Читаем Защита от хакеров корпоративных сетей полностью

Содержимое стека просматривается с помощью спецификаций преобразования %010p. Спецификация формата %010p выводит очередное слово стека в восьмисимвольном шестнадцатеричном представлении с предшествующими символами 0x. С помощью функции библиотеки языка C strtoul каждая из выведенных строк преобразуется в длинное целое двоичное число без знака.

Главное, что должна сделать программа, – это выполнить произвольный программный код. Для этого ей нужно подменить величины, которые могут указывать на выполнимые команды. Одной из них является адрес точки возврата из функции. Ранее уже отмечалось, что при переполнении буфера часто перезаписываются адреса возврата из функций. Адреса возврата перезаписываются по двум причинам. Во-первых, они находятся в стеке, а во-вторых, при переполнении буфера их можно перезаписать. В рассматриваемой программе адрес возврата из функции подменяется на адрес злонамеренного программного кода, прежде всего из-за легкости, с которой выполняется эта операция.

В программе атаки переписывается адрес возврата функции print_error, который при вызове функции сохраняется в стеке. Поскольку программа предназначена только для демонстрации возможности подобных действий и на момент тестирования программы атаки адрес возврата из функции print_ error находился в стеке сервиса по адресу 0xbffff8c8, то адрес перезаписываемой области в программе атаки задан символической константой TARGET.

for(i = 0;i{

strncat(str,“%x”,2); // work our way to where target is

В переменной num хранится число просмотренных слов стека, предшествующих форматирующей строке. Число просмотренных слов определяется функцией brute_force. Осталось определить адрес записи. Адрес возврата перезаписывается ранее обсуждавшимся способом многократной записи. Для формирования четырехбайтного адреса используют четыре операции записи с различным смещением от начала перезаписываемой области данных. Адреса каждого из четырех байтов перезаписываемой области помещаются в отсылаемую строку:

*((long *)(str+8)) = TARGET; // target

*((long *)(str+16)) = TARGET+1;

*((long *)(str+24)) = TARGET+2;

*((long *)(str+32)) = TARGET+3;

Следующий шаг состоит в записи правильных величин, определяющих адрес злонамеренного управляющего программного кода в стеке. Поскольку программа атаки только демонстрирует обсуждаемые возможности, то в ней в качестве адреса злонамеренного управляющего программного кода используется постоянный адрес 0xbffff99d. При формировании адреса 0xbffff99d в каждый байт выделенной для записи области помещаются младшие разряды величин, специально подобранных программой атаки:

TARGET – 9d

TARGET+1 – f9

TARGET+2 – ff