ecs 153 discussion section
play

ECS 153 Discussion Section April 6, 2015 1 What Well Cover Goal : - PowerPoint PPT Presentation

Mar 13, 2024 •235 likes •620 views

ECS 153 Discussion Section April 6, 2015 1 What Well Cover Goal : To discuss buffer overflows in detail Stack-based buffer overflows Smashing the stack: execution from the stack

  1. ECS ¡153 ¡Discussion ¡Section April ¡6, ¡2015 1

  2. What ¡We’ll ¡Cover Goal : – To ¡discuss ¡buffer ¡overflows ¡in ¡detail • Stack-­‑based ¡buffer ¡overflows – “Smashing ¡the ¡stack”: ¡execution ¡from ¡the ¡stack – ARC ¡(or ¡return-­‑to-­‑libc) ¡attacks; ¡ROP • Data-­‑based ¡buffer ¡overflows • Ways ¡to ¡avoid ¡and ¡detect ¡them 2

  3. What ¡They ¡Are • Traditionally ¡considered ¡as ¡a ¡technique ¡to ¡ have ¡your ¡code ¡executed ¡by ¡a ¡running ¡ program • Other, ¡less ¡examined ¡uses: – Overflow ¡data ¡area ¡to ¡alter ¡variable ¡values – Overflow ¡heap ¡to ¡alter ¡variable ¡values ¡or ¡return ¡ addresses – Execute ¡code ¡contained ¡in ¡environment ¡variables ¡ (not ¡fundamentally ¡different, ¡but ¡usually ¡stored ¡ on ¡stack) 3

  4. Process ¡Memory ¡Structure text data stack heap (instructions) 4

  5. Typical ¡Stack ¡Structure return ¡address processor ¡status ¡word stack ¡grows local ¡ local ¡ variable variable ¡ values values stack ¡shrinks 5

  6. Idea • Figure ¡out ¡what ¡buffers ¡are ¡stored ¡on ¡the ¡ stack • Write ¡a ¡small ¡machine-­‑language ¡program ¡to ¡ do ¡what ¡you ¡want ¡(exec ¡a ¡shell, ¡for ¡example) • Add ¡enough ¡bytes ¡to ¡pad ¡out ¡the ¡buffer ¡to ¡ reach ¡the ¡return ¡address • Alter ¡return ¡address ¡so ¡it ¡returns ¡to ¡the ¡ beginning ¡of ¡the ¡buffer – Thereby ¡executing ¡your ¡code ¡… 6

  7. In ¡Pictures gets local gets local variables variables other ¡return other ¡return state ¡info state ¡info after return ¡address address ¡of message of ¡ main input ¡buffer parameter ¡to program ¡to gets invoke ¡shell program ¡to input ¡buffer invoke ¡shell main local main local variables variables the ¡usual ¡stack the ¡stack ¡after ¡the ¡attack 7

  8. In ¡Words • Parameter ¡to ¡ gets (3) ¡is ¡a ¡pointer ¡to ¡a ¡buffer – Here, ¡buffer ¡is ¡256 ¡bytes ¡long • Buffer ¡is ¡local ¡to ¡caller, ¡hence ¡on ¡the ¡stack • Input ¡your ¡shell ¡executing ¡program – Must ¡be ¡in ¡machine ¡language ¡of ¡the ¡target ¡processor – 45 ¡bytes ¡on ¡a ¡Linux/i386 ¡PC ¡box – Pad ¡it ¡with ¡256 ¡– 45 ¡+ ¡4 ¡= ¡215 ¡bytes – Add ¡4 ¡bytes ¡containing ¡address ¡of ¡buffer • These ¡alter ¡the ¡return ¡address ¡on ¡the ¡stack 8

  9. Required • Change ¡return ¡address – Best: ¡you ¡know ¡how ¡many ¡bytes ¡the ¡return ¡ address ¡is ¡from ¡the ¡buffer – Approach: ¡pad ¡shell ¡code ¡routine ¡with ¡address ¡of ¡ beginning ¡of ¡buffer • If ¡not ¡sure, ¡put ¡NOPs ¡before ¡shell ¡code, ¡and ¡guess • Use ¡buffer ¡address ¡as ¡padding – Need ¡to ¡get ¡alignment ¡right, ¡though 9

