Made the 2024-11-15 page more readable and understandable.

Added a new page to guide the user in the creation of a virtual machine with VirtualBox.

Author: VaiTon

content/incontri/2024-11-15/index.md

@@ -7,10 +7,11 @@ author = "Renato"
 description = "Buffer Overflow, C internals e pwntools"
 +++
 
-
 ## Preambolo
 
-cosa ci serve:
+Durante questo incontro vedremo come funziona un buffer overflow, come sfruttarlo e una breve introduzione a pwntools.
+
+Cosa ci serve:
 
 - `gcc`
 - `gdb`
@@ -23,12 +24,22 @@ Tutti i tool sono disponibili di default su Kali.
 
 Su Ubuntu si installano con :
 
+```bash
+$ sudo apt install build-essential gdb python3 python3-pip python3-dev git libssl-dev libffi-dev gcc-multilib
 ```
-sudo apt install build-essential gdb python3 python3-pip python3-dev git libssl-dev libffi-dev
-pip install --break-system-packages pwntools
+
+```bash
+$ pip install --break-system-packages pwntools
 ```
 
-## ma come funziona veramente C?
+> [!TIP] Comandi shell
+> Di solito i comandi shell nelle varie risorse online sono preceduti da un `$`, che rappresenta il prompt del terminale.
+> Questo viene usato per:
+>
+> - indicare che il comando va eseguito come **utente normale** (ovvero non come root).
+> - rendere il copia e incolla più difficile e costringere a modificare il comando prima di eseguirlo, riducendo il rischio di eseguire comandi pericolosi per errore.
+
+## Buffer Overflow
 
 Ogni problema si può comprendere su diversi livelli di astrazione. Solitamente, ragioniamo su un programma C (o qualsiasi altro linguaggio) al livello del linguaggio stesso.
 Da questo punto di vista il programma non è altro che un insieme di variabili e funzioni, e tutta l'esecuzione parte dal `main`. Sappiamo però che ciò che esegue il nostro computer è un binario generato dal compilatore e dal linker -> **cosa succede tra un' astrazione e l'altra?**
@@ -38,7 +49,9 @@ Da questo punto di vista il programma non è altro che un insieme di variabili e
 Senza entrare nelle specifiche, concettualmente il nostro computer funziona in modo "lineare" consuma un "nastro" di codice, eseguendone le istruzioni.
 Questo differisce abbastanza dalla visione strutturata di un programma C, dove abbiamo diverse funzioni innestate che si chiamano fra di loro (o se stesse)
 
-### cos'è veramente una funzione?
+### Come funziona una funzione?
+
+Oltre al gioco di parole, è importante capire come funziona una funzione a basso livello.
 
 Non esiste un concetto nativo di funzione per il computer esegue un programma : il programma è semplicemente un insieme (tendenzialmente) monolitico di istruzioni, da caricare in memoria (il nastro).
 
@@ -56,9 +69,9 @@ A un alto livello, cosa serve per implementare una funzione?
 
 D'ora in poi considereremo nello specifico l'architettura x86_32, i cui eseguibili sono facili da eseguire sulla maggior parte dei computer moderni
 
-### un semplice programma-cavia
+### Un semplice programma-cavia
 
-Prendiamoci un attimo di pausa dalla teoria per analizzare un semplice programma C che prende input dall'utente con la `gets`:
+Per capire meglio come funzionano le chiamate a funzione, consideriamo il seguente programma:
 
 ```c
 #include <stdio.h>
@@ -81,73 +94,163 @@ int main() {
 }
 ```
 
+Il programma è molto semplice, chiede il nostro nome e lo stampa a schermo. Da notare la funzione `gets`, che è **molto** pericolosa e non dovrebbe essere usata mai in un programma reale.
+
 Se provate a compilare questo programma normalmente, il compilatore si arrabbierà (con buone ragioni). **Perchè**?
 
+```bash
+$ gcc dim.c
+
+dim.c: In function ‘funzione_normalissima’:
+dim.c:10:5: error: implicit declaration of function ‘gets’; did you mean ‘fgets’? [-Wimplicit-function-declaration]
+   10 |     gets(buffer);  // Non usarmi!
+      |     ^~~~
+      |     fgets
+```
+
 {{% resources pattern="ex1-gets/" style="primary" /%}}
 
-### che succede se passo più di 64 caratteri?
+### 1. Che succede se passo più di 64 caratteri?
+
+A prima vista, il programma sembra funzionare correttamente. Notiamo però che la variabile `buffer` è grande solo 64. Cosa succede se passiamo più di 64 caratteri?
 
 Facciamolo!
 
-A prima vista, il programma sembra crashare, **perchè**? Cos'altro può succedere?
+```shell
+$ ./dim
+Qualche professore amerebbe questo programma
+Come ti chiami? AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
+Ciao AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA!!
+Errore di segmentazione (core dump creato)
+```
+
+Il programma crasha! Perchè?
 
