[Translated by Jouko Voutilainen (KYBS2001 course assignment at JYU.FI)] Vasemmallani on Omer Gull, ja hän puhuu meille aiheesta "SELECT code_execution FROM * USING SQLite". Omer, Omer Gull, sinun esityksesi, sinun lavasi, pidä hauskaa! Kiitos. Kiitos. [Yleisö taputtaa] Hei kaikille. Tervetuloa esitykseeni "SELECT code_execution FROM * USING SQLite", jossa saavutamme koodin suorittamisen (code execution) haavoittuvaisia SQLite-tietokantoja käyttäen. Nimeni on Omer Gull. Olen haavoittuvuuksien tutkija Tel Avivista. Olen työskennellyt Check Point Researchissa viimeiset kolme vuotta ja olen äskettäin siirtynyt uuteen startupiin nimeltä Hunters.AI. Agendamme tänään: Aloitamme pienellä motivaatiolla ja taustatarinan kertomisella tästä tutkimuksesta. Sen jälkeen meillä on lyhyt SQLite-johdanto ja tutkimme haitallisten tietokantojen hyökkäyspintaa. Käsittelemme myös aiempaa työtä SQLite-hyödyntämisessä ja mietimme, miten käyttää muistin korruptiohäiriöitä pelkästään SQL:n avulla. Sitten esittelemme oman innovatiivisen tekniikkamme nimeltä "Query Oriented Programming" tai QOP, ja demonstroimme sitä muutamassa esimerkissä. Käärimme asiat yhteen tulevaisuuden mahdollisuuksien ja johtopäätösten kanssa. Motivaatio tälle tutkimukselle on melko ilmeinen. SQLite on yksi eniten käytetyistä ohjelmistoista. Olipa kyse PHP 5:stä, PHP 7:stä, Androidista, iOS:stä, Mac OS:stä, se on nyt sisäänrakennettu Windows 10:een. Sitä on Firefoxissa ja Chromessa. Tämä luettelo voisi jatkua loputtomiin. Kuitenkin SQLite-tietokannan kyselyä pidetään turvallisena. Toivottavasti tämän puheen lopussa tajuat, miksi tämä ei välttämättä ole totta. Kaikki alkoi salasanavarkaista, mikä on melko outoa, ja niitä on paljon, paljon vapaana, mutta tarina on yleensä sama. Ensinnäkin tietokone saa tartunnan. Sitten haittaohjelma kerää tallennettuja käyttäjätunnuksia, sillä niitä on tallennettuna eri asiakasohjelmistoihin. Jotkut näistä asiakasohjelmista tallentavat salaisuutesi SQLite-tietokantoihin. Haittaohjelma lähettää SQLite-tietokantoja C2-palvelimelle, jossa salaisuudet poimitaan ja tallennetaan yhteiseen tietokantaan muun saaliin kanssa. Eräänä päivänä kollegani Omri ja minä tutkimme erittäin tunnetun salasanavarkaan vuodattamia lähdetiedostoja. Ajattelimme: "Nämä kaverit vain keräävät tietokantojamme ja parsivat ne omaan back-endiinsä. Voimmeko todella hyödyntää luotettamattoman tietokannan latausta ja kyselyä?" Ja jos voimme, sillä voisi olla paljon suuremmat vaikutukset, koska SQLiteä käytetään lukemattomissa skenaarioissa. Ja niin alkoi tähänastisen elämäni pisin CTF-haaste. SQLite. Toisin kuin useimmat SQL-tietokannat, SQLite:llä ei ole asiakas-palvelinarkkitehtuuria. Sen sijaan se lukee ja kirjoittaa tiedostoja suoraan tiedostojärjestelmään. Joten sinulla on yksi täydellinen tietokanta, jossa on useita taulukoita, indeksejä, laukaisimia ja näkymiä, ja kaikki sisältyvät yhteen tiedostoon. Tutkitaan siis hyökkäyspintaa, jonka potentiaalisesti haitallinen SQLite-tietokanta antaa. Tämä on palanen koodia erittäin tunnetusta salasanavarkaasta, ja meillä on kaksi tärkeintä kiinnostuksen kohdetta: Ensinnäkin meillä on sqlite3_open, jossa potentiaalisesti haitallisen tietokanta ladataan, ja jotain parsimista tapahtuu. Ja ilmeisesti meillä on itse kysely. SELECT-lauseke. Huomaa kuitenkin, että meillä ei ole hallintaa siitä lausekkeesta. Se on kovakoodattu kohteeseemme. Se yrittää poimia salaisuudet tietokannastamme. Mutta me hallitsemme sisältöä, joten meillä voi olla vaikutusta siihen, mitä siellä tapahtuu. Ensimmäinen asia on sqlite3_open, joka on vain joukko asetus- ja kokoonpanokoodia. Seuraavaksi siirrymme suoraviivaiseen otsikkotiedoston parsimiseen, otsikkotiedosto itse ei ole kovin pitkä, vain 100 tavua. Kolmanneksi, se on jo fuzzattu kuoliaaksi AFL:llä. Joten se ei ehkä ole kovin lupaava polku jatkaa. Mutta Sqlite3_query saattaa olla hieman mielenkiintoisempi, koska SQLite:n tekijän mukaan "SELECT-lauseke on SQL-kielen monimutkaisin käsky". Voit tietää, että taustalla SQLite on virtuaalikone. Joten jokainen kysely on ensin käännettävä joksikin tavukoodin muotoon. Tätä kutsutaan myös valmisteluvaiheeksi. Joten sqlite3_prepare kulkee ja laajentaa tuon kyselyn. Esimerkiksi joka kerta, kun valitset asteriskin, se kirjoittaa tämän asteriskin kaikkien sarakkeiden nimiksi. Joten sqlite3LocateTable() varmistaa, että kaikki kyselyssä käytetyt taulut ja sarakkeet todella olemassa ja sijaitsevat muistissa. Mistä se löytää ne? Jokaisella SQLite-tietokannalla on taulu nimeltään sqlite_master, joka määrittelee tietokannan skeeman. Ja tämä on sen rakenne. Joten jokaiselle tietokannan objektille sinulla on merkintä, jossa on sen tyyppi, taulu tai näkymä, sen nimi ja aivan alareunassa jotain, jota kutsutaan SQL:ksi. Ja SQL on itse asiassa DDL, joka