  10. Also ¡Required • Machine ¡language ¡program ¡to ¡spawn ¡subshell (or ¡ whatever) ¡that ¡does ¡not ¡contain ¡either ¡a ¡newline ¡ or ¡a ¡NUL ¡(string ¡terminator) – If ¡string ¡loaded ¡by ¡standard ¡I/O ¡function ¡(like ¡ gets (3)), ¡ no ¡NULs ¡or ¡newlines ¡allowed – If ¡string ¡loaded ¡by ¡string ¡function ¡(like ¡ strcpy (3)), ¡no ¡ NULs allowed • strncpy terminates ¡on ¡NUL ¡as ¡well ¡as ¡length ¡… – Many ¡other ¡problems ¡(e.g., ¡buffer ¡may ¡be ¡massaged ¡ by ¡ tolower (), ¡so ¡can’t ¡contain ¡upper ¡case) 10

  11. Quick ¡Test • If ¡you ¡overflow ¡the ¡return ¡address ¡with ¡some ¡ fixed ¡character, ¡you ¡are ¡likely ¡to ¡load ¡that ¡ location ¡with ¡an ¡illegal ¡address • So, ¡enter ¡fixed ¡data ¡as ¡input ¡(or ¡as ¡arguments) – Usual ¡value ¡is ¡sequence ¡of ¡‘A’ ¡(0x41) • If ¡the ¡program ¡crashes, ¡you ¡probably ¡have ¡a ¡ stack ¡overflow – Go ¡look ¡at ¡the ¡stored ¡address ¡in ¡the ¡program ¡ counter; ¡if ¡it’s ¡0x41414141, ¡you ¡have ¡an ¡overflow 11

  12. Where ¡to ¡Put ¡Shell ¡Code • In ¡the ¡buffer – Get ¡address ¡by ¡running ¡ gdb , ¡ trace ¡ or ¡their ¡ilk • Need ¡access ¡to ¡system ¡of ¡same ¡type ¡as ¡attacked ¡system • Somewhere ¡else: ¡environment ¡list – Stored ¡in ¡standard ¡place ¡for ¡all ¡processes – Put ¡shell ¡code ¡in ¡last ¡environment ¡variable • Create ¡new ¡one – Calculate ¡and ¡supply ¡this ¡address 12

  13. Variations ¡on ¡a ¡Theme • Return-­‑to-­‑libc (arc ¡injection) ¡attack – Change ¡the ¡return ¡address ¡to ¡point ¡to ¡a ¡library, ¡or ¡ other ¡function • On ¡return ¡you ¡will ¡jump ¡to ¡that ¡routine – Set ¡up ¡the ¡stack ¡so ¡when ¡you ¡jump ¡to ¡that ¡ function, ¡it ¡looks ¡like ¡a ¡proper ¡function ¡call • Then ¡the ¡function ¡executes ¡… ¡under ¡ your control 13

  14. Return-­‑Oriented ¡Programmng (ROP) • Like ¡return-­‑to-­‑libc, ¡but ¡jump ¡to ¡code ¡ sequences ¡rather ¡than ¡function ¡entry ¡points – Sequence ¡terminates ¡with ¡a ¡return – Enough ¡of ¡these ¡sequences ¡in ¡standard ¡C ¡library ¡ to ¡form ¡a ¡simple ¡programming ¡language • Attack: ¡chain ¡these ¡together ¡using ¡the ¡stack ¡to ¡ handle ¡their ¡invocation – Sounds ¡complex, ¡but ¡can ¡be ¡made ¡simple 14

