del.icio.us

Derniers Posts

  • Redhat ssh auto login

    When you try to setup auto ssh login on a RedHat machine, don’t forget to setup the .ssh/ directory permissions so that only you can write on it : chmod a-w -R /.ssh chmod u+w -R /.ssh Otherwise the auto login will never (...)

  • CVSNT : read only

    Short post to explain how to set your CVSNT in a read-only mode. The only thing you have to do is to create an empty file here : $CVSROOT/CVSROOT/writers And that’s it. Reference : CVS NT rights

  • Ruby and oracle shared libraries

    You may experience the same problem as below if you are using the ruby-oci8 gem to connect to an oracle database : require ’oci8’ $ ruby test.rb /usr/lib/ruby/gems/1.8/gems/ruby-oci8-1.0.6/lib/oci8lib.so : libclntsh.so.10.1 : cannot open shared object (...)

  • Creating and Applying Patches

    You sometimes need to use patches to hold some code changes to keep it safe and eventually apply it again later. Using Subversion You can easily create a path file from a svn checkout like this : $ svn diff Index : testfile (...)

  • Max execution time with ruby threads

    This post will describe a way to define a maximum execution time for a operation using threads. Let’s start with a really simple program which takes 5 seconds to run : start=Time.now sleep 5 puts "Script finished in #Time.now-start" Let’s write a simple (...)

  • JVM Out Of Memory notification

    This is a quick tip to share a technic to be notified of an OutOfMemory exception. This has been made possible thanks to the new 1.6.0 -XX:OnOutOfMemoryError JVM option. Let’s write a simple memory consumer java program : public class Oom private (...)

  • Metaprogrammation ruby

    Pour suivre cet article sur les metaclass ruby, il faut bien avoir en tête certaines bases du langage ruby. Soupçonner l’existence des metaclass Ruby vous permet de définir et redéfinir à volonté des méthodes sur n’importe quel objet : o = Object.new def (...)

  • Quelques bases de ruby

    Ce billet en prépare un autre sur les metaclass de ruby. Mais pour bien pouvoir le comprendre, il faut bien avoir conscience de certaines notions fondamentales sur le langage. 1. Visibilité des méthodes public : toujours accessible. private : accessible (...)

  • Buffer overflow : détournement de variable

    Voici un deuxième tutoriel sur les buffer overflow, après le premier qui n’était pour moi qu’une initiation. J’ai depuis approfondis le sujet sur la base du mythique Smashing the stack for fun and profit duquel je me suis largement inspiré. Cet article (...)

  • Javascript et cross domain

    Comme vous le savez sûrement, les moteurs Javascript des navigateurs restreignent l’accès dynamique à des URLs qui sont sur des noms de domaine différents de la page courante, et cela pour des raison de sécurité ( voir XSS ). Ainsi, le script suivant ne (...)

  • Les alertes Zabbix

    Deuxième billet sur Zabbix en forme de mini tutoriel comme toujours. Aujourd’hui on va voir comment on configure Zabbix pour recevoir des alertes mail lorsqu’un trigger remonte une erreur. Ca n’est pas tellement compliqué mais on oublie facilement une étape. (...)

  • Zabbix 1.4.1 - premiers pas

    Un petit billet sur Zabbix, un outil de monitoring intéressant qui fait de plus en plus d’adeptes. Installation Note pour les utilisateurs de dédibox - Sept 08 : Si vous voulez installer Zabbix sur une dédibox en lenny vous pourriez avoir un problème avec (...)

  • Installer rubygems dans un répertoire user

    Cet article vous expliquera comment installer rubygems si vous n’avez pas le droit root sur votre machine. On va installer rubygems dans le répertoire $HOME/gems/ : % mkdir /home//gems/ On va s’appuyer sur la documentation officielle sur le site de (...)

  • Téléchargement d’un fichier en Java

    Vous avez un tableau de byte[] et vous voulez proposer de le downloader ? Ce post est fait pour vous. Je suppose que vous êtes dans votre Servlet/Controller/ActionBean ou autre et que vous avez à portée de main une jolie HttpServletResponse qui ne demande (...)

