www.MegaLab.it

da **Shagrath** » lun nov 13, 2006 2:07 am

Ciao a tutti, chi di voi sa se su Suse 10.1 la protezione hardware NX (no execute) contro gli stack/heap overflow è automaticamente abilitata dal sistema? Com'è possibile verificarlo? In caso non lo sia, è possibile abilitarla?

Ho un processore Sempron 3200+ e supporta tale protezione. Ho anche il dubbio che Suse 10.1 non l'abiliti, in quanto riesco ad eseguire uno shellcode caricato sullo stack...

da **Zane** » lun nov 13, 2006 1:58 pm

Ho cercato un po' perché la cosa interessa anche a me: ho trovato questo, ma non so quanto centri.

comunque, vista la complessità implementativa della cosa, se l'NX dovesse essere supportato sarebbe sicuramente a livello di kernel, e non di specifica distribuzione...

Shagrath ha scritto:riesco ad eseguire uno shellcode caricato sullo stack...

Questo non è garanzia che non sia presente: potrebbe essere semplicmente che non è attivo (ad esempio su Windows XP è disabilitabile) oppure che non lo intercetta correttamente: può capitare in alcune circostanze, non è un meccanismo infallibile purtroppo..

da **Shagrath** » lun nov 13, 2006 8:00 pm

Ahh..Il trattato di Sebastian Krahmer... [:-D]

Lo conosco molto bene (il trattato, non lui), ho descritto la tecnica da lui usata in una sezione della mia tesi...

Per quanto riguarda il supporto da parte del kernel, beh, non hai tutti torti...Dovrebbe dipendere da quello...principalmente...

Fedora 5 lo supporta, infatti il programmino che genera un overflow ed inietta uno shell code, con opportune correzioni per la locazione del RET, non funza...da seg.fault...Su Suse parte una shell nuova di pacca [devil]

...bohhh??? Non so più dove cercare...non trovo info chiare [cry]

Intanto GRAZIE!

da **Zane** » mer nov 15, 2006 2:02 am

Shagrath ha scritto:Fedora 5 lo supporta, infatti il programmino che genera un overflow ed inietta uno shell code, con opportune correzioni per la locazione del RET, non funza...da seg.fault...Su Suse parte una shell nuova di pacca

Uhmm, che cosa strana: ripeto, mi sembra una funzionalità che "o tutte o nessuna", mi sembra davvero strano che possa variare da distr a distr...

Ma sei sicuro al 100% che su Fedora funzioni e quello che vedi sia il meccanismo di NX al lavoro? se segmenta potrebbe anche darsi che semplicemente sbagli l'indirizzo del return address sullo stack, e non che sia l'NX in funzione... cosa ne dici [?]

da **kpaolo** » mer nov 15, 2006 10:01 am

i kernel di suse (come pure di mandriva,xandros,etc..) sono fortemente ritoccati...non è detto che sia presente una certa funzionalità tipica di quella versione di linux...
prova a compilarti un kernel su una suse e dovresti avere più problemi a farla andare rispetto ad una distro che non modifica il kernel originale linux più di tanto..

da **Shagrath** » mer nov 15, 2006 5:16 pm

Beh, non ho la certezza assoluta che sia NX in funzione, ma so anche che, su Fedora, ExecShield si occupa delle protezioni di memoria (heap & stack) e di implementare la protezione non execute...credo che sia anche in grado di fornirla via software laddove l'HW non ne sia provvisto... [8)]

Per quanto riguarda la segfault, fidati, debugger alla mano ho sovrascritto la ret correttamente...Comunque, pur ipotizzando di aver sbagliato, un programma che tenta di eseguire uno shellcode iniettato nel buffer, senza overflowing, solo modificando la ret con l'indirizzo del buffer stesso, non funza...Su Suse, lo ribadisco, la shel parte allegramente...almeno sulla 10.0...n so sulla 10.1...ma penso che non cambi molto

Di più non saccio... [:-D]

www.MegaLab.it

Suse 10.1 supporta la protezione NX?

Suse 10.1 supporta la protezione NX?

Chi c’è in linea