  15. Data ¡Segment ¡Buffer ¡Overflows • Can’t ¡change ¡return ¡address – Systems ¡prevent ¡crossing ¡data, ¡stack ¡boundary • Even ¡if ¡they ¡didn’t, ¡you ¡would ¡need ¡to ¡enter ¡a ¡pretty ¡long ¡ string ¡to ¡cross ¡from ¡data ¡to ¡stack ¡segment! • Change ¡values ¡of ¡other ¡critical ¡parameters – Variables ¡stored ¡in ¡data ¡area ¡control ¡execution, ¡file ¡ access • Can ¡change ¡binary ¡or ¡string ¡data ¡using ¡technique ¡ similar ¡to ¡that ¡of ¡stack ¡buffer ¡overflowing 15

  16. Example: ¡ login ¡ Problem • Program ¡stored ¡user-­‑typed ¡password, ¡hash ¡from ¡ password ¡file ¡in ¡two ¡adjacent ¡arrays • Algorithm – Obtain ¡user ¡name, ¡load ¡corresponding ¡hash ¡into ¡array – Read ¡user ¡password ¡into ¡array, ¡hash, ¡compare ¡to ¡ contents ¡of ¡hash ¡array • Attack – Generate ¡any ¡8 ¡character ¡password, ¡corresponding ¡ hash – When ¡asked ¡for ¡password, ¡enter ¡it, ¡type ¡72 ¡ characters, ¡then ¡type ¡corresponding ¡hash 16

  17. In ¡Pictures buffer ¡for buffer ¡for ¡cleartext password ¡(80 ¡bytes) hash ¡(13 ¡bytes) 0 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡79 ¡80 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ 92 store ¡hash ¡from load ¡password ¡buffer ¡from ¡0 ¡on /etc/passwd when given ¡login ¡name 17

  18. Requires • Knowing ¡what ¡data ¡structures ¡are, ¡and ¡where – Need ¡positions ¡with ¡respect ¡to ¡one ¡another – If ¡symbol ¡table ¡present, ¡use ¡ nm (1) • Knowing ¡what ¡data ¡structures ¡are ¡used ¡for – Use ¡the ¡source – Guess – Disassemble ¡the ¡code • Knowing ¡what ¡a ¡“good” ¡value ¡is – Good ¡for ¡the ¡attacker ¡and ¡bad ¡for ¡the ¡system 18

  19. Example: ¡The ¡ syslogd Bug • On ¡one ¡system, ¡ syslogd read ¡message ¡from ¡a ¡ socket – Does ¡not ¡use ¡ gets (), ¡so ¡no ¡overflow ¡at ¡the ¡read • Message ¡formatted ¡with ¡PID, ¡date, ¡ etc . – Used ¡ sprintf (3) ¡to ¡write ¡into ¡an ¡array ¡called ¡ line2 allocated ¡with ¡2048 ¡characters • This ¡array ¡for ¡ sprintf can ¡overflow 19

  20. The ¡Problem • In ¡the ¡3 ¡cases ¡we’ve ¡seen, ¡string ¡put ¡into ¡array ¡ without ¡being ¡checked ¡for ¡overflow – fingerd • If ¡ buf not ¡overflowed, ¡stack ¡uncorrupted ¡and ¡return ¡made ¡to ¡ main – login • If ¡ passwd not ¡overflowed, ¡hash ¡not ¡altered ¡and ¡correct ¡hash ¡used ¡ to ¡validate ¡password – syslogd • If ¡ line2 not ¡overflowed, ¡stack ¡uncorrupted ¡and ¡return ¡made ¡to ¡ caller 20

  21. Selective ¡Buffer ¡Overflow • Sets ¡particular ¡locations ¡rather ¡than ¡just ¡ overwriting ¡everything • Principles ¡are ¡the ¡same, ¡but ¡you ¡have ¡to ¡ determine ¡the ¡specific ¡locations ¡involved • Cannot ¡approximate, ¡as ¡you ¡could ¡for ¡general ¡ stack ¡overflow; ¡need ¡exact ¡address – Advantage: ¡it’s ¡fixed ¡across ¡all ¡invocations ¡of ¡the ¡ program, ¡whereas ¡a ¡stack ¡address ¡can ¡change ¡ depending ¡on ¡memory ¡layout, ¡input, ¡or ¡other ¡actions 21