  • Tip : trigger javascript

    Je partage un petit bout de code qui pourrait vous servir pour réaliser des trigger en Javascript, c’est simple et rapide : Imaginons que vous avez une bibliothèque qui gère des appels asynchrones vers un webservice distant que vous attaquez en AJAX. Vous (...)

  • LVM : Ajouter un Volume Logique

    LVM, ou Logical Volume Manager, est un puissant outil qui permet de redimensionner ses partitions "à chaud" et surtout postérieurement à l’installation de la machine. Cet outil créé une couche d’abstraction entre les disques durs physiques et les "volumes" que (...)

  • Résoudre les conflits APT

    Voici un deuxième petit billet sur la résolution de conflits de packages (voir le premier article sur apt). Un beau matin je me retrouvais en plein upgrade de serveur et un conflit est apparu me signalant qu’un paquet essayait d’installer un fichier qui (...)

  • Recevoir les alertes mail de sa machine

    Ce petit tuto vous permettra de recevoir les mails qui sont envoyés à localhost, notamment ceux qui sont envoyés par votre machine pour communiquer avec vous lorsque quelque chose ne va plus. On considérera <user> comme le nom de votre utilisateur sur (...)

  • Tunnel SSH

    Après quelques mois d’absence, me revoila avec un nouveau post rapide sur la création d’un tunnel SSH. C’est une technique simple à mettre en place et qui peut dépanner dans certains cas :) Pourquoi faire ? Le tunnel SSH est utile lorsque vous voulez vous (...)

  • Debian : monter une partition windows

    On suppose que la partition à monter est /dev/sda1. Dans tous les cas, il faut créer un point de montage : # mkdir /windows Montage à la volée : # mount /dev/sda1 /windows # mount /dev/sda2 on / type ext3 (rw,errors=remount-ro) tmpfs on /lib/init/rw type (...)

  • Reverse Proxy

    Un petit billet sur le Reverse Proxy d’Apache. Voici comment le mettre en place de manière très simple : la conf apache : ProxyRequests Off Order allow,deny Allow from all Order allow,deny Allow from all ProxyPass / http://127.0.0.1:8080/ (...)

  • Apache : dynamic virtual hosts

    Un court article sur la gestion dynamique de virtual hosts par Apache. Mon problème était le suivant : comment faire pointer tout mes vhost vers une seule et unique appli ? La solution est donnée par la documentation Apache sur le mass virtual hosting. mod (...)

  • Installation de Munin

    Munin, outil de monitoring système incroyablement simple d’installation et d’utilisation. Installation Personnellement je ne m’en sers que pour monitorer mon serveur, mais munin fonctionne sur le mécanisme client-serveur pour la remontée d’infos. Là mon (...)

  • Git via ssh

    "dumb" protocols Au départ, j’ai voulu tester Git over https. Après quelques recherches et problèmes en tout genre, il semblerait que cette méthode soit très peu utilisable en pratique : il faut exécuter la commande ’git-update-server-info’ dans le repository (...)

  • Démarrage de votre appli rails

    Petit article qui fait la lumière sur les sources de ruby et de ses gems. load path Le "load path" est soit $LOAD_PATH ou $ : % irb irb(main):001:0> $ : => ["/usr/local/lib/site_ruby/1.8", "/usr/local/lib/site_ruby/1.8/i486-linux", (...)

  • Rester à jour sur Ruby & Rails

    Cet article est le résultat d’un sondage qui tente de regrouper différentes sources d’information pour rester à jour sur les évolutions de technos autour de Ruby et Rails. Les sources énoncées ici sont toutes gratuites. RSS Énormément de sites parlent de Ruby (...)

  • Mémoire sous linux

    Cet article regroupe pas mal d’infos que j’ai pu récupérer de ci de là, autour de la mémoire en général (morte, vive, cache ...) Disque dur Un disque dur est la superposition de plusieurs surfaces magnétiques circulaires : Chaque "disque" est découpé en (...)