kuvaa objektia. DDL tarkoittaa datamäärittelykieltä, ja sitä voidaan verrata C-kielen otsikkotiedostoihin. Ne määrittelevät tietokannan objektien rakenteen, nimet ja tyypit. Lisäksi ne näkyvät selkokielisinä tiedostossa. Annan esimerkin. Avasin SQLite-tulkin, loin taulun ja lisäsin siihen arvoja. Sitten lopetin tulkin ja nyt avaamme tiedoston heksadesimaalimuodossa. Voit nähdä keltaisella korostettuna näkyvän DDL-lauseke, joka on osa pääskeemaa. Alhaalla voit myös nähdä arvot. Palataan kyselyn valmisteluun. Meillä on sqlite3LocateTable, joka yrittää löytää taulun rakenteen, jota haluamme kysellä. Se lukee skeeman sqlite_masterista, jonka juuri kuvailimme. Ja jos se tekee sen ensimmäistä kertaa, sillä on joitakin takaisinkutsufunktioita jokaiselle näistä DDL-lausekkeista. Takaisinkutsufunktio validoi DDL:n ja rakentaa sen jälkeen sisäiset rakenteet kyseisestä objektista. Sitten ajattelimme DDL:n paikkaamista. Entä jos vain korvaamme SQL-kyselyn DDL:ssä? Tämä johtaa kuitenkin pieneen ongelmaan. Tämä on aiemmin mainitsemani takaisinkutsufunktio, ja kuten näet, DDL tarkistetaan ensin aloittavan "create ":lla. Vasta sen jälkeen valmistelu jatkuu. Tämä on ehdottomasti rajoitus, eikö niin? Meidän DDL:n on aloitettava "create ":lla. Mutta tämä jättää jonkin verran tilaa joustavuudelle, sillä SQLite-dokumentaation perusteella monia asioita voidaan luoda. Voimme luoda indeksejä, taulukoita, laukaisimia, näkymiä ja jotain, mitä emme vielä täysin ymmärrä, nimeltä virtuaaliset taulukot. Niinpä ajattelimme "CREATE VIEW":ta, koska näkymä on vain esipakattu SELECT-lauseke, ja näkymiä kysytään hyvin samalla tavalla kuin taulukoita. Joten, taulukosta sarakkeen valitseminen on semanttisesti sama asia kuin sarakkeen valitseminen näkymästä. Sitten, kun ajattelimme kyselyn kaappaamisen käsitettä. Aiomme paikata sqlite_master DDL:n näkymillä taulukoiden sijaan. Nyt paikatut näkymät voivat olla mitä tahansa SELECT-alilauseketta, jonka haluamme. Ja nyt tällä alilausekkeella voin yhtäkkiä käyttää SQLite-tulkintaa. Ja tämä on valtava askel eteenpäin! Muutimme juuri hallitsemattoman kyselyn joksikin, jota voimme jonkin verran hallita. Joten anna minun näyttää sinulle esimerkki kyselyn kaappaamisesta. Sanotaan, että joissakin alkuperäisissä tietokannoissa oli yksi taulu, ja tämä on DDL, joka määrittelee sen. Joten se on nimeltään "dummy" ja sillä on kaksi saraketta. Joten ilmeisesti mikä tahansa kohdesovellus yrittäisi kysyä sitä seuraavasti: Se vain yrittäisi valita nämä sarakkeet taulukosta, eikö niin. Mutta seuraava näkymä voi todella kaapata tämän kyselyn. Luon näkymän, se on juuri samanniminen ja sillä on sama määrä sarakkeita, ja jokainen sarake on nimetty samalla tavalla, ja voit nähdä, että nyt jokainen sarake voi sisältää minkä tahansa alilausekkeen, jonka haluan, korostettuna sinisellä alareunassa. Joten anna minun näyttää sinulle käytännön esimerkki siitä. Tässä olen luonut näkymän nimeltä "dummy" col A ja col B:llä, ja ensimmäinen sarake käyttää sqlite_version()-funktiota, ja se on sisäänrakennettu funktio, joka palauttaa SQLite-version, ilmeisesti. Toinen sarake käyttää SQLite:n omaa toteutusta printf:stä. Juuri näin, niillä on kaikki nämä todella yllättävät ominaisuudet ja kyvyt. Joten katsotaan sitä nyt oletetusti - kohdesivulta. Joten kuka tahansa, joka yrittää valita näistä sarakkeista, suorittaa yhtäkkiä meidän funktioitamme. Vasemmalla voit nähdä SQLite-version, ja oikealla voit nähdä printf:n, joka suoritettiin kohdesivulla. Joten taas tämä on valtava edistysaskel. Me saavutimme juuri jonkin verran kontrollia sen kyselyn yli, eikö niin? Ja kysymys kuuluu, mitä voimme tehdä tällä kontrollilla. Onko SQLite:llä mitään järjestelmäkomentoja? Voimmeko ehkä lukea ja kirjoittaa jotain muita tiedostoja tiedostojärjestelmässä? Joten tämä oli hyvä kohta pysähtyä ja tarkastella jo tehtyä työtä alalla, koska ilmeisesti emme ole ensimmäiset, jotka ovat huomanneet SQLite:n valtavan potentiaalin hyväksikäytössä. Järkevä paikka aloittaa on SQLite-injektio, koska tämä on jonkinlainen vastaava tilanne, eikö niin? Jollakulla haitallisella on jonkinlainen kontrolli SQL-kyselyssä. Joten, on olemassa muutama tunnettu temppu SQL-injektiossa SQLite:llä. Ensimmäisellä on tekemistä toisen tietokannan liittämisen kanssa ja sen jälkeen taulun luomisen ja joitain merkkijonoja sen sisään laittamisen. Ja koska, kuten mainitsin aiemmin, jokainen tietokanta on vain tiedosto, tämä on jonkinlainen mielivaltainen tiedosto, tiedostojärjestelmässä. Kuitenkin meillä on tämä rajoitus, muistattehan, että emme voi liittää, koska DDL:n on aloitettava "CREATE"-sanalla. Toinen hieno temppu on käyttää load extension -funktiota väärin. Ja tässä voit nähdä, kuinka voit mahdollisesti ladata etä-DLL:n. Tässä tapauksessa meterpreter.dll, mutta ilmeisesti