aeg automa c exploit genera on
play

AEG: Automa+c Exploit Genera+on Thanassis Avgerinos, Sang - PowerPoint PPT Presentation

Jun 22, 2023 •186 likes •729 views

AEG: Automa+c Exploit Genera+on Thanassis Avgerinos, Sang Kil Cha, Brent Lim Tze Hao, David Brumley 2/8/11 Carnegie Mellon University 1

  1. AEG: ¡Automa+c ¡Exploit ¡Genera+on ¡ Thanassis ¡Avgerinos, ¡ ¡ Sang ¡Kil ¡Cha, ¡ ¡ Brent ¡Lim ¡Tze ¡Hao, ¡ ¡ David ¡Brumley ¡ 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 1 ¡

  2. The ¡iwconfig ¡vulnerability ¡ 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 2 ¡

  3. iwconfig: ¡setuid ¡wireless ¡config ¡ 1 int get_info(int skfd, char * ifname, …){ 2 ... Inputs triggering bug: 3 if(iw_get_ext(skfd, ifname, SIOCGIWNAME, &wrq) < 0) length(argv[1]) > sizeof(ifr_name) 4 { 5 struct ifreq ifr; struct ifreq { 6 strcpy(ifr.ifr_name, ifname); char ifr_name[32] 7 } … } 8 print_info(int skfd, char *ifname,…){ 9 ... 10 get_info(skfd, ifname, …); 11 } Can you spot 12 main(int argc, char *argv[]){ the bug? 13 ... 14 print_info(skfd, argv[1], NULL, 0); 15 } 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 3 ¡

  4. Is ¡it ¡exploitable? ¡ • (Fundamental ¡ques+on ¡in ¡our ¡work) ¡ 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 4 ¡

  5. get_info ¡stack ¡frame ¡ 1 int get_info(int skfd, char * ifname, …){ Return ¡address ¡ 2 ... 3 if(iw_get_ext(skfd, ifname, SIOCGIWNAME, &wrq) < 0) … ¡ 4 { 5 struct ifreq ifr; < ¡locals ¡> ¡ 6 strcpy(ifr.ifr_name, ifname); … ¡ 68 ¡ 7 } bytes ¡ ¡ 8 print_info(int skfd, char *ifname,…){ ¡ 9 ... ifr.ifr_name ¡ 10 get_info(skfd, ifname, …); 11 } 12 main(int argc, char *argv[]){ 13 ... Memory ¡Layout ¡ 14 print_info(skfd, argv[1], NULL, 0); 15 } 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 5 ¡

  6. get_info ¡stack ¡frame ¡ 1 int get_info(int skfd, char * ifname, …){ Return ¡address ¡ 2 ... 3 if(iw_get_ext(skfd, ifname, SIOCGIWNAME, &wrq) < 0) … ¡ 4 { 5 struct ifreq ifr; < ¡locals ¡> ¡ 6 strcpy(ifr.ifr_name, ifname); … ¡ 68 ¡ 7 } bytes ¡ ¡ 8 print_info(int skfd, char *ifname,…){ ¡ 9 ... ifr.ifr_name ¡ 10 get_info(skfd, ifname, …); 11 } 12 main(int argc, char *argv[]){ 13 ... Memory ¡Layout ¡ 14 print_info(skfd, argv[1], NULL, 0); 15 } 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 6 ¡

  7. get_info ¡stack ¡frame ¡ 1 int get_info(int skfd, char * ifname, …){ Return ¡address ¡ 2 ... 3 if(iw_get_ext(skfd, ifname, SIOCGIWNAME, &wrq) < 0) … ¡ 4 { 5 struct ifreq ifr; < ¡locals ¡> ¡ 6 strcpy(ifr.ifr_name, ifname); … ¡ 68 ¡ 7 } bytes ¡ User ¡ ¡ 8 print_info(int skfd, char *ifname,…){ ¡ Input ¡ 9 ... ¡ 10 get_info(skfd, ifname, …); ifr.ifr_name ¡ 11 } 12 main(int argc, char *argv[]){ 13 ... Memory ¡Layout ¡ 14 print_info(skfd, argv[1], NULL, 0); 15 } 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 7 ¡