-### strumenti utili
+### 1.a Strumenti utili
 
 - `gdb` : debugger, ci aiuterà a capire meglio cosa fa il nostro programma e a capire perchè crasha
 - `pwntools` : libreria di python, ci permette di interagire in modo programmatico con il nostro binario
 
 Entrambi installati di default su Kali!
 
-### cosa sta succedendo?
+### 2. Cosa sta succedendo?
+
+Proviamo ad analizzare il problema con `gdb`:
+
+```shell
+$ gdb ./dim
+(gdb) run
+```
 
-Aprendo il programma con gdb ed eseguendolo vediamo qualcosa del genere:
+Inseriamo il nostro input e vediamo cosa succede:
 
 ```
 Program received signal SIGSEGV, Segmentation fault.
 0x41414141 in ?? ()
 ```
 
-Il programma ha provato ad eseguire una "funzione" all'indirizzo 0x41414141. è un caso?
+L'errore di segmentazione (SIGSEG) è il più classico, ma cosa significa `0x41414141 in ??`?
+
+Normalmente `gdb` ci mostra sia l'indirizzo di memoria in cui si è verificato l'errore, sia la funzione in cui si è verificato.
+
+- `0x41414141` è un indirizzo di memoria, ma cosa rappresenta?
+- `??` indica che `gdb` non sa cosa ci sia in quell'indirizzo di memoria
+
+Il programma ha quindi provato ad eseguire una "funzione" all'indirizzo `0x41414141`. E' un caso?
+
+Se proviamo a convertire `0x41414141` in ASCII otteniamo "AAAA", che è esattamente una parte del nostro input.
 
-"AAAA", codificato come indirizzo è proprio 0x41414141 -> abbiamo sovrascritto qualcosa di importante con il nostro input
+Possiamo quindi dedurre che **il programma ha provato ad accedere ad una cella di memoria che è stata sovrascritta con il nostro input**.
 
-### come sono implementate le chiamate a funzione in x86_32?
+### 3. Come sono implementate le chiamate a funzione in x86_32?
 
-Non entreremo troppo nei dettagli (layout dello stack e memoria), ciò che ci basta sapere per ora è questo:
+Non entreremo troppo nei dettagli (layout dello stack e memoria), ciò che ci basta sapere per ora è questo: durante una chiamata a funzione, il programma salva i metadati della funzione chiamante nello stack, e poi salta (_jump_ incondizionato) alla funzione chiamata.
 
-- è che i _metadati_ di una chiamata sono conservati in modo adiacente ai _dati_ -> per ora immaginiamoci che vengano direttamente dopo in memoria
-- accedere ad un elemento in un array (array[i]) vuol dire accedere ad un elemento in un indirizzo (array + i * sizeof(type)) -> buffer[65] ad ex. è un'espressione sensata in questo contesto
+Lo stack è una struttura dati a pila, ovvero una struttura dati in cui l'ultimo elemento inserito è il primo ad essere rimosso, quindi, al momento di chiamare la funzione, i metadati della funzione chiamante si trovano in cima allo stack.
 
-Possiamo sovrascrivere l'indirizzo di ritorno -> possiamo eseguire una funzione qualsiasi!
+Durante l'inizializzazione della funzione chiamata, vengono pushati sullo stack i dati della funzione chiamata (ovvero le variabili locali) e poi viene eseguito il codice della funzione.
 
-### cosa eseguiamo?
+Quindi:
 
-Sappiamo che una funzione è identificata da un indirizzo in memoria -> come troviamo quello di `impossibile_da_chiamare`?
+> I _metadati_ di una chiamata a funzione sono conservati in modo adiacente ai _dati locali_ della funzione chiamante;
+  per ora immaginiamoci che siano situati negli indirizzi di memoria appena successivi.
 
-Riapriamo gdb:
+Inoltre ricordiamoci che In C accedere ad un elemento in un array (`array[i]`) vuol dire accedere ad un elemento in un indirizzo = `array + i * sizeof(type)`.
+
+Ad esempio, `buffer[65]` nonostante sia "fuori dal buffer" è un modo per accedere al 65° byte del buffer, che però non è del buffer stesso ma di un'altra variabile in memoria (o, in questo caso, dei metadati della funzione chiamante).
+
+Utilizzando queste due informazioni, possiamo capire cosa è successo:
+
+1. Abbiamo sovrascritto il buffer con più di 64 caratteri;
+2. Abbiamo sovrascritto i metadati della funzione chiamata;
+3. Nel momento in cui la funzione chiamata tenta di ritornare alla funzione chiamante (`return`), il program counter (PC) si sposta all'indirizzo che abbiamo scritto come 65° byte del buffer (in realtà non è detto sia proprio il 65° byte, in quanto il compilatore può inserire padding tra le variabili).
+
+Possiamo quindi controllare il PC, ergo possiamo eseguire una funzione qualsiasi (con alcuni limiti, ma per ora non ci interessano)!
+
+### 4. Cosa eseguiamo?
+
+Proviamo, ad esempio, a chiamare la funzione `impossibile_da_chiamare`.
+
+Sappiamo che ogni funzione è caricata in memoria ad un indirizzo specifico dello spazio di indirizzamento del processo
+. Come facciamo a sapere quale è l'indirizzo di `impossibile_da_chiamare`?
+
+Riapriamo `gdb`:
 
 ```
-x *impossibile_da_chiamare
+gdb ./a.out
 ```
 