tämä erittäin vaarallinen funktio on oletuksena pois käytöstä. Joten se taas ei onnistu. Entä muistin korruptio SQLite:ssä, koska SQLite on todella monimutkainen ja se on kaikki kirjoitettu C:llä. Hänen hämmästyttävässä blogikirjoituksessaan "Virheiden löytäminen SQLite:ssä helposti", Michal Zalewski, AFL:n tekijä, kuvasi, kuinka hän löysi 22 bugia alle 30 minuutissa fuzzingilla Ja itse asiassa, sen jälkeen, kun kyseessä oli versio 3.8.10 vuonna 2015, SQLite alkoi käyttää AFL:ää osana huomattavaa testisarjaa. Nämä muistin korruptiovirheet osoittautuivat kuitenkin erittäin vaikeiksi hyödyntää ilman sopivaa ympäristöä. Turvallisuustutkimusyhteisö löysi kuitenkin pian täydellisen kohteen, ja se oli nimeltään WebSQL. Joten WebSQL on periaatteessa API tietojen tallentamiseen tietokantoihin, ja sitä kysytään JavaScriptistä, ja sillä on SQLite-tausta. Lisäksi se on saatavana Chromessa ja Safarissa. Tässä voit nähdä hyvin yksinkertaisen esimerkin siitä, miten voit käyttää WebSQL:ää JavaScriptistä. Mutta toisin sanoen, mitä täällä luulen, on se, että meillä on joitakin luottamattomia syötteitä SQLite:lle, ja se on saavutettavissa mistä tahansa Internetin verkkosivustosta kahdessa maailman suosituimmassa selaimessa. Ja yhtäkkiä nämä virheet, nämä muistin korruptiot, voidaan nyt hyödyntää JavaScript-hyväksikäytön tiedosta ja mukavuudesta. JavaScript-tulkin hyväksikäyttö, jossa olemme tulleet varsin hyviksi vuosien varrella. Joten WebSQL:stä on julkaistu useita vaikuttavia tutkimuksia, jotka vaihtelevat todella helppoista kohteista, kuten CVE-2015-7036, joka oli luottamattoman osoittimen purku fts3_tokenizer()-funktiossa, monimutkaisempiin hyökkäyksiin, kuten Blackhat 2017:ssä esitelty Chaitin-tiimin löytämä tyyppisekoittumisongelma FTS-optimoinnissa, sekä hiljattain Magellan-bugit, jotka Tencent löysi, jotka löysivät kokonaisluvun ylivuodon FTS-segmentinlukijassa. Ja jos kiinnität nyt edes hieman huomiota, niin näet mielenkiintoisen kaavan nousevan esiin. Kaikki nämä haavoittuvat funktiot alkavat FTS:llä. Joten mikä on FTS? En ole koskaan kuullut siitä. Ja kun etsin sitä Googlesta, se vain hämmensi minua vielä enemmän. Jonkin ajan kuluttua tajusin, että FTS tarkoittaa "täysi tekstihaku" ja se on jotain nimeltään virtuaalinen taulukkomoduuli, joka mahdollistaa todella hienovaraisen tekstin haun dokumenttien joukosta. Tai kuten SQLite-tekijät kuvasivat sitä, se on "kuin Google SQLite-tietokannoillesi". Joten virtuaalitaulukot mahdollistavat joitain todella hienoja toimintoja SQLite:ssa, olipa kyseessä tämä vapaa tekstin haku tai virtuaalitaulukkomoduuli nimeltään RTREE, joka tekee todella fiksua maantieteellistä indeksointia, tai virtuaalitaulukko nimeltään CSV, joka antaa sinun käsitellä tietokantaasi CSV-tiedostona. Ja näitä virtuaalitaulukoita kysytään itse asiassa ihan kuin normaaleja taulukoita. Kuitenkin taustalla tapahtuu joitain pimeitä taikoja. Ja jokaisen kyselyn jälkeen, kutsutaan jonkinlaista takaisinkutsufunktiota, joka toimii niin kutsuttua shadow-taulukkoa vastaan. Varjotaulukot olisi parasta selittää esimerkin avulla. Joten sanotaan, että luon virtuaalitaulukon käyttäen sitä FTS-virtuaalitaulukkomoduulia ja lisään siihen merkkijonon. Ilmeisesti tehokkaan haun sallimiseksi minulla täytyy olla joitain metatietoja, okei? Minun täytyy olla joitain offsetteja tai indeksejä tai merkkejä tai jotain sellaista. Ja ilmeisesti kaikki ne ovat tekstiä, eikö niin? Joten yksi virtuaalitaulukko on itse asiassa raakatekstiä, ja metatiedot tallennetaan kolmen varjoshadow-taulukon joukkoon. Joten raakateksti menisi vt_contentiin ja metatiedot menisivät vt_segmentsiin ja vt_segdiriin. Ajan myötä nämä varjotaulukot ovat liittymäpintoja, jotka siirtävät tietoa toistensa välillä. Koska metatieto tallentaa kaikki nämä osoittimet, sinun on siirrettävä ne toistensa välillä. Ja nämä liittymäpinnat osoittautuivat todella, todella luottavaisiksi luonteeltaan. Ja se tekee niistä todella otollisen maaperän bugin metsästykseen. Näytän teille nyt bugin, jonka löysin RTREE-virtuaalitaulukkomoduulista. RTREE-virtuaalitaulumoduuli on nyt saatavilla MacOS- ja iOS-laitteille, ja se on todella hieno, koska se on nyt myös osa Windows 10:ää. Ja kuten mainitsin, se tekee todella fiksua maantieteellistä indeksointia. DDL:n tulisi olla seuraava. Minkä tahansa RTREE-virtuaalitaulun tulisi alkaa "id":llä, jonka täytyy olla kokonaisluku. Sen jälkeen sinulla on joitakin X- ja Y-koordinaatteja. Joten jokainen RTREE-liitäntä odottaisi "id":n olevan kokonaisluku. Mutta jos luon virtuaalitaulun ja lisään "id":hen jotain, joka ei ole kokonaisluku, ja käytän yhtä näistä RTREE-liitännäisistä, rtreenode, näet alhaalla, että saamme tämän kaatumisen, tämän kekomuistin ulkopuolisen lukemisen. Ja tämä esimerkki on kaatuminen Windows 10:ssä. Joten se