  8. get_info ¡stack ¡frame ¡ 1 int get_info(int skfd, char * ifname, …){ Return ¡address ¡ 2 ... 3 if(iw_get_ext(skfd, ifname, SIOCGIWNAME, &wrq) < 0) ¡ 4 { 5 struct ifreq ifr; ¡ 6 strcpy(ifr.ifr_name, ifname); User ¡ ¡ 68 ¡ 7 } Input ¡ bytes ¡ ¡ 8 print_info(int skfd, char *ifname,…){ ¡ 9 ... ¡ 10 get_info(skfd, ifname, …); ifr.ifr_name ¡ 11 } 12 main(int argc, char *argv[]){ 13 ... Memory ¡Layout ¡ 14 print_info(skfd, argv[1], NULL, 0); 15 } 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 8 ¡

  9. get_info ¡stack ¡frame ¡ 1 int get_info(int skfd, char * ifname, …){ 2 ... 3 if(iw_get_ext(skfd, ifname, SIOCGIWNAME, &wrq) < 0) ¡ 4 { User ¡ 5 struct ifreq ifr; ¡ 6 strcpy(ifr.ifr_name, ifname); ¡ Input ¡ 68 ¡ 7 } bytes ¡ ¡ 8 print_info(int skfd, char *ifname,…){ ¡ 9 ... ¡ 10 get_info(skfd, ifname, …); ifr.ifr_name ¡ 11 } 12 main(int argc, char *argv[]){ 13 ... Memory ¡Layout ¡ 14 print_info(skfd, argv[1], NULL, 0); 15 } 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 9 ¡

  10. Automa+c ¡Exploit ¡Genera+on ¡ Given ¡program, ¡find ¡bugs ¡and ¡demonstrate ¡exploitability ¡ 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 10 ¡

  11. DEMO ¡ 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 11 ¡

  12. Automa+c ¡Exploit ¡Genera+on ¡ Given ¡program, ¡find ¡bugs ¡and ¡demonstrate ¡exploitability ¡ Rest ¡of ¡the ¡talk ¡ ¡ • Our ¡problem ¡defini+on ¡and ¡scope ¡ • Techniques ¡and ¡challenges ¡ • Results ¡and ¡discussion ¡ 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 12 ¡

  13. Problem ¡Domain ¡ All ¡Inputs ¡ length(input) ¡> ¡sizeof(ifr_name) ¡ (Bugs) ¡ Control ¡ length(input) ¡> ¡sizeof(ifr_name) ¡ Hijack ¡ Λ ¡ “execute ¡shellcode” ¡ AEG ¡ 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 13 ¡

  14. The ¡goal ¡ AEG ¡ Exploits ¡ Prog ¡ Bug ¡ Exploit ¡ Compile ¡ Finder ¡ Generator ¡ 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 14 ¡

  15. Our ¡Approach ¡ Bugs ¡ Vulnerability ¡ Exploit ¡ Exploits ¡ Prog ¡ Genera+on ¡ Discovery ¡ Dynamic ¡ Symbolic ¡ Binary ¡ Execu+on ¡on ¡ Analysis ¡ source ¡code ¡ 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 15 ¡

  16. Vulnerability ¡ Discovery ¡ Technique: ¡ ¡ Symbolic ¡Execu+on ¡on ¡source ¡code ¡ Goal: ¡Discover ¡the ¡“buggy” ¡predicate ¡ 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 16 ¡

  17. Symbolic ¡Execu+on: ¡How ¡it ¡works ¡ x ¡is ¡input ¡ x ¡can ¡be ¡anything ¡ char ¡buf[42]; ¡ Buggy ¡Path ¡ Predicate ¡ (x ¡> ¡0) ¡ if ¡x ¡> ¡0 ¡ t ¡ f ¡ if ¡x*x ¡= ¡0x42424242 ¡ (x ¡> ¡0) ¡Λ ¡(x*x ¡= ¡0x42424242) ¡ t ¡ f ¡ buf[45] ¡= ¡x; ¡ Bug! ¡ 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 17 ¡

  18. Tradi+onal ¡symbolic ¡execu+on: ¡ ¡ cover ¡all ¡paths ¡ ¡ (Slow ¡to ¡find ¡exploitable ¡bugs) ¡ 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 18 ¡