  • Mantis Bug Tracker sur Lenny

    Installation $ apt-get install mantis Configuration : fichiers Dans le fichier /etc/mantis/config_db.php, paramétrez les valeurs par défaut. Je crois que cette étape est optionnelle puisque ces informations vois seront demandées par un formulaire par la (...)

  • JDBC, JRuby et DBI

    Comment utiliser un driver Java en Ruby ? Dans mon cas, il s’agit d’une base de données Adabas. Le driver ruby n’existe pas encore, mais il existe le driver Java (de.sag.jdbc.adabasd.ADriver). Installer JRuby Première chose à faire : installer JRuby. (...)

  • Trac, Integrated SCM - Project Management

    Cet article détaille l’installation "normale" de Trac puis l’installation sur Debian Sarge à partir d’une archive stable, avec le plugin pour Mercurial. Installation de Trac Trac is a minimalistic approach to web-based management of software projects. Its (...)

  • Tutoriel Mercurial + SSL + Apache2

    Mercurial : a fast, lightweight Source Control Management system designed for efficient handling of very large distributed projects. Voici brièvement les éléments mis en oeuvre pour monter un serveur Mercurial sécurisé (ssl) avec restriction d’accès (...)

  • Tutoriel : Apache - SSL - Subversion

    Cet article va détailler comment paramétrer Apache et Subversion en HTTPS. C’est pas bien méchant, on y retrouve les grandes étapes indispensables : Création d’un dépot Créer un nom de domaine sécurisé (Apache+SSL) Relier les deux avec libapache2-svn (webdav) (...)

  • Conseils simples pour un Windows stable

    Cet article s’adresse aux personnes qui ont un ordinateur et qui veulent configurer Windows pour qu’il fonctionne « correctement ». Tous les logiciels proposés sont gratuits. Cet article est en fait destiné à mon entourage et qui me demande souvent de réparer (...)

  • Des outils pour Ruby

    De la documentation au tests, Ruby fourmille d’outils qui aide les développements au quotidien. Cette liste n’est pas exhaustive mais je penses qu’elle permet d’avoir un bon aperçu. Cette liste est largement inspirée de l’article anglais (...)

  • Ajax.updater et Ajax.SlideUp

    Voici un petit article qui détaille la réalisation d’un appel Ajax qui va apparaître avec un petit effet. Le tout est réalisé avec Prototype et Scriptaculous. L’appel au serveur Dans notre code HTML, on va préparer un DIV qui va recevoir le contenu HTML renvoyé (...)

  • Mémo Ruby

    Après la conférence de Paris on Rails 2007, je penses que Ruby a de gros avantages, surtout en terme de temps de développement, alors je m’y mets une fois pour toutes. Cet article trace les grandes lignes des spécificités de Ruby, soit en terme de convention de (...)

  • FeedBurner avec SPIP

    Cet article détaille les étapes pour intégrer FeedBurner à un SPIP existant. Inscription à FeedBurner Créez un compte, renseignez le nom de l’url que vous souhaitez pour votre site, du type : Référencez ensuite sur votre site web un fil RSS avec l’URL de (...)

  • Stats : Awstats sur Debian Sarge

    Awstats est un soft qui a fait ses preuves en tant que analyseur de logs et qui va pouvoir vous sortir la fréquentation de votre site de manière extrêmement détaillée. Installation # apt-get install awstats Configuration Awstats D’abord allez dans (...)

  • Paris on Rails 2007

    Je reviens de la conférence sur Ruby on Rails (RoR) le 10 Décembre à la Villette : "Paris on Rails". J’ai beaucoup entendu parler de RoR, toujours en bien, j’ai eu à programmer rapidement quelques scripts pour récupérer des informations dans une BDD mais je ne (...)

