Stack Overflow
¿Qué es un Desbordamiento de Pila?
Un desbordamiento de pila es una vulnerabilidad que ocurre cuando un programa escribe más datos en la pila de los que se le asignan para contener. Estos datos adicionales sobrescribirán el espacio de memoria adyacente, lo que lleva a la corrupción de datos válidos, la interrupción del flujo de control y potencialmente la ejecución de código malicioso. Este problema suele surgir debido al uso de funciones inseguras que no realizan comprobaciones de límites en la entrada.
El principal problema de esta sobrescritura es que el puntero de instrucción guardado (EIP/RIP) y el puntero de base guardado (EBP/RBP) para volver a la función anterior se almacenan en la pila. Por lo tanto, un atacante podrá sobrescribir esos valores y controlar el flujo de ejecución del programa.
La vulnerabilidad suele surgir porque una función copia dentro de la pila más bytes de los asignados para ella, pudiendo así sobrescribir otras partes de la pila.
Algunas funciones comunes vulnerables a esto son: strcpy
, strcat
, sprintf
, gets
... Además, funciones como fgets
, read
& memcpy
que toman un argumento de longitud, podrían utilizarse de manera vulnerable si la longitud especificada es mayor que la asignada.
Por ejemplo, las siguientes funciones podrían ser vulnerables:
Encontrar los desplazamientos de desbordamiento de pila
La forma más común de encontrar desbordamientos de pila es proporcionar una entrada muy grande de A
s (por ejemplo, python3 -c 'print("A"*1000)'
) y esperar un Segmentation Fault
que indique que se intentó acceder a la dirección 0x41414141
.
Además, una vez que se haya encontrado que hay una vulnerabilidad de desbordamiento de pila, será necesario encontrar el desplazamiento hasta que sea posible sobrescribir la dirección de retorno, para esto generalmente se utiliza una secuencia de De Bruijn. Que para un alfabeto dado de tamaño k y subsecuencias de longitud n es una secuencia cíclica en la que cada subsecuencia posible de longitud n aparece exactamente una vez como una subsecuencia contigua.
De esta manera, en lugar de tener que averiguar manualmente qué desplazamiento se necesita para controlar el EIP, es posible usar una de estas secuencias como relleno y luego encontrar el desplazamiento de los bytes que terminaron sobrescribiéndola.
Es posible utilizar pwntools para esto:
o GEF:
Explotando Desbordamientos de Pila
Durante un desbordamiento (suponiendo que el tamaño del desbordamiento es lo suficientemente grande) podrás sobrescribir valores de variables locales dentro de la pila hasta llegar a los valores guardados de EBP/RBP y EIP/RIP (o incluso más). La forma más común de abusar de este tipo de vulnerabilidad es modificando la dirección de retorno para que cuando la función termine, el flujo de control sea redirigido a donde el usuario lo especifique en este puntero.
Sin embargo, en otros escenarios tal vez solo sobrescribir algunos valores de variables en la pila sea suficiente para la explotación (como en desafíos CTF sencillos).
Ret2win
En este tipo de desafíos CTF, hay una función dentro del binario que nunca es llamada y que necesitas llamar para ganar. Para estos desafíos solo necesitas encontrar el desplazamiento para sobrescribir la dirección de retorno y encontrar la dirección de la función a llamar (generalmente ASLR estaría deshabilitado) para que cuando la función vulnerable retorne, se llame a la función oculta:
pageRet2winShellcode en la Pila
En este escenario, el atacante podría colocar un shellcode en la pila y abusar del EIP/RIP controlado para saltar al shellcode y ejecutar código arbitrario:
pageStack ShellcodeTécnicas ROP y Ret2...
Esta técnica es el marco fundamental para evadir la protección principal de la técnica anterior: No ejecución en la pila (NX). Y permite realizar varias otras técnicas (ret2lib, ret2syscall...) que terminarán ejecutando comandos arbitrarios abusando de las instrucciones existentes en el binario:
pageROP - Return Oriented ProgramingDesbordamientos de Montón
Un desbordamiento no siempre ocurrirá en la pila, también podría ocurrir en el montón, por ejemplo:
pageHeap OverflowTipos de protecciones
Existen varias protecciones que intentan prevenir la explotación de vulnerabilidades, consúltalas en:
pageCommon Binary Exploitation Protections & BypassesÚltima actualización