  19. Tradi+onal ¡Symbolic ¡Execu+on ¡ strcpy(ifr_name, ¡ifname); ¡ If ¡ ¡(ifname[0] ¡!= ¡0) ¡ ¡ t ¡ f ¡ If ¡ ¡(ifname[1] ¡!= ¡0) ¡ ¡ for ¡(i ¡= ¡0 ¡; ¡ifname[i] ¡!= ¡0 ¡; ¡i++) ¡ t ¡ f ¡ ¡ ¡ ¡ ¡ifr_name[i] ¡= ¡ifname[i]; ¡ ifr_name[i] ¡= ¡0; ¡ … ¡ If ¡ ¡(ifname[n] ¡!= ¡0) ¡ ¡ t ¡ f ¡ 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 19 ¡

  20. Tradi+onal ¡Symbolic ¡Execu+on ¡ If ¡ ¡(ifname[0] ¡!= ¡0) ¡ ¡ t ¡ f ¡ If ¡ ¡(ifname[1] ¡!= ¡0) ¡ ¡ t ¡ f ¡ 20 ¡min ¡ explora+on ¡ … ¡ 30 ¡min ¡ If ¡ ¡(ifname[n] ¡!= ¡0) ¡ ¡ explora+on ¡ t ¡ f ¡ KLEE ¡[Cadar’08] ¡does ¡ ¡ Exploitable ¡ x ¡min ¡ Bug ¡found ¡ this ¡ explora+on ¡ 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 20 ¡

  21. Tradi+onal ¡symbolic ¡execu+on: ¡ ¡ cover ¡all ¡paths ¡ ¡ (Slow ¡to ¡find ¡exploitable ¡bugs) ¡ Our ¡Intui+on ¡for ¡Exploit ¡ Genera+on: ¡ ¡ only ¡explore ¡buggy ¡paths ¡(Fast) ¡ 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 21 ¡

  22. Insight: ¡ Precondi)on ¡Symbolic ¡Execu)on ¡ to ¡only ¡(likely) ¡exploitable ¡paths ¡ All ¡Inputs ¡ Bugs ¡ Precondi+on ¡ length(input) ¡> ¡n ¡ ¡ Control ¡ where ¡n ¡is ¡the ¡size ¡of ¡ Hijack ¡ the ¡smallest ¡buffer ¡ 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 22 ¡

  23. AEG: ¡Precondi+oned ¡Symbolic ¡Execu+on ¡ Unsa+sfiable ¡ Precondi+on ¡Check: ¡ If ¡ ¡(ifname[0] ¡!= ¡0) ¡ ¡ ¡ t ¡ f ¡ length(input) ¡> ¡n ¡ ¡ Unsa+sfiable ¡ Λ ¡ If ¡ ¡(ifname[1] ¡!= ¡0) ¡ ¡ ifname[0] ¡== ¡0 ¡ t ¡ f ¡ Not ¡explored. ¡ Precondi+on ¡Check: ¡ Saved ¡20 ¡min ¡ … ¡ ¡ length(input) ¡> ¡n ¡ ¡ Not ¡explored. ¡ Λ ¡ If ¡ ¡(ifname[n] ¡!= ¡0) ¡ ¡ Saved ¡30min ¡ Ifname[1] ¡== ¡0 ¡ t ¡ f ¡ Not ¡ Exploitable ¡ explored. ¡ Bug ¡found ¡ Saved ¡x ¡min ¡ 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 23 ¡

  24. How ¡to ¡select ¡the ¡length? ¡ • Lightweight ¡sta+c ¡analysis: ¡use ¡the ¡size ¡of ¡the ¡ largest ¡sta+cally ¡allocated ¡buffer ¡ • Allowed ¡AEG ¡to ¡fully ¡automa+cally ¡detect ¡10 ¡ of ¡the ¡16 ¡exploits ¡ 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 24 ¡

  25. Second ¡Insight ¡ Not ¡all ¡paths ¡are ¡equally ¡likely ¡to ¡be ¡exploitable ¡ 2/8/11 ¡ Carnegie ¡Mellon ¡University ¡ 25 ¡

Recommend

Automa'c Genera'on Control Using Ar'ficial Neural Networks By-

Automa'c Genera'on Control Using Ar'ficial Neural Networks By-

Automa'c Genera'on Control Using Ar'ficial Neural Networks By- Harkirat Singh Choong Introduc'on What is Automa'c Genera'on Control (AGC)? There is

736 views • 47 slides
Automa;c Rules Genera;on for CEP G. Cugola E. Della

Automa;c Rules Genera;on for CEP G. Cugola E. Della

Stream and Complex Event Processing Learning From the Past Automa;c Rules Genera;on for CEP G. Cugola E. Della Valle A. Margara

