Pwn超超入門

PWNABLE 超超入門情報システム工学科3年 0yu @yud0uhu

自己紹介 •プロメン・cistLT サークル・写真部に所属 •主に Web が好き。フロントエンドは Vue.js でよく遊んでます •サーバーサイド Kotlin
が最近熱い •コープさっぽろで半年ほどエンジニアインターンをやっています。 •トドックサイトすごいのでぜひ使ってみてください！Webカタログをモバイルで横スク表示にさせるやつとかやりました

ところで皆さん、CTFってご存じですか？なにそれ、っていう方向けに ⇒ざっくりいうとハッキングコンテスト • Capure The Flagの略。隠されているFlag（答え）を見つけ出し、時間内に獲得した合計点数を競うもの今回はその中の分野の一つ、Pwnable(以後Pwn)についての LT
をしたいと思います。

PWNって？ • 語源は「own」 • 「支配する」等のニュアンスから転じたもの • CTFではバイナリを解析したりして、プログラムの脆弱性を突くジャンル PWNの超入門大和セキュリティ神戸 (https://www.slideshare.net/ssuserbcacc5/pwn-20180325
)より

BOF攻撃

バッファオーバーフローの脆弱性プログラムが想定するメモリ領域を超えるような入力をハッカーが意図的に行い、バッファをあふれさせる古典的な脆弱性 Pwn系の問題における最も基本的な解法の一つ

スタック領域についてプログラム部スタック部

スタック領域についてスタック部プログラム部 str2 Push EBP(下位) ESP(上位)

スタック領域についてプログラム部スタック部 overflowme[16] str2 Push EBP(下位) ESP(上位)

バッファオーバーフローを起こしてみるスタック部プログラム部 overflowme[16] str2 Buffer Overflow EBP(下位) ESP(上位)

バッファオーバーフローを起こしてみるスタック部プログラム部 Overflowme[16] str2 EB P ES P Buffer
Overflow 適当な16文字で overflowmeのスタック領域を塗りつぶし、str2の beefをfishで上書き

バッファオーバーフローを起こしてみるプログラム部 Overflowme[16] str2 Segmen tation fault EBP(下位) ESP(上位)

特定のスタック領域を狙って攻撃したい ↓ オフセットを確認する • Gdb-pedaというデバッカを用いてプログラムのうごきを追っていきます • Str2がoverflowmeの16バイト前に存在していることを確かめるには？

オフセットを確認する •$ gcc –m32 –fno-stack-protector hogehoge.c •gdb-peda$ gdb a.out
•gdb-peda $ b vuln // vuln にブレイクポイントを設定 •gdb-peda $ run • n で一行ずつステップを実行していく

• ASCIIコード変換表を見ると 0x 66 65 65 62 f e
e b • ebpというレジスタ (=0xffffxfd8)の指すアドレスから、16進数で0xdだけ減らしたところに、 0x66656562をコピーするという指示を出しているオフセットを確認する

オフセットを確認する • Call 0x56555440 <_isoc99_scanf@plt>までステップ実行するとscanf関数が呼び出される ⇒22文字入力してみる

gdb-peda$ stack 12 を走らせてみる 0xffffcfccを始点に20文字積まれていく様子がわかる ⇒str2が格納されている0xffffcfd8に、fishが上書きされてしまうことが確認できた！ 0xffffcfb8 ←変数str2
0xffffcfbc 0xffffcfc0 0xffffcfc4 0xffffcfc8 0xffffcfcc←標準入力の始点

初心者向けCTF CTF 挑戦してみたいかも、という方は、以下の常設 CTF がおすすめです。 • [picoCTF](https://play.picoctf.org/practice?originalEvent=1&page=1) • 海外の常設CTF。youtubeや個人の方のブログに解法(writeup)が数多くアップされているため、とっつきやすそう。
• [KsnctSSf](https://ksnctf.sweetduet.info/problem/4) • 運営のkusanoさんの書かれた本 • https://www.amazon.co.jp/dp/B08Q3JKBR3/ref=dp-kindle-redirect?_enco ding=UTF8&btkr=1 • 演習環境がDockerコンテナで用意されている