-NB : per motivi di sicurezza di solito gli indirizzi di memoria cambiano tra un esecuzione e l'altra (ASLR). Possiamo disabilitare questa feature su Linux con:
+e chiediamo l'indirizzo della funzione:
 
 ```
-echo 0 | sudo tee /proc/sys/kernel/randomize_va_space
+(gdb) x *impossibile_da_chiamare
 ```
 
-### come scriviamo un indirizzo arbitrario in input?
+oppure
 
-Non tutti i byte dell'indirizzo corrispondono a caratteri ASCII. A prima vista dal terminale non riesco a codificare l'indirizzo!
+```
+(gdb) info functions
+```
 
-In realtà un `char` può avere qualsiasi valore da 0 a 255, basta riuscire a mandarlo in input -> `pwntools`
+> [!WARNING] Address Space Layout Randomization
+> Per motivi di sicurezza di solito gli indirizzi di memoria cambiano tra un esecuzione e l'altra (vedi _ASLR_).
+> Possiamo però disabilitarlo temporaneamente con:
+>
+> ```bash
+> $ echo 0 | sudo tee /proc/sys/kernel/randomize_va_space
+> ```
 
+### 5. Come scriviamo un indirizzo arbitrario in input?
+
+Da terminale non possiamo scrivere un indirizzo arbitrario, in quanto non possiamo scrivere caratteri non ASCII. Per questo è necessario un aiuto da parte di `python3`.
+
+```shell
+$ python3 -c "print(b'A'*64 + b'\x01\x02\x03\x04')" | ./dim
 ```
+
+in questo modo stiamo passando al programma `dim` 64 caratteri `A` seguiti da `0x04030201` (in little-endian, ovvero con gli indirizzi in ordine inverso rispetto a come li scriviamo).
+
+In alternativa, possiamo usare `pwntools`:
+
+```python
+r = process("./dim")
 r.sendline(b"A"*64 + b"quello che voglio \x01\x02\x03")
+r.interactive()
 ```
 
-Non mi rimane che mandare l'indirizzo giusto. Alcune sfide:
+In sequenza:
+
+- `r = process("./dim")` crea un sotto-processo eseguendo il programma `dim`;
+- `r.sendline(b"A"*64 + b"quello che voglio \x01\x02\x03")` invia la stringa al programma seguita da un newline (`\n`);
+- `r.interactive()` ci permette di interagire con il programma come se fosse un terminale.
+
+Non mi rimane che mandare l'indirizzo giusto!
+
+## Esercizio
+
+Alcune sfide:
 
-- Dopo quanti caratteri lo metto?
-- Come lo codifico?
-- **Cosa altro posso combinare?**
+- Come faccio a trovare il numero di caratteri da scrivere prima dell'indirizzo? (padding)
+- Come faccio a trovare l'indirizzo di una funzione nel caso io non abbia accesso al compilato?
+- Cosa riesco a fare con questa tecnica?
+- Cosa posso fare per evitare che il mio programma sia vulnerabile a questo tipo di attacco?

content/risorse/vm/index.md

@@ -0,0 +1,34 @@
++++
+title = "Virtual Machine Setup"
+description = "Install and configure Kali Linux in a VirtualBox virtual machine."
++++
+
+To participate in the labs, you will need a functioning virtualization environment. As the majority of people use Windows, we will use VirtualBox as our virtualization software (if you are using Linux, you should already know how to create a virtual machine).
+
+VirtualBox is a free and open-source hosted hypervisor, developed by Oracle Corporation. VirtualBox allows you to run multiple operating systems on a single machine.
+
+## 1. VirtualBox Installation
+
+1. Download the latest version of VirtualBox from the [official website](https://www.virtualbox.org/wiki/Downloads).
+2. Run the installer and follow the instructions.
+
+You should then be able to open VirtualBox and get a screen similar to the one below:
+
+![](virtualbox-main-empty.png)
+
+## 2. Kali Linux Installation
+
+We will use Kali Linux as our main operating system for the labs. You can download the latest version of Kali Linux from the [official website](https://www.kali.org/downloads/).
+
+1. Go to the [official website](https://www.kali.org/downloads/) and click on the "Virtual Machines" button.
+2. Click on the "VirtualBox" button. The download should start automatically.
+3. Once the download is complete, extract the files to a folder of your choice.
+4. Double click on the `.vbox` file to open it in VirtualBox.
+
+You should now have a Kali Linux virtual machine running in VirtualBox.
+
+## Troubleshooting
+
+If you encounter any issues during the installation process, please refer to the [official VirtualBox documentation](https://www.virtualbox.org/wiki/Documentation).
+
+If you are still having trouble, feel free to ask for help in the Telegram chat or directly during the meetings.