1月26日(金)1、2コマ目

今日、やったこと

バッファオーバーフロー

今日のホワイトボード

メモリは

プログラム実行時にコンピュータのメモリは以下の3つの領域に分けて使われる。

図 メモリの使われ方


[おまけ情報]C言語のif文

C言語にはtrue、falseのbool型がない。

if()もカッコ内が0なら条件不成立、0以外なら条件成立として扱われる。

図 C言語のif()


サンプルプログラムでバッファオーバーフロー(パターン1)

サンプルプログラムはcheck()関数のstrcpy()でバッファオバーフローを引き起こす可能性がある。

引数passwordの内容を変数password_bufferにコピーしているが、コピー先のpassword_bufferのサイズに関係なくコピーしているため、バッファオーバーフローが発生する。

デバッガでcheck()関数のローカル変数を確認すると、下図のようにメモリ上に配置されていることがわかる。

図 2つの変数のアドレス

図 2つの変数のメモリ上での状態

このメモリ配置からpassword_bufferの先頭から29バイト以上書き込めば、変数auth_flagのエリアに書き込むことになる。


バッファオーバーフローが発生するシナリオ

バッファオーバーフローで誤ったパスワード("SamplePassword"ではない)でも認証成功になるには以下の原因から。

①コマンドライン引数で29文字以上のパスワードを指定

②check()関数にコマンドライン引数のパスワードが渡される

③strcpy()で変数password_bufferにパスワードをコピー

 このとき、パスワードの29文字目以降が変数auth_flagのエリアにコピーされる。

 これが主原因。

④変数password_bufferが”SamplePassword”と等しいかチェック

 等しければ変数auth_flagに1を代入

 これも原因の1つ。本来なら等しくなれば0を代入すべき。

⑤check()関数は変数auth_flagの値を返す

 パスワードが”SamplePassword”なら1を返す

 それ以外なら初期値の0が返ると思っている。 => 実際は③で上書きされている

⑥main()関数ではcheck()関数の戻り値で認証の成否を判断

 戻り値が0以外なら認証成功。

 これも原因の1つ。戻り値が1なら認証成功にすべき。


[おまけ情報]デバッガのxコマンド

デバッガのxコマンドで変数がメモリ上のどこにあるか、その中身を確認することができる。

xコマンドは/以降のオプションで表示方式(数値として表示、文字として表示等)や表示サイズの指定ができる。

図 デバッガのxコマンド


サンプルプログラムでバッファオーバーフロー(パターン2)

パターン1のプログラムでパスワードが”SamplePassword”と等しくないときは変数auth_flagに0を代入するように改造。これでstrcpy()でバッファオーバーフローさせてもcheck()関数の戻り値は

  • パスワードが"SamplePassword"なら戻り値は1
  • パスワードが"SamplePassword"以外なら戻り値は0

になる。

パターン1と同じように29文字のパスワードで実行し、strcpy()実行後のメモリをデバッガで確認すると下図のようになっている。

図 2つの変数のアドレス

図 2つの変数のメモリ上での状態

パターン1と同じようにバッファオーバーフローを引き起こし、変数auth_flagに29文字目の値が書き込まれている。

ただ、プログラムを修正したおかげでcheck()関数は0を返す。よって、認証失敗と表示される。

バッファオーバーフローは発生しているものの、プログラムは期待とおりに動いている。


スタック上のリターンアドレスを書き換える

関数が呼び出されるとき、スタック上にはローカル変数や引数のエリアが確保される。このとき、関数実行後に戻るべきアドレス(リターンアドレス)もスタック上に保存される。

サンプルプログラムを実行すると、実行ファイルが下図のようにメモリ上のコード領域にロードされる。ロードされた命令を順に1つづつ実行していく。

図 コード領域にロードされた命令

0x0…4007a0番地のcallq命令が0x…4006b6番地の命令を呼び出すことで、check()関数を呼び出す。

0x…4006b6番地以降にロードされているcheck()関数を実行すると、main()関数に戻る。戻るべきアドレスは0x0…4007a5番地だが、この番地をcheck()実行時にスタック上に保存する。