  22. Sendmail Configuration ¡File • sendmail takes ¡debugging ¡flags ¡of ¡form ¡ flag.value – sendmail -­‑d7,102 ¡sets ¡debugging ¡flag ¡7 ¡to ¡value ¡102 • Flags ¡stored ¡in ¡array ¡in ¡data ¡segment • Name ¡of ¡default ¡configuration ¡file ¡also ¡stored ¡in ¡ array ¡in ¡data ¡segment – It’s ¡called ¡ sendmail.cf • Config file ¡contains ¡name ¡of ¡local ¡delivery ¡agent – Mlocal line; ¡usually ¡/bin/mail ¡… 22

Recommend

Discussion Researchers use the discussion to examine their work in the larger context of

Discussion Researchers use the discussion to examine their work in the larger context of

Providence University Discussion College of Management Discussion is usually the last major section of the report, followed by the list of references. In the discussion you step back and take a broad look at your findings and your

397 views • 4 slides
1 Interested in Memory Mgmt Only Some basic concepts Registers, Code segment, Program counter

1 Interested in Memory Mgmt Only Some basic concepts Registers, Code segment, Program counter

CS 242 Revised class schedule Scope, Function Calls and Storage Management Wed Oct 27 No lecture; discussion section during class time Midterm Exam 7-9PM Friday Oct 29 John Mitchell No discussion section Topics

224 views • 8 slides
Scope, Function Calls and Storage Management Friday Oct 17 No lecture; discussion section

Scope, Function Calls and Storage Management Friday Oct 17 No lecture; discussion section

CS 242 Revised class schedule Scope, Function Calls and Storage Management Friday Oct 17 No lecture; discussion section as usual Friday Oct 24 No section John Mitchell Monday Oct 27 Review section during class meeting

529 views • 8 slides
Download Worksheet 10 Please mute yourself when not asking questions CS 152: Discussion Section

Download Worksheet 10 Please mute yourself when not asking questions CS 152: Discussion Section

Download Worksheet 10 Please mute yourself when not asking questions CS 152: Discussion Section 11 Cache Coherence Albert Ou, Yue Dai 04/17/2020 Administrivia Lab 5 release postponed until Mon, April 20 Will be due on Mon, May 4 instead

426 views • 14 slides
CS 152: Discussion Section 7 Branch Predictor and VLIW Albert Ou, Yue Dai 03/013/2020

CS 152: Discussion Section 7 Branch Predictor and VLIW Albert Ou, Yue Dai 03/013/2020

CS 152: Discussion Section 7 Branch Predictor and VLIW Albert Ou, Yue Dai 03/013/2020 Administrivia Problem Set 3 due 10:30am on Mon, March 16 Lab 3 released today, due 10:30am on Mon, April 6 Midterm 1 scores are available on

379 views • 18 slides
PH296, Section 36 February 25, 2002 Discussion of: K. Kerr, M. Martin, and G. Churchill. (2000).

PH296, Section 36 February 25, 2002 Discussion of: K. Kerr, M. Martin, and G. Churchill. (2000).

PH296, Section 36 February 25, 2002 Discussion of: K. Kerr, M. Martin, and G. Churchill. (2000). Analysis of variance for gene expression microarray data. Journal of Computational Biology 7 (6): 819-837. S. Dudoit, Y.H. Yang, M. Callow, and T.