on aika hyvä. Olemme havainneet, että virtuaalitaulussa on bugeja. Ja nyt, käyttämällä kyselyn kaappaustekniikkaa, voimme yhtäkkiä laukaista nämä bugit kohteellamme, joka on salasanavaras C2, ja se kaatuu (segfault). Ja tämä on hienoa, mutta varsinaisen ohjauksen saaminen kohteestamme vaatii jonkinlaista skriptausta, eikö niin? Haluamme ohittaa ASLR:n ja tehdä kaikenlaisia hulluja asioita. Meillä ei kuitenkaan ole JavaScriptiä, meillä ei ole JavaScript-taulukoita ja muuttujia ja logiikkalauseita, kuten if ja and silmukoita ja sellaisia. Kuitenkin muistamme jostain kuulleemme, että SQL on Turing-täydellinen. Joten päätimme testata sitä hyökkäysnäkökulmasta ja aloimme luoda omaa primitiivista toivelistaa hyökkäystä varten. Joten jos se voisi luoda täyden hyökkäyksen, jossa hyödynnetään muistin korruptiobugeja pelkästään SQL:llä, mitä kyvykkyyksiä haluamme? Joten ilmeisesti ohittaaksemme ASLR:n ja nämä asiat, tarvitsemme vuodon muistista. Meidän täytyy saada tietovuoto. Jos olet tehnyt pwningia menneisyydessäsi, sinun täytyy olla tuttu todella yleisten tehtävien suhteen, kuten 64-bittisten osoittimen purkamisesta ja joitakin osoitinlaskutoimituksia, eikö niin? Koska meillä oli tietovuoto, muunnamme - luemme tämän osoittimen, ja se on little-endian, joten meidän täytyy kääntää se, ja nyt haluamme laskea, missä on libsqlite-tiedoston perusta, jotta voimme löytää ehkä lisää funktioita. Joten tarvitsemme joitakin osoitinlaskutoimituksia. Luonnollisesti, kun olemme lukeneet osoittimet ja manipuloineet niitä, haluamme pakata ne uudelleen ja kirjoittaa ne jonnekin. Yhden osoittimen kirjoittaminen ei koskaan riitä. Haluamme luoda väärennettyjä objekteja muistissa, monimutkaisempia kuin yksi osoitin. Lopuksi, haluaisimme heap sprayn, koska se voi olla todella hyödyllinen. Joten, kysymys kuuluu, voiko kaikki tämä hyödyntäminen tehdä pelkästään SQL:llä? Vastaus on "kyllä, se on mahdollista". Ja esittelen teille ylpeänä Kysely-orientoitunut ohjelmointi tai QOP. Demonstroidakseni QOP:ia hyväksikäytämme haavoittuvuutta CVE-2015-7036. Ja saatatte kysyä itseltänne: Miten neljä vuotta vanha bugi on edelleen korjaamatta? Ja tämä on hieno asia argumenttiimme. Tämä CVE koettiin vaaralliseksi vain luottamattomien Web-SQL:n suhteen. Se siis kierrettiin oikein. Se on blacklistattu ja SQL on käännetty tietyllä lipulla. Joten selkeästi selaimet eivät enää ole kääntäneet tällä lipulla. Mutta anna minun näyttää sinulle, minkä kanssa nämä liput on käännetty. Joten meillä on PHP 5 ja PHP 7, jotka ovat vastuussa suurimmasta osasta Internetiä, sekä iOS ja MacOS ja todennäköisesti niin monia muita kohteita, joita emme vain ehtineet käydä läpi. Joten selitetään hieman tätä haavoittuvuutta. Olen maininnut, että se on FTS-tokenizerissa. Joten tokenizer on vain joukko sääntöjä dokumenttien tai kyselyjen termeistä erottamiseksi. Ja oletustokenizeri, jota kutsutaan "yksinkertaiseksi", vain jakaa merkkijonot tyhjien merkkien perusteella. Kuitenkin, jos haluat, voit rekisteröidä oman mukautetun tokenizerin. Voit vain siirtää C-funktion ja oikeastaan rekisteröit tämän mukautetun tokenizerin fts3_tokenizer() -funktiolla SQL-kyselyssä. Tässä on jonkin verran asiaa, mutta sanon sen hitaasti. Siirrät riviosoittimen C-funktioon SQL-kyselyssä. Tämä on täysin mielipuolista. Rehellisesti sanottuna, vaikka olen tutkinut tätä jonkin aikaa, en vieläkään ymmärrä, miten käyttää tätä ominaisuutta hyväksi muualla kuin hyökkäyksessäni. [Yleisö taputtaa] fts3_tokenizer() on ylikuormitettu funktio, ja jos kutsut sen yhdellä argumentilla, joka on tokenizerin nimi, saat takaisin kyseisen tokenizerin osoitteen. Teemme sen hieman ihmiselle luettavammaksi käyttämällä heksadesimaalimuunnosta. Voit nyt nähdä, että saimme tietovuodon libsqlite3:een. Koska se on little-endian, meidän on käännettävä se ympäri, mutta tämä on jo melko hienoa. Jos kutsut fts3_tokenizer():ia kahdella argumentilla, joista ensimmäinen on tokenizerin nimi ja toinen on raakaosoitin, ja tämä on täysin mielipuolista.. voit kirjoittaa kyseisen tokenizerin osoitteen uudelleen. Joten aina kun joku yrittää käyttää virtuaalitaulua ja se instantisoi oletusarvoisen tokenizerin, se kaatuu. Tämä on melko hämmästyttävää. Lyhyt kertaus: olemme vahvistaneet, että SQLite on ihana yhden maalin kohde monille, eikö niin? Se on kaikkialla. Ja se on monimutkainen C:llä kirjoitettu kone. Nyt, kyselyn kaappaamisen avulla voimme alkaa laukaista näitä bugeja ja tavoitella täydellistä hyökkäystä käyttämällä SQL-kyselyjä. Hyökkäysstrategiamme on seuraava: vuodatamme joitakin osoittimia ja sitten laskemme joitakin funktio-osoitteita. Luomme sitten väärennetyn tokenizer-objektin, jolla on jokin osoitin system()-funktioon. Ylikirjoitamme oletusarvoisen tokenizerin ja laukaisemme pahantahtoisen tokenizerimme. Sitten