勉強会など • MH4Y • 一昨年は道警本部で開催されました。数人一組でチームを組み、クラッカーから Web サイトを防衛する演習を競技形式で行いました。 • SC4Y
• 定期開催されているハンズオン講習会。CTF形式でセキュリティを学べておすすめです！ • 20#1の参加レポート(当時書いたやつ)。 • 21#2が明日開催です(OSCの中でやるみたいです)

勉強会など • セキュリティミニキャンプ • 昨年はCTFのPwn問題とWeb問題の二ジャンルの形式でセキュリティについて学ぶ講座が開講 • 急にセキュリティキャンプはハードルが高いなぁ、という方にもおすすめです！ •
SECCON Beginners • SECCON CTFの初心者向け勉強会 • 8-9月頃にビギナーズ向けオンラインイベントをやるみたいです

～資料作成にあたり～ • はじめて学ぶバイナリ解析を参考にさせていただきました。 • めちゃめちゃわかりやすい！！

Pwn超超入門

Pwn超超入門

yud0uhu

More Decks by yud0uhu

Other Decks in Programming

Featured

Transcript

PWNABLE 超超入門情報システム工学科3年 0yu @yud0uhu

自己紹介 •プロメン・cistLT サークル・写真部に所属 •主に Web が好き。フロントエンドは Vue.js でよく遊んでます •サーバーサイド Kotlin

BOF攻撃

バッファオーバーフローの脆弱性プログラムが想定するメモリ領域を超えるような入力をハッカーが意図的に行い、バッファをあふれさせる古典的な脆弱性 Pwn系の問題における最も基本的な解法の一つ

スタック領域についてプログラム部スタック部

スタック領域についてスタック部プログラム部 str2 Push EBP(下位) ESP(上位)

スタック領域についてプログラム部スタック部 overflowme[16] str2 Push EBP(下位) ESP(上位)

バッファオーバーフローを起こしてみるスタック部プログラム部 overflowme[16] str2 Buffer Overflow EBP(下位) ESP(上位)

バッファオーバーフローを起こしてみるスタック部プログラム部 Overflowme[16] str2 EB P ES P Buffer

バッファオーバーフローを起こしてみるプログラム部 Overflowme[16] str2 Segmen tation fault EBP(下位) ESP(上位)

特定のスタック領域を狙って攻撃したい ↓ オフセットを確認する • Gdb-pedaというデバッカを用いてプログラムのうごきを追っていきます • Str2がoverflowmeの16バイト前に存在していることを確かめるには？

オフセットを確認する •$ gcc –m32 –fno-stack-protector hogehoge.c •gdb-peda$ gdb a.out

• ASCIIコード変換表を見ると 0x 66 65 65 62 f e

オフセットを確認する • Call 0x56555440 <_isoc99_scanf@plt>までステップ実行するとscanf関数が呼び出される ⇒22文字入力してみる

gdb-peda$ stack 12 を走らせてみる 0xffffcfccを始点に20文字積まれていく様子がわかる ⇒str2が格納されている0xffffcfd8に、fishが上書きされてしまうことが確認できた！ 0xffffcfb8 ←変数str2

勉強会など • MH4Y • 一昨年は道警本部で開催されました。数人一組でチームを組み、クラッカーから Web サイトを防衛する演習を競技形式で行いました。 • SC4Y

勉強会など • セキュリティミニキャンプ • 昨年はCTFのPwn問題とWeb問題の二ジャンルの形式でセキュリティについて学ぶ講座が開講 • 急にセキュリティキャンプはハードルが高いなぁ、という方にもおすすめです！ •

～資料作成にあたり～ • はじめて学ぶバイナリ解析を参考にさせていただきました。 • めちゃめちゃわかりやすい！！