200 views • 18 slides
CS152: Discussion Section 1 Introduction / Microprogramming / Lab 1 Overview Albert Ou, Yue Dai

CS152: Discussion Section 1 Introduction / Microprogramming / Lab 1 Overview Albert Ou, Yue Dai

Welcome Arch vs arch Microcode Lab 1 Overview CS152: Discussion Section 1 Introduction / Microprogramming / Lab 1 Overview Albert Ou, Yue Dai Department of Electrical Engineering and Computer Sciences University of California, Berkeley

830 views • 32 slides
CPC Annual Meeting Discussion of Section 20.10.280, Infill Development 20.10.280 Infill

CPC Annual Meeting Discussion of Section 20.10.280, Infill Development 20.10.280 Infill

CPC Annual Meeting Discussion of Section 20.10.280, Infill Development 20.10.280 Infill development. apply to any property designated with an overlay designation to encourage redevelopment and infill development , the specific purposes of

417 views • 13 slides
What are the right abstractions for capturing programming and intent Discussion section Thursday

What are the right abstractions for capturing programming and intent Discussion section Thursday

What are the right abstractions for capturing programming and intent Discussion section Thursday Feb 12, 11:25-12:15 Capturing Intent Aaron Gember: Infer intent. Can you simply look at configurations or dataplane to extract intent. What

310 views • 8 slides
CSE 140 Discussion Section - Apr 09 14 Topics Consensus Theorem Shannons

CSE 140 Discussion Section - Apr 09 14 Topics Consensus Theorem Shannons

CSE 140 Discussion Section - Apr 09 14 Topics Consensus Theorem Shannons Expansion Truth Tables and Circuits Consensus Theorem In SOP form AB+BC+AC = AB+BC In POS form (A+B)(B+C)(A+C) = (A+B)(B+C) Proof of

460 views • 16 slides
Fermilab NORTH 0 20 20 40 1"=20'-0" 2/8/2019 6:57:50 PM 4850 LEVEL SCALE SC LE

Fermilab NORTH 0 20 20 40 1"=20'-0" 2/8/2019 6:57:50 PM 4850 LEVEL SCALE SC LE

SECTION 3 SECTION 4 SECTION 4 SECTION 6 SECTION 3 SECTION 6 SECTION 5 SECTION 2 SECTION 1 SECTION 2 SEE NOTE 6 10' - 9" (3.30m) 9' - 6" (2.90m) 9' - 6" (2.90m) 27' - 4" (8.35m) 198' - 4" (60.45m) 40' -

825 views • 28 slides
CS 152: Discussion Section 2 Pipelining Review Yue Dai, Albert Ou 02/07/2020 Administrivia PS1

CS 152: Discussion Section 2 Pipelining Review Yue Dai, Albert Ou 02/07/2020 Administrivia PS1

CS 152: Discussion Section 2 Pipelining Review Yue Dai, Albert Ou 02/07/2020 Administrivia PS1 due on Monday 10:30am ; solutions will be released next Friday PS2 will be released next Wednesday Lab 1 due on Wednesday, Feb 19th

470 views • 20 slides
Backpropagation TA: Yi Wen April 17, 2020 CS231n Discussion Section Slides credits: Barak

Backpropagation TA: Yi Wen April 17, 2020 CS231n Discussion Section Slides credits: Barak

Backpropagation TA: Yi Wen April 17, 2020 CS231n Discussion Section Slides credits: Barak Oshri, Vincent Chen, Nish Khandwala, Yi Wen Agenda Motivation Backprop Tips & Tricks Matrix calculus primer Agenda Motivation

1.38k views • 39 slides
CS 152: Discussion Section 6 Out-of-Order Execution Albert Ou, Yue Dai 03/06/2020 Administrivia

CS 152: Discussion Section 6 Out-of-Order Execution Albert Ou, Yue Dai 03/06/2020 Administrivia

CS 152: Discussion Section 6 Out-of-Order Execution Albert Ou, Yue Dai 03/06/2020 Administrivia Lab 2 due 10:30am on Mon, March 9 Problem Set 3 due 10:30am on Mon, March 16 Midterm 1 scores will be available on Gradescope on Wed,

622 views • 20 slides
4Q2009 Earnings Presentation Discussion of Forward-Looking Statements The information in this

4Q2009 Earnings Presentation Discussion of Forward-Looking Statements The information in this

4Q2009 Earnings Presentation Discussion of Forward-Looking Statements The information in this document contains forward-looking statements within the meaning of Section 27A of the Securities Act of 1933, as amended, and Section 21E of the