281 views • 26 slides
Automa'c Genera'on Control using Intelligent Controllers Harkirat

Automa'c Genera'on Control using Intelligent Controllers Harkirat

Automa'c Genera'on Control using Intelligent Controllers Harkirat Singh Choong Fuzzy Logic Fuzzy Logic paper by Prof. LoCi Zadeh, faculty in

472 views • 18 slides
New England Electricity Restructuring Roundtable November 21,

New England Electricity Restructuring Roundtable November 21,

Next Genera*on Demand Response: Responsive Demand through Automa*on and Variable Pricing New England Electricity Restructuring Roundtable November 21, 2014

494 views • 7 slides
ATCA Automa*on Jamie Stevens | ATCA Senior Systems

ATCA Automa*on Jamie Stevens | ATCA Senior Systems

ATCA Automa*on Jamie Stevens | ATCA Senior Systems Scien1st / Lead Scien1st 2 June 2015 ASTRONOMY AND SPACE SCIENCE ATCA Automa*on

266 views • 7 slides
Zero Exploit Tolerance By Jamie Butler and Cody Pierce Confidential and Proprietary Who we are

Zero Exploit Tolerance By Jamie Butler and Cody Pierce Confidential and Proprietary Who we are

Zero Exploit Tolerance By Jamie Butler and Cody Pierce Confidential and Proprietary Who we are The exploit problem Modern software vulnerabilities Hardware-assisted exploit Agenda prevention Prior research

674 views • 45 slides
The Gender Equality Network in Physics in the European Research Area (GENERA) in Physics Day

The Gender Equality Network in Physics in the European Research Area (GENERA) in Physics Day

The Gender Equality Network in Physics in the European Research Area (GENERA) in Physics Day in Geneva Objectives of the day teresa.montaruli@unige.ch and tessa.carver@unige.ch 1 What is GENERA? GENERA is a project from physics

475 views • 22 slides
Li#ing Off: Our Ini-al Product and Our Next Genera-on

Li#ing Off: Our Ini-al Product and Our Next Genera-on

Li#ing Off: Our Ini-al Product and Our Next Genera-on Ideas Tom Deyo, CEO and Bonnie Norman and Bob Sahadi of Board of Directors What are we covering today?

297 views • 18 slides
Towards Automa-c Topical Classifica-on of LOD Datasets

Towards Automa-c Topical Classifica-on of LOD Datasets

Towards Automa-c Topical Classifica-on of LOD Datasets Robert Meusel 1 , Blerina Spahiu 2 , Chris7an Bizer 1 , Heiko Paulheim 1 1. University of

307 views • 13 slides
Automa'c design of digital synthe'c gene circuits Mario A. Marchisio and Joerg Stelling

Automa'c design of digital synthe'c gene circuits Mario A. Marchisio and Joerg Stelling

Automa'c design of digital synthe'c gene circuits Mario A. Marchisio and Joerg Stelling Department of Biosystems Science and Engineering ETH Zurich Anaheim, 15/06/10 Summary Automa'c gene circuit design: the problem. The Karnaugh map

534 views • 16 slides
aka Der Hacker und die 7 Geilein 27/03/2018 // Exploit Development for Dummies

aka Der Hacker und die 7 Geilein 27/03/2018 // Exploit Development for Dummies

Ein Blick in die Hexenkche der Exploit Entwickler aka Der Hacker und die 7 Geilein 27/03/2018 // Exploit Development for Dummies https://www.bee-itsecurity.at // Page 2 27/03/2018 // Exploit Development for Dummies

613 views • 48 slides
Automa'c Radiometric Calibra'on from Mo'on Images Ricardo R.

Automa'c Radiometric Calibra'on from Mo'on Images Ricardo R.