tapahtuu jotain, ja lopussa meidän pitäisi pystyä hyötymään jotenkin, eikö niin? Aloittaen muistivuodosta ja tietovuodosta libsqliteen. Tiedät jo, miten tehdään, eikö niin? Näimme fts3_tokenizer():in, mutta meillä on vielä pieni ongelma little-endian osoittimen kanssa. Joten meidän on käännettävä se ympäri. Varmaan voimme käyttää SUBSTR-funktiota ja lukea tämän osoittimen kaksi merkkiä kerrallaan käänteisessä järjestyksessä ja yhdistää kaiken koko osoittimen läpi. Joten saamme SELECT-kyselyn, joka näyttää seuraavalta, mutta nyt meillä on osoitin. Tämä on hienoa. Entä tietovuoto kekomuistiin? Haluamme tietää, missä keko sijaitsee. Aloitetaanpa tekemään temppua, joka on melko samankaltainen kuin RTREE-bugi, jonka olemme löytäneet. Joten jälleen kerran, aiomme sekoittaa joitakin shadow-taulukkojen käyttöliittymiä. Luomme siis virtuaalitaulukon ja lisäämme siihen joitakin arvoja. Nyt aiomme hämmentää match-käyttöliittymää. Match-käyttöliittymä tekee monia asioita, mutta taustalla se vain palvelee osoittimen muistissa, jossa tekstin sijainti sijaitsee. Se on tätä metadataa, hienoja asioita, joita virtuaalitaululla on. Joten aiomme hämmentää sitä ja sen sijaan, että siirtäisimme sen toiselle virtuaalitaulun käyttöliittymälle, siirrämme sen yksinkertaisesti heksadekooderille, joten puramme tämän raakanosoittimen. Ja voit nähdä, jälleen kerran little-endianin, mutta nyt meillä on linkki kekoon. Voimme yliviivata sen listalta. Ja ennen kuin siirrymme eteenpäin tämän osoittimen purkamiseen, meillä on hyvin perustavanlaatuinen ongelma. Kuinka edes tallennamme näitä asioita? Koska toisin kuin selaimen WebSQL:ssä, meillä ei ole JavaScript-muuttujia tai taulukoita, joita voimme käyttää ja hyväksikäyttää myöhemmin, mutta meidän on luotava joitakin monimutkaisia logiikoita, eikö niin? Meidän on laskettava funktio-osoite ja luotava asioita muistissa, mutta kuinka voimme tehdä sen? Ilmeisesti SQLite:llä, kun haluat tallentaa joitakin arvoja, sinun on oltava insert-lausekkeita, mutta voimme vain luoda tauluja, näkymiä, indeksejä ja laukaisimia. Sitten ajattelimme ketjuttaa tämän näkymän yhteen käyttääksemme niitä jonkinlaisena pseudomuuttujana. Joten jälleen kerran, anna minun näyttää sinulle esimerkki. Tässä luon näkymän, jota kutsutaan "little-endian leak", okei? Ja taas hyväksikäytän fts3_tokenizer() -funktiota. Nyt luon toisen näkymän sen päälle, ja tätä kutsutaan "leakiksi" ja kääntyy käyttämällä SUBSTR-temppua, jonka tiedät jo aikaisemmasta. Mutta huomaa, kuinka viittasin ensimmäiseen näkymään, viittasin "little-endian leak":iin. Joten teen sen koko osoittimen läpi, ja lopulta minulla on pseudomuuttuja nimeltä "leak". Kun valitsen sen, saan odotetun tuloksen. Joten nyt voimme todella edetä. Nyt voimme aloittaa monimutkaisempien asioiden rakentamisen tämän logiikan perusteella. Ja nyt voimme siirtyä purkamaan osoittimia. Haluamme esimerkiksi laskea kuvan perustan tai löytää keon alun. Joten ensinnäkin haluamme muuntaa osoittimemme kokonaisluvuiksi. Joten jälleen kerran aloitamme lukemalla nämä osoittimet yhden merkin kerrallaan ja käänteisessä järjestyksessä käyttäen SUBSTRia. Ja saadaksemme heksadesimaalimerkin arvon, käytämme INSTR-funktiota, joka on kuin strchar, ja käyttämällä seuraavaa merkkijonoa saamme heksadesimaalimerkin arvon. Koska se on yksipohjainen, on oikealla miinus yksi. Sitten minun täytyy tehdä hieman siirtämistä, kuten jotain pimeää magiaa, ja sitten yhdistän kaiken yhteen osoittimessa. Joten tulos on tämä hirviömäinen kysely. Mutta kun kaikki tämä on tehty, saan kokonaisluvun, joka on purkamaton versio alkuperäisestä vuodosta. Joten onnistuin purkamaan tämän osoittimen, ja meillä on nyt käsillä kokonaislukuja, joten voimme yliviivata sen listalta myös. Tiedämme nyt, miten muuntaa osoittimet kokonaisluvuiksi. Nyt osoitinlaskentaa, koska haluamme saada joitain toimintojen osoitteita muistissa, ja itse asiassa kokonaislukuilla tämä on erittäin yksinkertaista. Kaikki mitä meidän tarvitsee tehdä on käyttää joitakin alikyselyjä. Vasemmalla voit nähdä, että viittaan nyt pseudomuuttujiin, joita meillä on nyt, vuotanut tieto, ja oikealla voin joko vähentää hölmön vakion kuten tein täällä, tai voin todella käyttää toista pseudomuuttujaa tehdäkseni sen hieman dynaamisemmaksi ja luotettavammaksi. Lopulta, mihin päädyin, on libsqlite-perusta kokonaislukumuodossa. Joten, olemme lukeneet joitakin osoittimia ja manipuloineet niitä. Nyt on hyvä aika kirjoittaa ne takaisin. Ja tietysti olemme tottuneet siihen, että "char" on täysin päinvastainen kuin "hex". Ja voit nähdä, että se toimii melko hyvin useimmilla arvoilla, mutta suuremmat kokonaisluvut todella käännettiin niiden kahden tavun koodipisteisiin. Joten tämä oli suuri este meille. Joten, kun olimme viettäneet dokumentaation parissa jonkin aikaa, yhtäkkiä