デバッガで確認すると、下図のようになる。

図 スタック上のリターンアドレスの位置

バッファオーバーフローで変数pass_buffの先頭から41バイト以降にリターンアドレスを書き込めば、check()関数実行後に戻る命令を変えることができる。


次回は

  • バッファオーバーフローのつづき
  • テスト

をします。





このブログの人気の投稿

1月12日(金)1、2コマ目

イメージ
今日、やったこと エラーページ フィルター 今日のホワイトボード エラーページ 例外スローの結果、エラーページをそのまま出力すると危険。 このエラーページには サーバーの種類(Tomcat)、バージョン プログラミング言語 DBの種類 等、色々な情報が含まれるため危険。 catchブロックを用意して、そのなかでエラーページを表示するようにすればいいが、Javaサーブレットにもデフォルトのエラーページを設定することができる。 図 エラーページの設定 ①設定ファイルweb.xmlを設定 エラーの種類(HTTPのステータスコード別、Javaの例外別)、エラーページが設定できる。 ②エラーページ作成 HTMLだけでなく、JSPも可。 なお、JSPでは暗黙オブジェクトexceptionが使える。exceptionはスローされた例外。 ただ、exceptionを使うにはエラーページであることを指定する必要あり。 エラーページへの遷移はフォワードで行われる。 よって、エラーページをWEB-INF/以下に置くことも可。 リダイレクトとフォワード いずれもページ遷移の仕組みだが、以下の違いがある。 フォワードはサーバー内で遷移先ページを読み込みクライアントへ返す=>1往復 リダイレクトはステータスコード302をクライアントに返して、クライアントが再リクエスト=>2往復 図 フォワードは1往復で遷移 図 リダイレクトは2往復で遷移 認証成功後のページ追加 認証に成功するとユーザー情報を表示する。流れは下図のようになる。 ...
続きを読む

1月29日(月)3、4コマ目

イメージ
今日、やったこと [やってみよう]バッファオーバーフロー 確認テスト 今日のホワイトボード [やってみよう]バッファオーバーフローその1 hasUpperCase()関数にはバッファオーバーフローの脆弱性がある。(13行目) main()関数にてhasUpperCase()を呼び出したときにスタック上に書き込まれるリターンアドレスを43行目のprintf()に書き換える。 プログラムの動き main()関数を逆アッセンブルすると以下のようになる。 図 main()を逆アッセンブルすると 通常はhasUpperCase()実行後、0x7f…400786番地に戻ってくるが、printf()実行の0x7f…4007aa番地に戻るようにスタックエリア上のリターンアドレスを書き換えればいい。 メモリの様子 hasUpperCase()実行時のスタックエリアの様子は以下のとおり。 図 hasUpperCase()実行時のメモリの様子 変数buffの先頭から40バイト離れた(41バイト目以降)ところにリターンアドレスが書き込まれている。ここをバッファオーバーフローで書き換える。 どうすればいい? どんな引数でもかならず”I DO NOT find UpperCase!”と出力するには、コマンドライン引数に40文字+リターンアドレスで実行すればいい。 [やってみよう]バッファオーバーフローその2 chkString()関数にはバッファオーバーフローの脆弱性がある。(23行目) main()関数にてchkString()を呼び出したときにスタック上に書き込まれるリターンアドレスを77行目のprintf()に書き換える。 プログラムの動き main()関数を逆アッセンブルすると以下のようになっている。 図 main()関数を逆アッセンブルすると 通常はchkString()実行後、0x7f…4007e2番地に戻ってくるが、printf()実行の0x7f…400817番地に戻るようにスタックエリア上のリターンアドレスを書き換えればいい。 メモリの様子 chkString()実行時のスタックエリアの様子は以下のとおり。 図 chkString()実行時のメモリの様子 その1と同じように変数buffの先頭から41バイト目にリターンアドレスが書き込まれる。ここを書き換えればいい。 どうすればい...
続きを読む

1月9日(火)1、2コマ目

イメージ
今日、やったこと パスワードのハッシュ化 今日のホワイトボード ユーザー認証 ユーザー認証はパスワードが使われるケースが多いが、パスワード以外にもユーザー認証に使えるモノがある。 図 認証に使えるモノ ポイントは「本人しか」。 パスワードの取り扱い 今までは便宜上DBにパスワードを平文で保存していた。が、これは一般的にはありえない話。本来はDB上のデータが漏洩しても即セキュリティインシデントにつながらないようにしなければならない。 図 パスワードの取り扱い 一般的にはパスワードをハッシュ化してDBに保存する。 ハッシュ化 ハッシュ化と暗号化は同じように元の平文が推測しずらい点では一緒。暗号化は元の平文に複合できるが、ハッシュ化された文字列を元の平文に戻すことはできない。 厳密に言えば、できないわけではないが、総当たり攻撃や辞書攻撃になるため、かなり長い時間がかかる。  図 ハッシュ化 ハッシュ化ソースコード PasswordUtil.java 文字列+ソルトをアルゴリズムSHA256で10,000回ハッシュ化してハッシュ値を生成する。 Main.java PasswordUtilクラスを使ってパスワード+ソルトのハッシュ値を生成させる。 ソルトは実行時の現在時刻のナノ秒部を利用。 ハッシュ化されたパスワードで認証するには DBにハッシュ化されたパスワードを保存する場合、認証は入力されたパスワードのハッシュ値とDBのハッシュ値を比較することになる。 図 ハッシュ化されたパスワードで...
続きを読む