Automa'c Radiometric Calibra'on from Mo'on Images Ricardo R. Figueroa Assistant Professor, Mo'on Picture Science GCCIS Part-'me PhD Student Jinwei Gu,

233 views • 20 slides
Q: Exploit Hardening Made Easy Edward J. Schwartz, Thanassis Avgerinos, and David Brumley

Q: Exploit Hardening Made Easy Edward J. Schwartz, Thanassis Avgerinos, and David Brumley

Q: Exploit Hardening Made Easy Edward J. Schwartz, Thanassis Avgerinos, and David Brumley Carnegie Mellon University 8/15/2011 1 Downloading Exploits I found a Exploit control flow hijack exploit online! Evil Ed Windows 7 8/15/2011 2

837 views • 58 slides
The Impact of Automa/on on the Demand for Skills and

The Impact of Automa/on on the Demand for Skills and

The Impact of Automa/on on the Demand for Skills and Poten/al Educa/on Systems Responses David H. Autor, MIT and NBER Roundtable on Educa/on

461 views • 43 slides
Automa'c Methods for Coding Historical Occupa'on Descrip'ons to

Automa'c Methods for Coding Historical Occupa'on Descrip'ons to

Automa'c Methods for Coding Historical Occupa'on Descrip'ons to Standard Classifica'ons Graham Kirby, Jamie Carson, Fraser Dunlop, Chris Dibben, Alan Dearle, Lee

819 views • 52 slides
------------ GOOD LUCK ON THE EXAM ----------------- 1) In Buffer Overflow exploit, which of the

------------ GOOD LUCK ON THE EXAM ----------------- 1) In Buffer Overflow exploit, which of the

------------ GOOD LUCK ON THE EXAM ----------------- 1) In Buffer Overflow exploit, which of the following registers gets overwritten with return address of the exploit code? A. EIP B. ESP C. EAP D. EEP Ans: A 2)Which type of scan does not

431 views • 18 slides
Image Segmenta*on Using Min-Cut Problem: automa*cally classify

Image Segmenta*on Using Min-Cut Problem: automa*cally classify

Image Segmenta*on Using Min-Cut Problem: automa*cally classify pixels as foreground or background Graph Representa*on Each pixel is connected to its

462 views • 6 slides
Automa'c, Efficient, and General Repair of So8ware Defects using

Automa'c, Efficient, and General Repair of So8ware Defects using

Automa'c, Efficient, and General Repair of So8ware Defects using Lightweight Program Analyses Disserta'on Proposal Claire Le Goues September 22, 2010 So8ware

556 views • 30 slides
MDS: Mul*ple Dimensions of Sustainability Next Genera*on Approaches

MDS: Mul*ple Dimensions of Sustainability Next Genera*on Approaches

MDS: Mul*ple Dimensions of Sustainability Next Genera*on Approaches to Support MDS Workshop Co-Organizers Jean-Michel Bruel , University of Toulouse,

357 views • 8 slides
Automa'c Iden'fica'on of Research Ar'cles from Crawled Documents

Automa'c Iden'fica'on of Research Ar'cles from Crawled Documents

Automa'c Iden'fica'on of Research Ar'cles from Crawled Documents Cornelia Caragea 1 , Jian Wu 2 , Kyle Williams 2 , Sujatha Das G. 1 , Madian Khabsa 3 , Pradeep

470 views • 25 slides
by a by a No Novel el Automa utomated ted Indent Indentation tion Tec echnique hnique

by a by a No Novel el Automa utomated ted Indent Indentation tion Tec echnique hnique

Wound ound Healing Healing Revealed ealed by a by a No Novel el Automa utomated ted Indent Indentation tion Tec echnique hnique Sotcheadt Sim 1,2 Martin Garon 2 Eric Quenneville 2 Michael D. Buschmann 1 1 Institute of Biomedical

246 views • 23 slides
Automatic Exploit Generation an Odyssey Sophia DAntoine CanSecWest 2016 Introduction

Automatic Exploit Generation an Odyssey Sophia DAntoine CanSecWest 2016 Introduction

Automatic Exploit Generation an Odyssey Sophia DAntoine CanSecWest 2016 Introduction Programs have become increasingly difficult to exploit larger, changing surface area mitigations more bytes to siphon through 10/22/2015

652 views • 46 slides
Genera&amp;ve Adversarial Networks NTT

Genera&amp;ve Adversarial Networks NTT

Genera&amp;ve Adversarial Networks NTT 2020 6 10 @JSAI2020 KS-02 AI MIRU2020

899 views • 70 slides
Genera&amp;ng a power set Given a set of elements, would

Genera&amp;ng a power set Given a set of elements, would

Genera&amp;ng a power set Given a set of elements, would like to find set of all subsets [1, 2, 3] Leads to [], [1], [2], [3],

310 views • 8 slides

More recommend