Corruption de la mÃ©moire lors de l'exploitation - Sstic

More documents

Recommendations

Info

Remote Userland Execve (1) Execve : appel système permettant d'exécuter un programme Lors d'un appel à execve() dans un programme, l'image du processus est remplacé par l'image du binaire à exécuter (segment de code, de données, la pile et le tas) execve() ne retourne pas à l'ancien processus ! Pour retourner à l'ancien processus, il faut utiliser un fork(), comme la fonction system() de la GNU C Library (glibc). Francois Gaspard, Samuel Dralet SSTIC '06
Remote Userland Execve (2) Problème ! Le binaire à exécuter doit être présent sur le disque Userland execve : simuler le comportement de l'appel système execve() pour exécuter un binaire déjà présent en mémoire 6 étapes : 1. Unmapper les pages contenant l'ancien processus 2. Si le binaire est dynamique, charger l'éditeur de liens dynamiques 3. Charger le binaire en mémoire 4. Initialiser la pile 5. Déterminer le point d'entrée 6. Transférer l'exécution au point d'entrée Francois Gaspard, Samuel Dralet SSTIC '06
Page 1 and 2: Corruption de la mémoire lors de l
Page 3 and 4: Une intrusion informatique classiqu
Page 5 and 6: Attaque et pénétration (1) Exploi
Page 7 and 8: Augmentation de privilèges Augment
Page 9 and 10: Effacer les traces Analyse des fich
Page 11 and 12: Exécution à distance Rappel : un
Page 13 and 14: Syscall Proxy (2) Lecture d'un fich
Page 15: Syscall Proxy (4) 3 étapes : 1. Nu
Page 19 and 20: Récapitulatif Présentation de deu
Page 21 and 22: Injection de librairies (2) Injecti
Page 23 and 24: Constatations (2) Constatations à
Page 25 and 26: Constatations (4) Syscall Proxy ou
Page 27 and 28: Plato (1) En partant de ces constat
Page 29 and 30: Protections Protections classiques
Page 31: The end... Merci pour votre attenti

Corruption de la mÃ©moire lors de l'exploitation - Sstic

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?