Format string attack: differenze tra le versioni

Naviga nella cronologia in modo interattivo

← Differenza precedente

Contenuto cancellato Contenuto aggiunto

VisualeWikitesto

Versione delle 01:21, 8 dic 2017 modifica Luc.bonora (discussione \| contributi) 29 modifiche →Introduzione Etichetta: Modifica visuale: commutato ← Differenza precedente		Versione attuale delle 13:06, 18 ott 2025 modifica annulla DespagnaM72 (discussione \| contributi) 14 modifiche Funzionalità collegamenti suggeriti: 3 collegamenti inseriti. Etichette: Modifica visuale Attività per i nuovi utenti Suggerito: aggiungi collegamenti
(16 versioni intermedie di 11 utenti non mostrate)
Riga 1: {{S\|sicurezza informatica}} Le '''format string attack''' (''vulnerabilità di formato della stringa'') sono una classe di vulnerabilità scoperte nel 1999. == Introduzione == Il tipo di attacco Format String è una classe di vulnerabilità scoperte nel 1999, presenti prevalentemente in [[Linguaggio di programmazione\|linguaggi di programmazione]] imperativi come il [[C (linguaggio di programmazione)\|C]]. Un Format String Attack è formato da tre componenti fondamentali: * Format Function: in ANSI C è una funzione che converte una variabile di tipo primitivo, in una stringa user-friendly cioè leggibile dall’uomo. printf: per stampare su stdout fprintf: per stampare la format string su file Riga 12: snprintf: per stampare esattamente 'n' caratteri della stringa in ingresso nella seconda * Format String: è l’argomento della format function ed è una stringa ASCII che contiene sia testo che parametri di formato. printf(“The magic number is %d\n”, 3); Riga 22: == Funzionamento dello stack == Lo stack è un'area di memoria in cui vengono salvate le variabili locali e i parametri passati alla funzione. La sua ~~gesitone~~gestione è di tipo LIFO e cresce verso indirizzi bassi. Eseguendo questo semplice codice, ad esempio: <~~source~~syntaxhighlight lang="c"> #include <stdio.h> Riga 31: printf("Valore var. B: %d - Indirizzo var. B: %x\n", B, &B); } </syntaxhighlight> ~~</source>~~ il programma stamperà: <~~source~~syntaxhighlight lang="c"> Valore var. A: 3 - Indirizzo var. A: 7fdc Valore var. B: 5 - Indirizzo var. B: 7fd8 </syntaxhighlight> ~~</source>~~ se invece la printf() riceve come parametro una stringa "maligna" (senza controllarne le caratteristiche) il risultato sarebbe proprio un attacco di tipo format string. == Attacchi possibili == '''Crash del programma''' Un modo molto semplice per mandare in crash un programma è ~~passando~~passare alla funzione printf() una stringa formattata in questo modo: <~~source~~syntaxhighlight lang="c">printf("%s%s%s%s%s%s%s%s%s%s%s");</~~source~~syntaxhighlight> Ogni "%s" cerca di visualizzare il contenuto ~~della~~di ~~memoria~~un dabuffer undi ~~certo~~caratteri (una stringa) dall'indirizzo iniziale presente sullo stack fino al carattere terminatore ("0"). Inserendo quindi molti “%s", la funzione sposterà il puntatore in avanti fino ad aree di memoria non mappate nel frame dell'applicazione, così facendo cercherà di leggere da "indirizzi illegali", causando l'errore “''segmentation fault”'' che manda in crash il programma. Inserendo quindi molti “%s”, la probabilità di andare a leggere da un “illegal address” (cioè un indirizzo non mappato per questa funzione) sono molto elevate e se succede, causeremmo l’errore “''segmentation fault”'' crashando quindi il programma. '''Leggere lo stack''' Utilizzando sempre la printf(), ~~potremmo~~è ~~andare a~~possibile leggere parte del contenuto dello stack, usando una format string di questo tipo: <~~source~~syntaxhighlight lang="c">printf( "%08x-%08x-%08x-%08x-%08x\n");</~~source~~syntaxhighlight> l'output potrebbe essere il seguente: <~~source~~syntaxhighlight lang="c">4306ea40-43074920-0062de90-70706970-02000002</~~source~~syntaxhighlight> Questo perché essendo il numero degli argomenti della printf() variabili, questa utilizza la format string per sapere quanti gliene sono stati passati. In questo caso quindi crede (erroneamente) che siano cinque parametri, e andrà quindi a stampare i prossimi cinque indirizzi sullo stack, pensando siano i parametri richiesti. ~~Il parametro di formato "%08x" dice alla printf() di mostrare sei parametri salvati sullo stack visualizzando in formato esadecimale a 8 cifre.