meille valkeni kummallinen oivallus. Tajusimme, että hyökkäyksemme on itse asiassa tietokanta. Ja jos haluan minkä tahansa muunnoksen tapahtuvan, voin yksinkertaisesti luoda etukäteen tämän avain-arvo-kartan ja yksinkertaisesti kysyä sitä käännettäväksi millä tahansa arvolla toiseksi arvoksi alikyselyillä. Tämä on se Python-funktio, jonka olen käyttänyt, ja voit nähdä, että siinä on hyvin yksinkertainen for-silmukka, joka menee 0:sta FF:ään ja vain lisää arvoja tauluun, jota kutsutaan "hex_map", sen avain-kartan arvoilla. Ja nyt muunnoksemme käyttävät alikyselyjä. Joten anna minun jälleen näyttää esimerkki. Voit nähdä, että valitsen "val" heksakartasta, tästä avain-arvo-kartasta, jossa "int" on yhtä suuri kuin, ja sitten teen hieman enemmän kaikenlaista, kuten siirtämistä ja modulo pimeää magiaa, mutta lopulta päädyin pakattuun versioon libsqlite-tietokannasta. Nyt meillä on pakattu little-endian osoitin, joten sen voi ruksata listalta pois. Kuten mainitsin, yksittäisen osoittimen kirjoittaminen on ehdottomasti hyödyllistä, mutta se ei riitä. Haluamme väärentää kokonaisia objekteja, eikö niin? Kaikki coolit tyypit tekevät niin, ja se on melko voimakas primitiivi. Ja jos muistat, meidän on tehtävä se, koska fts3_tokenizer() edellyttää meidän määrittävän tokenizer moduulin. No, mikä on tokenizer-moduuli? Miltä se näyttää? Joten tämä on sen rakenteen alku, ja siinä on "iVersion", joka on kokonaisluku alussa, meillä ei ole oikeastaan mitään tekemistä sen kanssa, mutta sen jälkeen on kolme funktio-osoitinta. Meillä on "xCreate", joka on jakelijan rakentaja, ja "xDestroy", joka on purkaja. Meidän on tehtävä molemmat kelvollisiksi, jotta sovellus ei kaadu hyökätessämme. Kolmas funktio-osoitin on todella mielenkiintoinen, koska tämä on se, joka todella jakaa merkkijonon osiksi. Joten meillä on funktio-osoitin, johon ohjataan hallittavissa oleva merkkijono. Tämä olisi täydellinen paikka laittaa system-vimpaimemme, eikö niin. Tähän mennessä olen käyttänyt melkoisesti SQL-osaamistani, eikö niin? Mutta minulla on vielä yksi temppu hihassani ja se on JOIN-kyselyt, eikö niin? Koska olen oppinut siitä menneessä ajassa. Joten nyt luomme väärennetyn tokenizer-näkymän ja yhdistämme joukon "A"-kirjaimia ja sitten käyttäen JOIN-kyselyä ja yhdistämme sen osoittimeen simple_create ja osoittimeen simple_destroy ja sitten joukon "B":itä. Nyt tarkistetaan se alhaisen tason debuggerissa ja voit itse asiassa nähdä, että jossain muistipaikassa meillä on joukko "A":ita, jonka perässä on osoitin simple_createen, jonka perässä on osoitin simple_destroyiin ja sitten joukko "B":iä. Joten olemme melkein valmiit. Mutta tarvitsemme vielä yhden primitiivin tätä hyödyntääksemme. Ja tämä johtuu siitä, että meillä on jo haitallinen tokenizerimme, ja tiedämme, missä keko sijaitsee, mutta emme ole aivan varmoja, missä tokenizerimme sijaitsee. Tämä on hieno aika heap sprayinglle, eikö olekin. Ja ihanteellisesti tämä olisi jonkin toistuva muoto meidän fakeobj -primitiivistämme. Olemme siis ajatelleet toistoa, mutta valitettavasti SQLite ei ole toteuttanut sitä kuten mySQL. Joten kuten kuka tahansa muukin, menimme Stack Overflowiin ja löysimme tämän todella elegantin ratkaisun. Käytämme siis zeroblob-funktiota, joka yksinkertaisesti palauttaa nollista koostuvan läjän. Sitten korvaamme jokaisen nollan väärennetyllä tokenisaattorillamme. Ja teemme sen kymmenentuhatta kertaa, kuten näette yllä. Uudelleen, varmistaaksemme sen debuggerilla, näet paljon "A":ita ja se on vähän vaikea nähdä, koska nämä ovat todella huonoja värejä, mutta meillä on myös täydellinen johdonmukaisuus, koska nämä rakenteet toistuvat joka 20. heksadesimaalitavussa. Joten loimme melko hyvät heap-spraying -kyvyt, ja olemme valmiit exploitti -toiveluettelomme kanssa, joten voimme palata alkuperäiseen kohteeseemme. Tämä on koodisegmentti erittäin tunnetusta salasanavarkaasta, ja lopussa voit nähdä, että se yrittää valita ja poimia salaisuuksia valitsemalla sarakkeen nimeltä "BodyRich" taulusta nimeltä "Notes". Joten valmistelemme hänelle pienen yllätyksen, okei? Luomme näkymän, jota kutsutaan nimellä "Notes". Ja siinä on kolme alikyselyä sarakkeessa nimeltä "BodyRich". Jokainen näistä alikyselyistä on itse asiassa QOP-ketju. Jos muistat hyökkäyssuunnitelmani, aloitamme heap-spray sitten korvaamme oletustokenisaattorin ja laukaisemme lopuksi haitallisen tokenisaattorin. Ja sinä saatat kysyä itseltäsi, mikä on heap_spray? Ilmeisesti heap_spray on QOP-ketju, joka hyödyntää heap-spraying -kykyjämme, eikö niin. Me ruiskutamme kymmenentuhatta esimerkkiä väärennetystä tokenizeristamme, joka on JOIN-kysely joukosta "A":ita ja joitain osoittimia, kuten p64_simple_create. Ja bileet jatkuvat, koska p64_simple_create on itse asiassa peräisin u64_simple_createsta, oikein, käyttäen