  • Générer un sitemap SPIP

    Plugin Il y a un plugin tout prêt pour ça disponible sur SPIP zone au nom de sitemap_x_x.zip. Prenez la dernière version et décompressez le contenu dans le répertoire "plugins/" à la racine du SPIP (créez le si besoin). Vous aurez alors accès au lien vers la (...)

  • Fetchmail pour recevoir son Gmail

    Voila un petit article pour dire à Fetchmail de récupérer les emails stockés sur son compte Gmail. Installation # apt-get install fetchmail Configuration de Gmail Dans Gmail, allez dans "Settings", puis dans l’onglet "Forwarding and POP/IMAP". Dnas la (...)

  • Cryptographie : comprendre SSL

    Rivest Shamir Adleman, ce sont les noms des 3 grands mathématiciens qui ont conçus le très utilisé algorithme RSA. Le RSA s’est imposé comme réponse fiable aux problématiques de sécurité grandissantes. Le principe de la clef symétrique C’est la technique la plus (...)

  • Analyser ses logs avec Logcheck

    Logcheck est un petit outils très pratique de la Debian qui va vous éviter de devoir consulter vos fichiers de log régulièrement, il va vous envoyer un rapport par mail. # apt-get install logcheck syslog-summary Configuration Rajoutez simplement les (...)

  • Configurer Spamassassin pour Postfix

    Voici comment installer et configurer Spamassassin pour Postfix sur un Debian sarge. Spamassassin va scanner tous les mails entrant et les marquer ou non comme des spams. Installation Installez simplement Spamassassin : # apt-get install spamassassin (...)

  • Sécuriser Postfix avec Amavis et Clamav

    Vous voila donc avec un Postfix de configuré, et vous voulez maintenant mettre un antivirus pour filtrer les mails qui contiennent des virus, c’est article est pour vous. Amavis Amavis est un scanner de mail. Ce n’est pas un antivirus mais un outil qui (...)

  • Debian : Serveur de mail Postfix et Dovecot

    Le but de ce tutoriel est de faire le premier pas vers la configuration d’un serveur de mail. Il est fortement conseillé de lire l’article sur Amavis et Clamav pour la partie antivirus, puis l’article sur Spamassassin pour l’anti-spam. La sécurisation d’un (...)

  • Gérer ses backups sous Debian : backup-manager

    Une manière simple et rapide de mettre en place un système de sauvegarde automatique de ses données est d’utiliser le paquet "backup-manager". Installation Je suis sous Debian Sarge et j’utilise un dépot particulier (backport) pour backup-manager qui va me (...)

  • Backbone où est tu ?

    Backbones Quels sont les grosses architectures physiques qui gère le transport de données à travers le monde ? Qui a les liens très hauts débits qui constituent l’Internet mondial ? Voici quelques exemples de backbones dans le monde : Telia (Tele2...) : (...)

  • Une appli qui dessine

    Je vais vous décrire la manière dont je m’y suis pris pour reproduire approximativement des "dessins" genre motifs tribaux que je griffonne un peu partout, et qui (je n’ai pas honte de le dire), me plaisent beaucoup. Je fais des formes tentaculaires, qui (...)

  • XSS : Cross Site Scripting

    Les attaques par XSS consistent à réussir à passer les validations des filtres des applications web. Elles sont souvent à base de déspécialisations et d’encoding de code malicieux. Consultez une compilation de code à injecter qui peut passer ces filtres sur (...)

  • 08
    30

    Buffer overflow : détournement de variable

    Voici un deuxième tutoriel sur les buffer overflow, après le premier qui n’était pour moi qu’une initiation. J’ai depuis approfondis le sujet sur la base du mythique Smashing the stack for fun and profit duquel je me suis largement inspiré.

    Cet article requiert un minimum de connaissance en assembleur et sur l’architecture d’un programme en mémoire. On travaillera sur un processeur 32 bits intel x86 sous Linux.

