana de DOS que se ha abierto al cargar el programa en Ollydbg. Y vemos, una vez más la salida esperada.
Empezando a torcer las cosas.
Una vez tenemos clara tanto la lógica básica de la función como el paso de parámetros empezamos a pensar de forma agresiva. ¿Y si cargo menos variables y mantengo el número de caracteres %?
Vamos a sustituir la sentencia:
printf("%s - i = %d - J = %d - k = %d\n", string1, i, j, k);
por
printf("%s - i = %d - J = %d - k = %d\n", string1, i, j); //hemos quitado el último parámetros. La variable k
Lo compilamos, lo ejecutamos y obtenemos lo siguiente:
Antes de analizar el resultado, podemos pensar que el compilador debería haber detectado que se pasan menos variables de las que se pueden deducir analizando la cadena de formato. Bueno, eso es cierto en este caso en el que la cadena de formato es un texto fijo y predeterminado. En otras situaciones la cadena de formato es una variable cuyo valor solo es conocido en el momento de ejecución. El compilador poco tiene que hacer en esta situación.
Aclarado este punto vemos que donde debería estar el valor 102 sale 1244928.
Para entender lo que ha ocurrido arrancamos este nuevo programa en ollydbg y marcamos los dos breakpoint, uno en la llamada a printf que está por arribe del Punto de Entrada y otro en la salida que está por debajo. Recordemos que arrancamos otro programa y es necesario volver a definir estos puntos. Run (F9) nuevamente y una vez detenido el programa nos vamos a ver la pila
Vemos que el siguiente elemento en la pila pasa a formar parte de los parámetros. El valor en hexadecimal de ese elemento es 12FF00 que en decimal es 1244928 que coincide con el valor que nos ha salido en la ejecución.
Nuevamente Run (F9) comprobamos el resultado en la pantalla de ejecución y nuevamente Run F9 para finalizar el programa.
Antes de seguir avanzando en las posibilidades exploración de elementos en la pila vamos a ver el impacto que puede tener en esta vulnerabilidad el tipo de datos.
Cambiemos la sentencia printf por esta:
printf("%s - i = %d - J = %d - k = %s\n", string1, i, j);
Hemos cambiado el último tipo de variabla de númerico decima (%d) a string(%s).
Compilamos y ejecutamos.
Y nos saldrá la interpretación en carácteres de lo que haya en la dirección de memoria 12FF00. El paso de parámetros es igual en este caso como en el anterior, pero la función al ver %s en vez de usar ese valor lo usa como referencia para encontrar el valor que debe colocar en el buffer de impresión.
Más adelante veremos como también podemos usar esto para ir a otras direcciones. Por el momento paramos aquí y en la próxima entrega expandiremos la posibilidad de explorar la pila.
Por hoy es todo, sólo queda practicar un poco y familiarizarse con ollydbg.
(1) Otras instrucciones como CALL y RETURN también introducen y extraen datos de la pila