osoittimenpakkauskykyjämme. Ja tämä on kuin maatuska-nukke, koska sinulla on u64_simple_create, joka on peräisin libsqlite_basesta plus joistakin vakioista. Ja tämä menee takaisin purkamattomaan vuotoversioon, miinus joitain vakioita. Joten jälleen kerran käytämme osoitinlaskentakykyjämme. Voimme jatkaa u64_leak:illa, joka on peräisin lähes alkuperäisestä vuodosta. Ja me päätämme näyttämällä, kuinka vuoto on itse asiassa peräisin alkuperäisestä haavoittuvuudesta käyttäen fts3_tokenizeria. Ja tämä oli vain yksi kolmesta QOP-ketjusta, joita käytimme tässä hyökkäyksessä. Ja tällä hetkellä joka kerta, kun kuvaan tätä hyökkäystä, tämä on miltä minä varmasti näytän. Ja ollakseni rehellinen, tämä on juurikin mitä tunnen. Mutta onneksi teidän ei tarvitse näyttää tai tuntea samalta kuin minä, koska loimme QOP.py:n, ja se on saatavilla Checkpoint Researchin GitHubissa. Ja yhtäkkiä nämä hullun pitkät ketjut voidaan luoda neljällä helpolla Python-rivillä. Ja tuntuu pwntoolsilta, jos olet perehtynyt siihen, joten voit mennä eteenpäin ja leikkiä sillä etkä näytä hullulta lavalla. Siirrymme ensimmäiseen demoomme. Ownaamme salasanan varastavaa taustapalvelinta, joka toimii uusimmalla PHP 7:llä. Tietenkin tämä on malli, jonka loimme vuotaneista lähteistä, ja näet kaikki tartunnan saaneet uhrit Coolia Nyt yritämme mennä web-shelliin, p.php:hen. Tietenkään sitä ei vielä ole olemassa, saamme 404. Siirrymme hyökkääjän tietokoneelle. Näemme täällä kaksi skriptiä. Ensin käytämme QOP.py:ä, joka luo ilkeämielisen tietokannan. Katsotaanpa, tietokanta luotiin. Nyt emuloimme saastuttamisen. Aloitamme lähettämällä ilkeämielisen tietokantamme C2-palvelimelle kuin olisimme tartunnan saaneet salasanavarkaan kautta. Koska tämä prosessi vie hieman aikaa, voimme tarkastella kaikkia hienoja DDL-lauseita, oikein? Näet siis, että aloitimme jonkin bin-vuodon ja heap-vuodon kanssa ja sitten purimme ne. Ja aivan lopussa voit nähdä, että ohjelmamme luo yksinkertaisen webshellin p.php:lle. Ja tämä on sama sivu, jota juuri yritimme tavoittaa. Joten toivottavasti, joo - hienoa, se on tehty. Nyt palaamme salasanavarkaan back-endiin. Menemme p.php:hen ja saamme vastauksen 200. Nyt suoritamme jotain koodia siinä. whoami. www-data. Ja ilmeisesti meidän täytyy mennä /etc/passwordiin. Jippii. [Yleisö taputtaa] Joten mitä juuri tapahtui, on se, että osoitimme, että annetun kyselyn avulla ilkeämielisessä tietokannassa, voimme suorittaa koodia kyselyprosessissa. Nyt, kun otetaan huomioon, että SQLite on niin suosittu, tämä todella avaa oven laajalle valikoimalle hyökkäyksiä. Tutkitaan toista täysin erilaista käyttötapaa. Joka on täysin erilainen Seuraava kohde on iOS pysyvyys. iOS käyttää SQLiteä laajalti ja pysyvyyden saavuttaminen on todella vaikeaa, koska kaikkien suoritettavien tiedostojen on oltava allekirjoitettuja. Silti SQLite-tietokantoja ei ole allekirjoitettu, eikö niin, ne ovat vain dataa. Niitä ei tarvitse allekirjoittaa. Ja iOS ja MacOS ovat molemmat käännetty käyttäen ENABLE_FTS3_TOKENIZER:ia. Se on se vaarallinen käännöshetken lippu. Suunnitelmani on saada koodin suoritus uudelleenkäynnistyksen jälkeen korvaamalla mielivaltainen SQLite-tietokanta. Tämän saavuttamiseksi aion kohdistaa hyökkäyksen "AddressBook.sqlite" -nimiseen yhteystietokantaan. Alkuperäisessä tietokannassa on kaksi taulua, joilla ei ole merkittävää merkitystä, vaan ne ovat esimerkkejä. Aion luoda haitallisen yhteystietokannan, ja aloitan kahdella haitallisella DDL-lausekkeella, jotka ovat teille jo tuttuja. Ensin korvaamme oletustokenizerin "simple" joukolla "A":ita. Sitten toinen DDL-lauseke toteuttaa tämän haitallisen laukaisimen, joten se kaataa ohjelman, koska joka kerta, kun luodaan virtuaalitaulumoduuli, joku yrittää mennä tokenizerin rakentajan luokse. Joten se kaatuu. Seuraavaksi käyn läpi jokaisen alkuperäisen taulun ja kirjoitan ne uudelleen käyttäen kyselykaappauksen tekniikkaa. Sen sijaan että käytämme odotettuja sarakkeita, ohjaamme suorituksen ylikirjoituslauseeseen ja kaatumislauseeseen. Teimme sen yhdelle taululle, teemme sen myös muille. Nyt käynnistämme uudelleen ja voilà, saamme seuraavan CVE:n ja turvallinen käynnistys ohitettiin. Ja jos kiinnität huomiota tarkasti, tämä on todella hienoa, koska näemme että kaatuminen tapahtui osoitteessa 0x414141...49. Tämä on juuri mitä odotimme tapahtuvan, koska tässä pitäisi olla konstruktorimme, kahdeksan tavua version ensimmäisen kokonaisluvun jälkeen. Mutta todellisuudessa tässä on enemmän. Saamme pienen bonuksen tässä. Koska yhteystietokanta on itse asiassa käytössä monien eri prosessien kautta. Joten Yhteystiedot, FaceTime, Springboard, WhatsApp, Telegram, XPCProxy ja monet muut. Ja monilla näistä prosesseista on enemmän oikeuksia kuin toisilla. Ja olemme osoittaneet, että voimme nyt suorittaa koodia