    Objectif

    Considérons le programme suivant :

    /* buf.c */
    #include <stdio.h>

    void t() {
    }

    int main(){
     int x;
     x = 0;
     t();
     x = 1;
     printf("%d\n",x);
    }

    Tel quel, le programme affiche simplement "1" :

    $ gcc buf.c -o buf && ./buf
    1

    Le but est de remplir la fonction "t()" pour modifier la variable "x" et faire en sorte que le programme affiche "0". Comme vous l’aurez remarqué en tant que lecteur attentif, la variable "x" est locale à la fonction "main()", et est donc théoriquement inaccessible de la fonction "t()". De plus, la valeur de "x" est forcée APRES l’appel de la fonction "t()".

    Plus précisément, nous allons voir comment ignorer cette affectation "x=1 ;" pour conserver l’ancienne valeur de x.

    Assembleur et appel de procédure

    Examinons le programme suivant :

    /* test.c */
    #include <stdio.h>

    void t() {
     char * buffer[1];
    }

    int main(){
     t();
    }

    On le compile :

    $ gcc test.c -o test

    Et on examine le code assembleur de la fonction "main()" :

    $ gdb test
    GNU gdb 6.8-debian
    Copyright (C) 2008 Free Software Foundation, Inc.
    License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
    This is free software: you are free to change and redistribute it.
    There is NO WARRANTY, to the extent permitted by law.  Type "show copying"
    and "show warranty" for details.
    This GDB was configured as "i486-linux-gnu"...
    (gdb) disas main
    Dump of assembler code for function main:
    0x0804837c <main+0>:        lea    0x4(%esp),%ecx
    0x08048380 <main+4>:        and    $0xfffffff0,%esp
    0x08048383 <main+7>:        pushl  -0x4(%ecx)
    0x08048386 <main+10>:        push   %ebp
    0x08048387 <main+11>:        mov    %esp,%ebp
    0x08048389 <main+13>:        push   %ecx
    0x0804838a <main+14>:        sub    $0x4,%esp
    0x0804838d <main+17>:        call   0x8048374 <t>
    0x08048392 <main+22>:        add    $0x4,%esp
    0x08048395 <main+25>:        pop    %ecx
    0x08048396 <main+26>:        pop    %ebp
    0x08048397 <main+27>:        lea    -0x4(%ecx),%esp
    0x0804839a <main+30>:        ret    
    End of assembler dump.

    Pour l’instant, contentons nous de noter l’appel à la procédure t par l’instruction "CALL 0x8048374".

    Rappel sur CALL et RET

    L’instruction CALL
    - empile l’adresse de retour ( push 0x08048392 )
    - décrémente ESP de 4 octets ( sub $0x4,%esp ) pour prendre en compte l’empilement de l’adresse de retour ( ESP doit pointer le sommet le la pile )
    - copie l’adresse de la procédure dans le registre EIP ( pour effectivement exécuter cette procédure )

    L’instruction RET
    - dépile EIP ( il va donc recevoir l’adresse 0x08048392 )
    - incrémente ESP de 0x4

    Assembleur et procédure

    Examinons maintenant le code assembleur de la fonction "t()" :

    (gdb) disas t
    Dump of assembler code for function t:
    0x08048374 <t+0>:        push   %ebp
    0x08048375 <t+1>:        mov    %esp,%ebp
    0x08048377 <t+3>:        sub    $0x10,%esp
    0x0804837a <t+6>:        leave  
    0x0804837b <t+7>:        ret    
    End of assembler dump.

    On voit d’abord ce qu’on appelle "le prologue" de la procédure :

    0x08048374 <t+0>:        push   %ebp
    0x08048375 <t+1>:        mov    %esp,%ebp
    0x08048377 <t+3>:        sub    $0x10,%esp

    et l’épilogue :

    0x0804837a <t+6>:        leave  
    0x0804837b <t+7>:        ret    

    Le prologue
    - sauve (push) l’ancien EBP (pointeur sur le début de la pile courante, relative à la procédure en cours)
    - réinitialise EBP à l’ancien ESP (pointeur de sommet de pile)
    - déplace ESP de manière à réserver de la mémoire aux variables locales à la fonction C ( ici, buffer )

