HZV Mag #3 - HZV / Hackerzvoice / The Hackademy

More documents

Recommendations

Info

HZV Mag #3 Prévention de l'exploitation de stack overflows (SEHOP) - par Lilxam Ç retour au sommaire Voici ce que l'on peut observer au début de celle-ci : bien vers un espace de donnée dans la pile : duit par deux conditions (voir ci-dessus): Et la boucle s'effectue tant que le SEH défini par le système lui-même n'a pas été trouvé : Les limites de la pile sont récupérées grâce à la fonction RtlpGetStackLimits(). En fait l'adresse du début de la pile peut s'obtenir en FS:[4] et l'adresse de fin en FS:[8]. Suit un appel à la fonction RtlpGetRegistrationHead() qui permet de récupérer un pointeur vers le SEH courant via FS:[0]. Si nous continuons nous pouvons apercevoir une séquence d'instructions constituant en fait une boucle qui se doit de parcourir la liste chainée des SEH en vérifiant que chaque pointeur prev vers la structure EX- CEPTION_REGISTRATION précédente pointe C'est une restriction un peu osée il me semble, car nous l'avons vu il est possible de déclarer un handler SEH de bas niveau hors de la pile. C'est ce que nous, EMET et Wehntrust faisons. Pour continuer il faut que la fonction servant de handler soit hors de la pile ce qui est tra- J'en arrive donc à vous proposer un pseudo-code de cette boucle : : boucle: SI PREV < StackBase SAUTE pas_bon SI PREV > StackTop SAUTE pas_bon SI HANDLER < StackBase SAUTE OK SI HANDLER > StackBase SAUTE pas_bon OK: SI HANDLER != 0xFFFFFFFF CONTINUE boucle SI HANDLER == SYSTEM_HANDLER SAUTE bon Je terminerai donc toutes ces analyses par un tableau comparatif des différentes implémentations de SEHOP (voir page d'après). 30
Conclusion : Je pense avoir fait le tour de cette protection de manière assez claire et précise. J'aurais aimé pouvoir vous présenter une technique générique pour outrepasser le SEHOP mais je pense que cela est presque impossible. Après il faut s'intéresser au cas par cas... Références : [0] http://lilxam.tuxfamily.org/blog/ HZV Mag #3 Prévention de l'exploitation de stack overflows (SEHOP) - par Lilxam EMET Wehntrust Seven Détection des exception + - + Vérifications Liste chaînée des SEH ++ ++ ++ Registre EBP -- ++ -- JMP SHORT sur la pile - + - HANDLER qui point vers POP, POP RET ou équivalent - - - Adresse du handler " randomizée " ++ -- -- Gestion du multithreading + + + [3] http://www.hex-rays.com/idapro/ [4] http://en.wikipedia.org/wiki/ Thread_%28computer_science%29 http://en.wikipedia.org/wiki/Multithreading http://softpixel.com/~cwright/programming/ threads/threads.c.php [5] http://lilxam.blogspot.com/2008/09/lunionfait-la-force.html http://www.ivanlef0u.tuxfamily.org/?p=24 [6] http://en.wikipedia.org/wiki/Address_ space_layout_randomization http://blogs.msdn.com/michael_howard/archive/2006/05/26/address-space-layout-randomization-in-windows-vista.aspx [8] http://blogs.msdn.com/greggm/archive/2005/02/21/377663.aspx [9 ] http://blogs.technet.com/srd/archive/2009/10/27/announcing-the-release-ofthe-enhanced-mitigation-evaluation-toolkit. aspx http://www.microsoft.com/downloads/details. aspx?FamilyID=4a2346ac-b772-4d40-a750- 9046542f343d&displaylang=en [10] http://www.codeplex.com/wehntrust Remerciements : Ç retour au sommaire Je tiens tout particulièrement à remercier 0vercl0k pour son amitié, sa relecture et son aide. Je remercie également toute la communauté française en pleine expansion si j'ose dire avec de plus en plus de blog créés ainsi que tous les membres de #carib0u, #nibbles, #hzv, #uct, #oldschool, #newbiecontest et d'autres encore. [1] http://www.hackerzvoice.net/hzv_magz/ download_hzv.php?magid=01 [2] http://www.ollydbg.de/ [7] http://ghostsinthestack.org/article-25-format-strings.html http://crypto.stanford.edu/cs155old/cs155- spring08/papers/formatstring-1.2.pdf 31
Page 2 and 3: HZV Mag #3 Ç retour au sommaire Da
Page 4 and 5: HZV Mag #3 Ç retour au sommaire p
Page 6 and 7: HZV Mag #3 Infecteur Win32: - par K
Page 8 and 9: EBX, elle est situé à l’adresse
Page 10 and 11: aussitôt à l’emplacement mémoi
Page 16 and 17: Références VA : Virtual Address.
Page 18 and 19: HZV Mag #3 Prévention de l'exploit
Page 20 and 21: Technique de la réécriture du SEH
Page 22 and 23: Je ne l'ai pas tout à fait fini à
Page 26 and 27: Il est fréquent qu'en fin de fonct
Page 36 and 37: HZV Mag #3 Bypassing SEHOP - par He
Page 38 and 39: HZV Mag #3 Bypassing SEHOP - par He
Page 40 and 41: HZV Mag #3 Exploitation Système de
Page 42 and 43: HZV Mag #3 Système de crack distri
Page 44 and 45: : Adapter le code source fourni en
Page 46 and 47: HZV Mag #3 Système de crack distri
Page 48: HZV Mag #3 Système de crack distri
Page 52 and 53: HZV Mag #3 Exploitation des Session
Page 54 and 55: HZV Mag #3 Exploitation des Session
Page 56 and 57: On peut donc imaginer que si on tro
Page 58 and 59: Analyse de l'algorithme de généra
Page 60 and 61: et Editeurs de Musique) et le SNEP
Page 62 and 63: A chaque titre musical est associé
Page 66 and 67: : int Wifi_ProcessReceivedFrame(int
Page 68: HZV Mag #2 Futur Exposed - Iot-Reco
Page 81 and 82:
HZV Mag #3 cyber News la peur. N
show all

HZV Mag #3 - HZV / Hackerzvoice / The Hackademy

Create successful ePaper yourself

Delete template?

Save as template?