prosessissa, joka kysyy ilkeämielistä tietokantaamme. Joten saimme myös oikeuksen kohottamisen tässä prosessissa. Tämä on todella hienoa. Ja yhteystietokannassa ei ole mitään erityistä. Itse asiassa mitä tahansa jaettua tietokantaa voidaan käyttää. Tarvitsemme vain jotain, joka on kirjoitettavissa heikolla käyttäjällä ja jota vahvempi käyttäjä sitten kysyy. Ja ilmeisesti kaikki nämä tekniikat ja virheet ilmoitettiin Applelle, ja ne kaikki on korjattu. Ja tässä ovat CVE:t, jos haluat lukea siitä myöhemmin. Nyt, ynnätäkseni asioita, jos haluat oppia jotain tästä esityksestä, en halua sen olevan hullua SQL-voimistelua tai joukko CVE-numeroita. Haluan sen olevan seuraavaa. Tietokannan kysely ei välttämättä ole turvallista, oli kyse sitten käynnistyksen yli, käyttäjien välillä tai prosessien välillä, tietokannan kysely ei välttämättä ole turvallista kyselyn kaappauksen vuoksi. Ja nyt, kun on kyse kyselyjen kaappauksesta ja kyselykeskeisestä ohjelmoinnista, nämä muistin korruptiot, joita voimme laukaista, voidaan todella hyödyntää luotettavasti pelkällä SQL:llä. Emme tarvitse enää JavaScriptiä. Emme tarvitse WebSQL:ää. Ja uskomme todella, että tämä on vain jäävuoren huippu. Tähän mennessä SQLite on ollut erittäin suosittu, mutta sitä on arvioitu vain WebSQL:n kapealta alueelta, ja vaikka selaimen pwnaus on jännittävää, SQLite:lla on paljon enemmän potentiaalia. Meillä on siis joitain ajatuksia mahdollisesta tulevasta työstä tämän kanssa. Ilmeisesti todella hienoa olisi laajentaa primitiivejämme joitain vahvempia primitiivejä kohti, oikein. Haluamme saada asioita, kuten absoluuttinen luku- ja kirjoituskyky. Ja minun hatara POC-hyökkäykseni oli melko typerä, koska siinä oli paljon vakioita, kuten olette nähneet, mutta itse asiassa jos käytät SQLite:n sisäistä toimintoa, jos hyökkäyksen aikana käytät funktiota kuten sqlite3_version(), voit kysyä tulkilta, mikä versio sinulla on, millä käännösvalinnoilla se on käännetty, voit dynaamisesti rakentaa näitä QOP-ketjuja ja kohdistaa ne tiettyyn kohdeympäristöön, jota hyökkäät. Itse asiassa hyödyntämällä sitä tosiasiaa, että hyökkäyksemme on tietokanta, voimme luoda tämän todella coolin hyökkäyspolyglotin, ja ajattelemme, että näitä tekniikoita voidaan käyttää oikeuksien kohottamiseen monissa tilanteissa, koska kehittäjät eivät koskaan ajatelleet, että nyt voimme ottaa minkä tahansa tietokannan, jota heikko käyttäjä voi kirjoittaa, ja jota vahva käyttäjä voi kysyä, ja yhtäkkiä voimme yrittää kohottaa oikeuksiamme. Toisaalta olisi todella mielenkiintoista huomata, että monet niistä primitiiveistä, joita olen teille näyttänyt, eivät ole yksinomaan SQLite:n omaisuutta, eikö niin? Osoitinpakkaus ja -purku sekä heap spraying ja kaikki nämä asiat eivät ole yksinomaan SQLite:n omaisuutta. Olisi todella mielenkiintoista ottaa nämä primitiivit ja nähdä, voimmeko mennä eteenpäin ja hyödyntää muita muistin korruption bugia eri tietokanta-moottoreissa. Kiitos paljon. [Yleisö taputtaa] Omer Gull, kiitos paljon. Siinä oli paljon aikaa kysymyksille. Meillä on kolme mikrofonia täällä salissa: Numero yksi, Numero kaksi ja Numero kolme. Jos sinulla on kysymyksiä, ole hyvä ja jonota. Onko meillä joitakin kysymyksiä verkosta? Ei ole. Ookei. Aloittakaamme sitten mikrofonista numero kaksi. Joo. Kysymys koskee sitä "CREATE-jotakin" kaappaamista. Mainitsit, että alussa tutkimus oletti, että CREATE oli ensimmäinen tarkistusjärjestys ja sitten välilyönti CREATE-sanalla ja sen jälkeen se voisi luoda kaikki muut asiat. Nyt kysymykseni on: Jos se muuttui raporttisi jälkeen, koska tämä vaikuttaa tavalta altistaa suurempi hyökkäyspinta kuin useimmat muut bugit. Joten haluaisin tietää, jos he muuttivat sitä. Ja mitä oli lopulta se lieventäminen, jos sitä oli? Joo. Niin, meidän escalate-henkilöt ovat enemmän huolissaan tiettyjen virheiden kuin hyökkäystekniikoiden suhteen. Tämä on todella surullista, koska tiedämme kaikki, että virheet voidaan korjata, mutta hyökkäystekniikat jäävät käyttöön. Joten ei, he eivät muuttaneet tätä tarkistusta. Itse asiassa tämä "create "-validoinnin lisäys tehtiin vasta äskettäin. Sitä ennen pystyit käyttämään mitä tahansa DDL-lauseketta haluat. Joten tilanne ei ole todella hyvä siellä. Hyvä heille ja onnea tulevaisuudelle. Ja siinä oli kysymys. Okei. Sitten siirrymme mikrofoni ykköseen, kiitos. Oletko ehkä vahingossa hyökännyt palvelimelle, jota käytetään salasanan varastamiseen? Ei, tietenkään en tekisi niin. En hyökkäisi kenenkään kimppuun. Tämä on vain meidän laboratoriossamme POC:na. Okei. Kiitos. Salasanasi ovat turvassa varkailta. [Naurua] . Noniin Kukaan ei enää jonota. Onko meillä kysymyksiä verkosta? Ei mitään siellä. No, tästä lähdetään. Kiitos. Omer Gull, kiitos paljon. [Yleisö taputtaa] [Translated by Jouko Voutilainen (KYBS2001 course assignment at JYU.FI)]