    L’épilogue
    - restaure l’état des pointeurs de pile : l’instruction LEAVE réinitialise ESP à EBP ( mov %ebp, %esp ) et pop l’ancien EBP ( pop %ebp )
    - appelle l’instruction qui suit le call de la procédure courante ( instruction RET )

    Notons que 0x10 unités de mémoire (soit 16 octets) sont alloués pour la variable "char * buffer[1]" qui n’en utilise que 4. Pour une raison que j’ignore, les allocations se font par lot de 16 octets, une partie restant inutilisée :

    <— sommet de la pile
    12 octets 4 octets (buffer)

    Etat de la pile

    La clef de ce tutoriel est ici. On va résumer les étapes précédentes et déduire l’état de la pile juste avant l’épilogue de la procédure t.

    - main+17 : call 0x8048374 t L’instruction CALL empile l’adresse de retour 0x08048392

    - t+0 : push %ebp On empile l’ancien EBP

    - t+3 : sub $0x10,%esp Ici on alloue 16 octets dont 12 seront inutilisés et 4 représenteront la variable locale "buffer".

    <— sommet de la pile
    12 octets 4 octets 4 octets 4 octets
    ESP buffer ancien EBP RET ( 0x0804837a )

    Le fin mot de l’histoire

    L’astuce va être de modifier directement l’adresse de retour de la procédure comme le C permet de le faire :

    - buffer + 1 = ancien EBP pushé
    - buffer + 2 = adresse de retour de la procédure

    Revenons au programme initial ( buf.c ) et désassemblons son main :

    (gdb) disas main
    Dump of assembler code for function main:
    0x080483bf <main+0>:        lea    0x4(%esp),%ecx
    0x080483c3 <main+4>:        and    $0xfffffff0,%esp
    0x080483c6 <main+7>:        pushl  -0x4(%ecx)
    0x080483c9 <main+10>:        push   %ebp
    0x080483ca <main+11>:        mov    %esp,%ebp
    0x080483cc <main+13>:        push   %ecx
    0x080483cd <main+14>:        sub    $0x24,%esp
    0x080483d0 <main+17>:        movl   $0x0,-0x8(%ebp)
    0x080483d7 <main+24>:        call   0x80483a4 <t>
    0x080483dc <main+29>:        movl   $0x1,-0x8(%ebp)
    0x080483e3 <main+36>:        mov    -0x8(%ebp),%eax
    0x080483e6 <main+39>:        mov    %eax,0x4(%esp)
    0x080483ea <main+43>:        movl   $0x80484c0,(%esp)
    0x080483f1 <main+50>:        call   0x80482d8 <printf@plt>
    0x080483f6 <main+55>:        add    $0x24,%esp
    0x080483f9 <main+58>:        pop    %ecx
    0x080483fa <main+59>:        pop    %ebp
    0x080483fb <main+60>:        lea    -0x4(%ecx),%esp
    0x080483fe <main+63>:        ret    
    End of assembler dump.

    L’enjeu est d’ignorer le "main+29 : movl $0x1,-0x8(%ebp)" qui correspond à l’affectation "x=1 ;". Pour cela, l’adresse de retour de la procédure devra donc passer de 0x080483dc à 0x080483e3, soit une différence de 0x7.

    On va donc incrémenter de 7 la valeur du pointeur (buffer+2) :

    /* buf.c */
    #include <stdio.h>

    void t() {
     char * buffer[1];
     (*(buffer+2))+=7;
    }

    int main(){
     int x;
     x = 0;
     t();
     x = 1;
     printf("%d\n",x);
    }
    $ gcc buf.c -o buf && ./buf
    0

    0 message en réponse à l'article

    Ce forum est modéré à priori : votre contribution n'apparaîtra qu'après avoir été validée par un administrateur du site.

    Qui êtes-vous ? (optionnel)

    (Pour créer des paragraphes, laissez simplement des lignes vides.)

enfants soldats