633 views • 31 slides
4Q2008 Earnings Presentation Discussion of Forward-Looking Statements The information in this

4Q2008 Earnings Presentation Discussion of Forward-Looking Statements The information in this

4Q2008 Earnings Presentation Discussion of Forward-Looking Statements The information in this release contains forward-looking statements within the meaning of Section 27A of the Securities Act of 1933, as amended, and Section 21E of the

912 views • 16 slides
Review and Discussion on Board Policy and Procedures Section 602.16 Specialized School Downtown

Review and Discussion on Board Policy and Procedures Section 602.16 Specialized School Downtown

Review and Discussion on Board Policy and Procedures Section 602.16 Specialized School Downtown Elementary Policy Change Options Option A - Leave as is Option B - Adjust criteria for enrollment priority and/or configuration Option B1 -

668 views • 7 slides
CSE 416, Section 1 Semester Project Discussion Session Objectives Understand issues and

CSE 416, Section 1 Semester Project Discussion Session Objectives Understand issues and

Session 2 Project Overview CSE 416, Section 1 Semester Project Discussion Session Objectives Understand issues and terminology used in US congressional redistricting and voting analysis Understand data requirements to support voting

608 views • 14 slides
Agenda Section 1: Introduction Section 2: Emergency & Welfare Arrangements Section

Agenda Section 1: Introduction Section 2: Emergency & Welfare Arrangements Section

Health, Safety and Environment Induction Agenda Section 1: Introduction Section 2: Emergency & Welfare Arrangements Section 3: Leadership & Recognition Section 4: Systems & Policies Section 5: Hazard & Risk

579 views • 13 slides
Discussion on STB Rate Setting, Part I Bill Huneke, Chief, Section of Economics Bill Huneke,

Discussion on STB Rate Setting, Part I Bill Huneke, Chief, Section of Economics Bill Huneke,

Discussion on STB Rate Setting, Part I Bill Huneke, Chief, Section of Economics Bill Huneke, Chief, Section of Economics Kent Phillips, Supervisory Financial Analyst Kent Phillips, Supervisory Financial Analyst Michael Redisch, Deputy Director

447 views • 31 slides
http://jdyeakel.github.io/teaching/dinos/ How to contact me Important information: Discussion

http://jdyeakel.github.io/teaching/dinos/ How to contact me Important information: Discussion

http://jdyeakel.github.io/teaching/dinos/ How to contact me Important information: Discussion sections: Monday @ 1:30-2:20 Paola Monday @ 2:30-3:20 Bobby CLSSRM 282 Discussion section starts NEXT week Make sure you are signed up Justin

524 views • 40 slides
61A Lecture 33 Guerrilla section about logic programming coming soon... Homework 11 due

61A Lecture 33 Guerrilla section about logic programming coming soon... Homework 11 due

Announcements Homework 10 due Tuesday 11/26 @ 11:59pm No lecture on Wednesday 11/27 or Friday 11/29 No discussion section Wednesday 11/27 through Friday 11/29 ! Lab will be held on Wednesday 11/27 Recursive art contest entries due

354 views • 4 slides
321 Section, Week 2 Natalie Linnell All lions are fierce Discussion Some lions do not drink

321 Section, Week 2 Natalie Linnell All lions are fierce Discussion Some lions do not drink

321 Section, Week 2 Natalie Linnell All lions are fierce Discussion Some lions do not drink coffee Some fierce creatures do not drink coffee Translate into logic (provide defs for predicates) All lions are fierce All lions are fierce

300 views • 3 slides
Local invariant feature Would like discussion section, more review Careful about tangential

Local invariant feature Would like discussion section, more review Careful about tangential

CS 376: Computer Vision - lecture 12 2/27/2018 Survey feedback Generally like Assignments Topics Lecture engaging, like examples, interactive nature Lecture can be fast Local invariant feature Would like discussion

119 views • 11 slides

More recommend