Ejemplo real de un buffer overflow con explicación básica

[nitr0us]

Para quienes aún se preguntan cómo es buffer overflow y esas cosas del demonio... Justo encontré un ejemplo sencillísimo, por diversión, en el cliente NTP. Al darle un comando, verifica si lo entiende y sino manda un error, pero el buffer overflow ocurre cuando el comando es "muy largo" para el buffer que reservaron (quinientos veintitantos bytes).

En las instrucciones en ensamblador se puede observar claramente que el microprocesador quiere copiar el contenido del registro EAX, que es 0x41414141 (AAAA en hexadecimal) al buffer apuntado por el registro ESI, que es 0x41414141 (controlado totalmente, es decir, se puede sobreescribir cualquier parte de la memoria, lo que lleva al control de ejeción de código).

Es eso que escuchan de repente en las noticias o parches de seguridad como "... bug que permite la ejecución remota de código..", aquí con un claro ejemplo . Feliz año !

[int_0x40]

Parece un stack based típico. Si entendí bien el bug esta en el cliente, no en el daemon cierto?

"
Bugs
ntpdc is a crude hack. Much of the information it shows is deadly boring and could only be loved by its implementer. The program was designed so that new (and temporary) features were easy to hack in, at great expense to the program's ease of use. Despite this, the program is occasionally useful."

En este caso su utilidad fue acémica...

Saludos.

[nitr0us]

Justamente ayer, @dronesec hizo este excelente tutorial detalladísimo del exploit:

http://hatriot.github.io/blog/2015/01/06/ntpdc-exploit/

Explica todo detallado, desde el uso de ROP gadgets hasta cómo evadir las protecciones anti ejecución.