~~ Il parametro di formato "%08x" è costituito dai seguenti componenti: In certi casi potremmo anche essere in grado di ricostruire tutta memoria occupata dallo stack contenere importanti informazioni sul flusso del programma, sulle variabili locali di funzioni e su indirizzi permettendoci di calcolare l’esatto offset da usare per effettuare l’exploit. * x (converti i caratteri in esadecimale), * 8 (mostra otto caratteri), * 0 (riempi di zeri i caratteri nulli, se presenti). '''Leggere memoria in ogni locazione di memoria''' E’È possibile anche leggere aree di memoria diverse dallo stack. Dobbiamo però creare una format function che visualizza il contenuto della memoria all’indirizzo che gli forniamo. Ci servirà quindi l’indirizzo da cui andare a leggere ed il giusto parametro di formato per leggerlo. La nostra format function mantiene all’interno dello stack il puntatore alla locazione di memoria del parametro di formato. Se fossimo in grado di far puntare quel puntatore all’area di memoria che ci interessa, potremmo dare quell’indirizzo al formato parametro "%s" così che, invocando la printf(), questa leggerà la memoria da quell’indirizzo fino a che non trova un carattere terminatore ‘0’.▼ Ci servirà quindi l’indirizzo da cui andare a leggere ed il giusto parametro di formato per leggerlo. Il parametro di formato che useremo sarà: "%s" che visualizzerà il contenuto dell’area di memoria in formato stringa ASCII (da un indirizzo memorizzato sullo stack). Utilizzando ad esempio la seguenti stringa di formato:[[File:StackMemory.png\|miniatura\|446x446px\|Salvataggio variabili sullo stack]]<syntaxhighlight lang="c"> printf ("\x10\x01\x48\x08_%08x-%08x-%08x-\|%s\|"); </syntaxhighlight> ~~La nostra format function mantiene all’interno dello stack il puntatore alla locazione di memoria del parametro di formato.~~ la sequenza di "%08x" incrementa il puntatore interno della format function verso il top dello stack. Dopo alcuni di questi incrementi, lo stack pointer punterà esattamente ~~alla~~all'indirizzo della nostra format string. Con il giusto numero di ‘%08x’ potremmo visualizzare la memoria (codificata in ASCII) da un qualsiasi indirizzo.▼ ▲Se fossimo in grado di far puntare quel puntatore all’area di memoria che ci interessa, potremmo dare quell’indirizzo al formato parametro "%s" così che, invocando la printf(), questa leggerà la memoria da quell’indirizzo fino a che non trova un carattere terminatore ‘0’ Bisogna quindi sostituire la parte iniziale della format string con un vero indirizzo. ▼ ~~Utilizzando ad esempio la seguenti stringa di formato:~~ ~~<source lang=c> ("AAA0AAA1_%08x.%08x.%08x.%08x.%08x"); </source>~~ ▲la sequenza di "%08x" incrementa il puntatore interno della format function verso il top dello stack. Dopo alcuni di questi incrementi, lo stack pointer punterà esattamente alla nostra format string. ~~Se scegliamo il numero giusto di ‘%08x’ potremmo visualizzare la memoria da un qualsiasi indirizzo mettendo alla fine delle stringa un format parametro ‘%s’~~ ▲Bisogna quindi sostituire la parte iniziale della format string con un vero indirizzo. Vogliamo leggere aree di memoria vicino a questo indirizzo ‘0x08480110’: * Per prima cosa bisogna codificare l'indirizzo in una stringa a [[32 bit]] secondo la regola little-endian. * l'indirizzo "0x08480110" verrà quindi ribaltato e separato da caratteri speciali diventando: "\x10\x01\x48\x08" La codifica dell’indirizzo scelto in una stringa a 32 bit "\x10\x01\x48\x08" dove il carattere "\x10" inserito in una stringa dice al compilatore di mettere un carattere esadecimale "0x10" nella posizione corrente. LaIl ~~codifica dell’indirizzo scelto in una stringa a 32 bit~~carattere "\~~x10\x01\x48\x08~~x" ~~dove il carattere ‘\x10’ inserito in una stringa~~ dice al compilatore di mettere unil ~~caratere~~carattere ~~esadecimale di valore~~esadecimanle "0x10" nella posizione corrente sullo stack. ~~Senza \x~~Altrimenti il valore ASCII ~~che verrebbe~~ salvato nella stringa sarebbe ‘1’ e ‘0’ i cui rispettivi valori ASCII sono ‘49’ e ‘48’, che risulterebbe errato. ~~<source lang=c> printf ("\x10\x01\x48\x08_%08x.%08x.%08x.%08x.%08x\|%s\|"); </source>~~ Quindi la seguente invocazione andrà a leggere memoria dall’indirizzo che gli abbiamo fornito finchè non raggiunge un NULL byte.▼ ~~Incrementando l’indirizzo di memoria dinamicamente possiamo mappare l’intera memoria di processo~~ Se si passa a una funzione che stampa una stringa a schermo (un esempio classico è la funzione [[printf]] del [[C (linguaggio)\|linguaggio C]]) una stringa che in realtà contiene una serie di parametri di specifica dell'input (tipicamente si usano identificatori di formato ''%s'' e ''%x'' per esaminare il contenuto della memoria e ''%n'' per sovrascrivere parti della memoria, in particolare dello [[stack]]) si permette l'avvio di un attacco di tipo [[stack overflow]] e ''return to libc''. Per proteggersi da questo attacco, quando si vuole stampare una stringa ''s'' usando la printf() o una qualsiasi funzione C che accetti un numero illimitato di identificatori di formato, bisogna scrivere la funzione ~~Text exampleText exampleprintf("%s",s)~~ ▲Quindi la seguente invocazione andrà a leggere memoria dall’indirizzo che gli abbiamo fornito ~~finchè~~finché non raggiunge un NULL byte. Incrementando l’[[indirizzo di memoria]] dinamicamente possiamo mappare l’intera memoria di processo! ~~e non scrivere~~ '''Scrivere un intero in (qualsiasi) locazione di memoria''' ~~printf(s)~~ La printf() ha un altro parametro di formato molto interessante: "%n". in quanto in questo modo l'input dell'utente non viene validato. La stringa StringPointer potrebbe contenere una serie di identificatori di formato. Questo tipo di attacco, comunque, diventa sempre più difficile grazie alla diffusione di una maggiore consapevolezza della necessità di gestire i rischi associati alla programmazione e alla conseguente diffusione di tecniche di programmazione sicura. <syntaxhighlight lang=c>int i; printf ("12345%n", &i);</syntaxhighlight> Con questo parametro il numero di caratteri scritti prima di lui verrà salvato nella variabile "i"! Quindi usando lo stesso metodo implementato per visualizzare il contenuto della memoria, possiamo andare a scrivere un intero (praticamente) ovunque. Basta sostituire "%n" al posto di "%s" ed il contenuto della cella "0x10014808" verrà sovrascritto. L'attaccante potrebbe quindi andare a cambiare certi flag che gli garantiscano il controllo o sovrascrivere celle con indirizzi di ritorno a nostro piacimento. == Voci correlate == * [[Cross Application Scripting]] * [[Stack overflow]] * [[Linguaggio C]] == Collegamenti esterni == * {{en}}scut / team teso [http://julianor.tripod.com/bc/formatstring-1.2.pdf Come sfruttare le Format String Vulnerabilities] v1.2 Sept 24, [[2001]] * {{cita web\|https://www.securecoding.cert.org\|CERT standard di programmazione sicura\|lingua=en}} * {{cita web\|~~http~~https://www.cert.org/secure-coding\|CERT iniziativa per la programmazione sicura\|lingua=en}} * {{cita web\|~~http~~https://www.cert.org/books/secure-coding\|programmazione sicura in C e C++\|lingua=en}} {{Portale\|~~Sicurezza~~sicurezza informatica}} [[Categoria:Tecniche di attacco informatico]]